В официальном баг-трекере Google найдены три серьезные уязвимости

В официальном баг-трекере Google найдены три серьезные уязвимости

В официальном баг-трекере Google найдены три серьезные уязвимости

В официальном трекере Google были обнаружены три уязвимости, которые злоумышленники могут использовать для выявления брешей. Нашедший эту дыру безопасности Алекс Бирсан (Alex Birsan), румынский эксперт, утверждает, что этот баг может позволить хакерам получить доступ к уязвимостям, которые еще не были исправлены в продуктах Google.

Эти три бреши затронули Google Issue Tracker (также известное как Buganizer) – приложение, отслеживающее сообщения об ошибках и проблемах безопасности в продуктах Google.

«Buganizer является центральной системой отслеживания ошибок, поэтому весьма вероятно, что в ней также хранятся уязвимости внутренних систем Google. Я провел минимальное исследование, но могу сказать, что там куда более интересная информация, если покопаться», - сказал Бирсан в интервью Bleeping Computer.

Обычно только сотрудники Google и эксперты в области уязвимостей имеют доступ к Buganizer, это строго ограниченный доступ, имеется только к сообщениям, которые они должны исправить.

Бирсан, являющийся разработчиком на Python в румынской компании, специализирующейся на кибербезопасности, говорит, что он выявил ошибки в период с 27 сентября по 4 октября. Он обнаружил три проблемы:

  • Способ регистрации адреса электронной почты в домене @google.com с использованием общей схемы именования адресов электронной почты Buganizer.
  • Способ подписки и получения уведомлений об ошибках, к которым у него не должно было быть доступа.
  • Способ обмана API Buganizer, который может помочь получить доступ к каждой уязвимости.

Google выплатила исследователю $3 133 за обнаружение первой ошибки, $5 000 за обнаружение второй и $7 500 за третью. Примечательно, что компания очень оперативно отреагировала за сообщение Бирсана.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Прокуратура Москвы рассказала о новом скрипте мошенников

Мошенники начали использовать новый сценарий обмана, представляясь сотрудниками службы по защите прав потребителей. Под предлогом «спасения сбережений» от якобы кражи, злоумышленники убеждают жертв передать наличные деньги курьерам. Один из последних случаев закончился хищением 5 млн рублей у пожилой пары в Москве.

О появлении новой схемы сообщил ТАСС со ссылкой на прокуратуру Москвы. По данным ведомства, мошенники действовали под видом представителей службы по защите прав потребителей и выманили крупную сумму у 78-летнего москвича и его супруги.

«Новая "маска" телефонных мошенников — теперь они представляются службой защиты прав потребителей. Именно из этой "службы" позвонил 78-летнему москвичу "ведущий сотрудник". Некий мужчина, представившийся Алексеем Федоровичем, сообщил, что деньги пенсионера похищены, но можно их вернуть. Для этого необходимо выполнять все указания и придумать кодовое слово для дальнейшего общения», — приводит ТАСС выдержку из сообщения надзорного ведомства.

По легенде мошенников, на счет одного из супругов должна была поступить компенсация, которую требовалось передать «специалистам» службы через курьеров. Пенсионеры несколько раз снимали крупные суммы со своих счетов и передавали деньги людям, называвшим согласованное кодовое слово. В итоге они лишились около 5 млн рублей.

«Кодовое слово — верный признак мошенничества. Как только по телефону просят передать сбережения курьеру — прекратите общение, положите трубку. Остались сомнения — самостоятельно проверьте информацию, позвонив в тот орган или организацию, от имени которых якобы поступил звонок», — предупредили в прокуратуре Москвы.

Ранее аферисты уже использовали похожие схемы, включая случаи, когда жертв просили не передавать деньги лично, а оставлять их в почтовых ящиках. При этом структура сценариев и легенд остаётся неизменной.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru