Новый директор Uber умалчивал о кибератаке в течение двух месяцев

Новый директор Uber умалчивал о кибератаке в течение двух месяцев

Новый генеральный директор корпорации Uber Дара Хосровшахи около двух месяцев не раскрывал информацию о мощной кибератаке, в результате которой были похищены данные 57 млн клиентов и водителей такси.

Как в четверг сообщила газета The Wall Street Journal, хакеры атаковали базу данных Uber в 2016 году. Новый директор узнал об атаке спустя две недели после вступления в должность. Хосровшахи распорядился провести расследование, прежде чем предать инцидент огласке, пишет iz.ru.

Примерно три недели назад представители компании раскрыли информацию о кибератаке японскому конгломерату SoftBank, который планировал инвестировать порядка $10 млрд в Uber. Публично об утечке персональных данных сообщили только во вторник.

Как ранее сообщалось, во время кибератаки на Uber были украдены имена, электронные адреса и номера мобильных телефонов 50 млн пользователей в разных странах мира.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Баг крупнейших Linux-дистрибутивов позволяет получить root (эксплойт готов)

Уязвимость в компоненте Polkit pkexec, получившая идентификатор CVE-2021-4034 и имя PwnKit, затрагивает стандартные конфигурации всех крупных дистрибутивов Linux. В случае эксплуатации эта брешь позволит злоумышленнику получить полные root-права в системе.

Интересно, что PwnKit уходит корнями в самый первый релиз pkexec, который состоялся более 12 лет назад. Это значит, что абсолютно все версии Polkit содержат описанную уязвимость.

Как отметили специалисты компании Qualys, атакующие могут использовать pkexec для повышения привилегий до root. Эксплойт сработает в дефолтных конфигурациях таких дистрибутивов, как Ubuntu, Debian, Fedora и CentOS. Исследователи также считают, что брешь может угрожать и другим Linux-системам.

«Это баг повреждения памяти, позволяющий пользователю с низкими правами получить полные root-привилегии в атакуемой системе», — так описывают проблему в безопасности эксперты Qualys.

С мая 2009 года — а именно тогда вышла первая версия pkexec — уязвимость была у всех на виду, однако никто её толком не замечал. Исследователи записали процесс эксплуатации бага на видео, с которым можно ознакомиться ниже:

 

По-настоящему пугает простота эксплуатации, поэтому специалисты ожидали появления общедоступного proof-of-concept (PoC) в ближайшие дни. Они оказались почти правы, так как прошло всего несколько часов после публикации отчёта Qualys до выхода демонстрационного эксплойта.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru