2019 год отметился ростом случаев криптоджекинга и развитием дипфейков

Олег Иванов 19 Декабря 2019 - 19:48

...

2019 год отметился ростом случаев криптоджекинга и развитием дипфейков

Международная антивирусная компания ESET представила отчет о трендах информационной безопасности, которые определят развитие мирового киберландшафта в 2020 году.

В начале 2019 года одним из трендов был рост случаев криптоджекинга — скрытого майнинга криптовалюты на зараженных устройствах — а также рост числа кибератак с использованием умных гаджетов.

На данный момент одним из главных трендов является развитие и повсеместное внедрение машинного обучения. Хотя до создания полноценного искусственного интеллекта еще далеко, машинное обучение становится одним из ключевых технологических достижений современности. Но стоит помнить, что злоумышленники также будут использовать машинное обучение для совершенствования кибератак.

Также впечатляют темпы развития дипфейков — технологий, позволяющих при помощи искусственного интеллекта подделывать голоса и лица людей на видео. По мнению экспертов ESET, именно эта технология в 2020 году станет одной из наиболее востребованных среди киберпреступников.

В будущем дипфейки могут способствовать еще более широкому распространению фальшивых новостей, поэтому следует скептически относиться даже к самым реалистичным видео- или аудиозаписям.

Еще один тренд 2020 года — создание умных зданий и целых умных городов. Более чем в 80% новых построек используются элементы интернета вещей. При этом эксперты обеспокоены тем, что умные города активно разрастаются, а их системы защиты по-прежнему недостаточно развиты. Во многих умных гаджетах нет достаточно надежного протокола аутентификации, а в некоторых и вовсе отсутствует какое-либо решение для информационной безопасности.

Кроме того, в 2020 году компаниям придется адаптироваться к цифровизации бизнеса и повсеместному использованию мобильных устройств. Эксперты ESET отмечают, что возможность постоянно оставаться на связи и подключаться к сетям вне зависимости от местоположения повышает риск кибератаки на организацию. Компании активно внедряют мобильные устройства в свою работу, не уделяя должного внимания их безопасности.

Наконец, во всем мире продолжится совершенствование законодательства, регулирующего порядок работы с персональными данными. По мнению экспертов ESET, проблема защиты данных пользователей останется актуальной до тех пор, пока размер штрафа за нарушение конфиденциальности не будут соизмеримы со значительной частью доходов мегакорпораций.

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Екатерина Быстрова 30 Марта 2026 - 16:10

Уязвимости сайтов Домашние пользователи Малый и средний бизнес

В Smart Slider 3 для WordPress нашли опасную брешь с риском захвата сайта

В плагине Smart Slider 3 для WordPress, который используется более чем на 800 тысячах сайтов, обнаружили неприятную уязвимость. Проблема позволяет аутентифицированному пользователю с минимальными правами — например, обычному подписчику — получить доступ к произвольным файлам на сервере.

Речь идёт об уязвимости CVE-2026-3098, которая затрагивает все версии Smart Slider 3 до 3.5.1.33 включительно. Исследователь Дмитрий Игнатьев сообщил о проблеме, после чего её подтвердили специалисты компании Defiant.

На первый взгляд уязвимость выглядит не самой страшной: для её эксплуатации нужна аутентификация. Поэтому ей присвоили средний уровень опасности. Но на практике всё не так безобидно. Если сайт поддерживает регистрацию, подписки или личные кабинеты, то даже пользователь с базовым доступом потенциально может добраться до конфиденциальных данных.

Главная опасность в том, что через эту брешь можно читать произвольные файлы сервера и добавлять их в экспортный архив. Под ударом оказывается, например, файл wp-config.php — один из самых важных для WordPress. В нём хранятся учётные данные базы данных, криптографические ключи, а это уже вполне может открыть дорогу к краже данных и даже к полному захвату сайта.

В AJAX-действиях экспорта у плагина не хватало проверок прав доступа. Иными словами, функция, которая должна была быть доступна далеко не всем, в уязвимых версиях могла вызываться любым пользователем. Дополнительной защиты nonce здесь оказалось недостаточно, потому что получить его может и обычный вошедший в систему юзер.

Патч вышел 24 марта вместе с версией Smart Slider 3 3.5.1.34. Но есть нюанс: несмотря на выход обновления, проблема всё ещё остаётся массовой. По статистике WordPress.org, за последнюю неделю плагин скачали более 303 тысяч раз, однако исследователи полагают, что как минимум 500 тысяч сайтов до сих пор работают на уязвимых версиях.

На момент публикации данных об активной эксплуатации этой уязвимости ещё не было. Но в таких случаях окно спокойствия обычно бывает недолгим: как только информация о баге становится публичной, злоумышленники начинают быстро проверять, какие сайты не успели обновиться.

Так что владельцам сайтов на WordPress, использующим Smart Slider 3, тянуть тут явно не стоит. Если плагин ещё не обновлён до версии 3.5.1.34, лучше сделать это как можно быстрее.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!