Tydzień bez wycieku tygodniem straconym – Imperva

To trochę taki „odgrzewany kotlet” za to całkiem strawny, bo podany profesjonalnie. W tym tygodniu Imperva wyraziła żal oraz opisała incydent bezpieczeństwa i podjęte przez firmę kroki zapobiegawcze. Przypomnijmy 27 sierpnia 2019 r. Imperva ogłosiła incydent bezpieczeństwa, który miał wpływ na część klientów Cloud WAF (dawna Incapsula).
Teraz na swojej stronie Izraelska firma opublikowała dokładny scenariusz incydentu, przebieg inwestygacji oraz wymieniła kroki naprawcze. Nie ma co ukrywać był to strzał wizerunkowy niemniej warto zapoznać się z tym przypadkiem, żeby poćwiczyć zarządzanie kryzysowe.


Multifactor nie taki znowu bezpieczny jak myślisz (kotku)

Federalne Biuro Śledcze USA (FBI) wysłało w zeszłym miesiącu do partnerów prywatnych z branży, poradę dotyczącą rosnącego zagrożenia atakami na organizacje i ich pracowników, które mogą ominąć rozwiązania uwierzytelniania wieloskładnikowego (MFA).
„FBI zaobserwowało, że cyberprzestępcy omijają uwierzytelnianie wieloskładnikowe poprzez wspólne ataki socjotechniczne i techniczne”, napisały służby federalne w prywatnym powiadomieniu wysłanym 17 września.
Chociaż obecnie istnieje wiele sposobów na ominięcie zabezpieczeń MFA, alert FBI wyraźnie ostrzegał o zamianie kart SIM, podatności na stronach internetowych obsługujących operacje MFA oraz o zastosowaniu przezroczystych serwerów proxy, takich jak Muraen i NecroBrowser.


Hack back czyli twórcy ransomware zhackowani przez swoją ofiarę.

Tobias Frömel – ofiara ransomware Muhstik (oprogramowanie zostało nazwane Muhstik na podstawie rozszerzenia pliku .muhstik) zhakował swoich atakujących i opublikował prawie 3000 kluczy odszyfrowujących wraz z bezpłatnym deszyfratorem, które pozwalają odzyskać pliki.

Po zapłaceniu okupu w wysokości 670 €, Tobias Frömel zhakował serwer atakujący z powrotem. W wywiadach prasowych Frömel owiedział, że baza danych zawiera powłoki sieciowe, które umożliwiły mu dostęp do skryptu PHP dla nowej ofiary w celu wygenerowania haseł. Użył tej samej powłoki internetowej do stworzenia nowego pliku PHP opartego na generatorze kluczy i użył go do wygenerowania specjalnych HWID dla każdej ofiary oraz klawiatur deszyfrujących dla 2.858 ofiar Muhstik przechowywanych na serwerze.
Identyfikatory HWID i odpowiadające im klucze deszyfrujące zostały następnie wymienione z ofiarami Muhstika na Twitterze.