Из-за русских хакеров новую планету могут не назвать Сибирью

...

На прошлой неделе российские блогеры выступили с инициативой организации массового голосования за то, чтобы назвать недавно открытую планету Сибирью (Siberia). В Рунете активно призывали заходить на сайт конкурса, организованного журналом Wired, и отдавать свои голоса за Сибирь. На помощь также пришли хакеры, которые успели взломать сервис.

Речь идет о планете GJ 1214b, сообщение об открытии которой появилось в журнале Nature 17 декабря 2009 года. Она располагается на расстоянии 40 световых лет от Земли в созвездии Змееносца и представляет собой мир, состоящий преимущественно из воды с примесью железа и кремния. Это первая экзопланета (то есть планета вне Солнечной системы), у которой имеется атмосфера.

Инициативу в своем блоге поддержал Владимир Жириновский: "Конечно, я проголосовал за "Сибирь"! Прекрасное название для новой планеты. Сибирь – это сила, мощь, энергия и загадочность. Уверен, не только сибирякам, но и всем жителям России будет приятно, если на небосклоне появится такая планета. Выбираем Сибирь".

В массовой затее не забыли принять участие и русские хакеры, которые взломали голосование и накрутили его в пользу варианта "Сибирь". "Приносим извинения за сломанный счетчик. Сейчас мы восстанавливаем прежние результаты и пытаемся удалить тысячи голосов за "Сибирь", — заявили позже в редакции Wired.

Теперь в конкурсе лидирует название Reach ("Достижение"). Однако российские блогеры занимаются организацией второй волны в поддержку "Сибири" и просят не вмешиваться в голосование хакеров. "Товарищи! Все на баррикады! Даёшь вернуть Сибирь! Голосуйте против Reach, но за Siberia"

источник 

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Google устранила опасную уязвимость в Java-клиенте OAuth

В прошлом месяце Google выпустила новую сборку клиентской Java-библиотеки, обеспечивающей авторизацию по протоколу OAuth. В продукте закрыта уязвимость, эксплуатация которой позволяет подменить токен для доступа к API и развернуть на атакуемой платформе полезную нагрузку по своему выбору.

Степень опасности проблемы CVE-2021-22573 в Google оценили в 8,7 балла по шкале CVSS. Автору находки было выплачено $5 тыс. в рамках программы bug bounty.

Согласно официальному описанию, причиной появления уязвимости является неадекватная верификация криптографической подписи токенов — удостоверения провайдера полезной нагрузки. В результате автор атаки сможет предъявить скомпрометированный токен с кастомным пейлоадом, и тот успешно пройдет проверку на стороне клиента.

Использование кода OAuth-библиотеки Google позволяет приложению или юзеру войти в любой веб-сервис, поддерживающий этот протокол авторизации. Во избежание неприятностей пользователям рекомендуется обновить пакет google-oauth-java-client до версии 1.33.3.

OAuth-авторизация пользуется большой популярностью у веб-серферов. Протокол избавляет от необходимости доверять приложению логин и пароль, а также позволяет сократить число аккаунтов в Сети, то есть аудиторию с доступом к персональным данным.

К сожалению, спецификации OAuth не предусматривают обязательных функций безопасности, и надежность в этом плане всецело зависит от усилий разработчика, реализующего эту технологию. Небрежная защита клиентского приложения или сервиса с поддержкой OAuth провоцирует атаки и грозит утечкой конфиденциальных данных.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru