Греф: Киберпреступники ни разу не смогли успешно атаковать Сбербанк

Греф: Киберпреступники ни разу не смогли успешно атаковать Сбербанк

Герман Греф, возглавляющий крупнейшую кредитную организацию страны — Сбербанк, заявил, что киберпреступникам еще ни разу не удалось успешно атаковать его банк. Более того, по словам Грефа, злоумышленники даже не смогли пройти дальше первого контура защиты систем Сбербанка.

Глава финансовой организации подчеркнул, что попытки проникнуть в системы Сбербанка предпринимаются преступниками регулярно. Однако на данный момент их усилия не привели к желаемым результатам.

«Против нас проводятся регулярные атаки. Пока до сего момента не было ни одного случая успешной атаки», — передали СМИ слова Грефа.

Всего банк располагает тремя контурами защиты от кибератак, но даже первый «хакеры» так и не смогли осилить, утверждает Герман Греф.

«Не то, чтобы за третий контур защиты, это в принципе невозможно, даже за первый контур защиты не проникали хакеры».

Также глава Сбербанка дал понять, что в кредитной организации поставили задачу — обеспечить нулевые потери от кибермошенников.

«У нас неизменный KPI — это ноль рублей потерь от кибермошенников. И мы ни разу этот KPI не нарушали», — заключил Греф.

Несмотря на эти заявления в конце прошлого месяца Сбербанк стал жертвой серии мощных DDoS-атак. Бесконечные запросы поступали со 100 серверов, расположенных в шести разных странах.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Программная ошибка позволила баг-хантеру удалить живое видео на Facebook

ИБ-исследователь Ахмад Талахмех (Ahmad Talahmeh) опубликовал подробности уязвимости в службе видеотрансляции на Facebook, а также созданный им PoC-эксплойт. Разработчики платформы исправили ошибку, позволявшую удалить контент без согласия владельца, а баг-хантеру выплатили суммарно $14,5 тыс. за находку.

Сервис Facebook Live позволяет создавать видеоконтент в реальном времени, публиковать его, а также общаться с аудиторией в прямом эфире. По завершении трансляции пользователь может вырезать лишние кадры онлайн, руководствуясь временными метками начала и конца записи.

Как оказалось, при подаче через API запроса на сокращение видео до пяти миллисекунд система воспримет длительность видеозаписи как 0 секунд, и развернуть ее вновь не удастся. Заполучив ID документа и его автора, злоумышленник сможет скопировать его POST-запрос на загрузку, изменить конечное значение времени, чтобы вызвать сброс до нуля, и подать его снова. Система вернет ошибку, но команду выполнит.

За обнаружение этой проблемы Талахмеху выплатили $11 тыс. в ходе конференции BountyCon 2020. Еще две премии он получил позднее от Facebook — $1150 и $2300.

Выступая на BountyCon, исследователь также продемонстрировал способ восстановления обрезанной видеозаписи на Facebook от имени ее владельца. Эта находка принесла Талахмеху дополнительно $2875.

Баг-хантер также обнаружил возможность подмены информационных сообщений в бизнес-лентах Facebook — она появилась в связи с необходимостью мониторинга ситуации с COVID-19. Обновление страниц умышленно тормозится в ожидании новостей с этого фронта, и такие сообщения, как оказалось, можно вставлять в ленту вместе со ссылкой на сторонний ресурс. Для обновления нужны лишь ID страницы и полномочия аналитика (обычно таким пользователям разрешен доступ только на чтение). Эту находку Facebook оценила в $750.

Все проблемы, обнаруженные исследователем в соцсети, уже решены.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru