В этой статье я расскажу, как при проведении пентеста вскрыл целый ряд уязвимостей одного веб‑сервиса, которые в итоге дали мне доступ к аккаунтам любых пользователей. Я вкратце опишу каждую уязвимость, а затем посмотрим, что надо сделать, чтобы закрыть подобные дыры.
Представители компании Google сообщили российским СМИ, что стремятся сохранить свои бесплатные сервисы доступными в России. …
Начиная с 1 октября 2024 года, все учетные записи на WordPress.org, которые имеют право отправлять обновления и вносить изме…
Власти Сингапура объявили, что через три месяца откажутся от использования одноразовых паролей (one-time password, OTP), дос…
Компания Twilio предупредила, что незащищенный эндпоинт API позволял злоумышленникам узнать миллионы телефонных номеров поль…
GitHub напоминает пользователям о том, что в скором времени функциональность сайта может быть ограничена, если они не включа…
Недавно аккаунты, принадлежащие нескольким разработчикам игр, были взломаны, а для их игр вышли обновления с вредоносным ПО.…
Разработчики Python Package Index (PyPI) сообщили, что до конца года двухфакторная аутентификация (2ФА) должна быть включена…
Ранее на этой неделе компания Google сообщила, что в приложении Google Authenticator наконец появится функция резервного коп…
Компания Google обновила приложение Google Authenticator для Android и iOS, наконец добавив в него возможность синхронизации…
20 марта 2023 года компания Twitter отключит двухфакторную аутентификацию (2ФА) на основе SMS для всех пользователей, не име…
Представители репозитория Python Package Index (PyPI) анонсировали введение обязательной двухфакторной аутентификации для со…
GitHub сообщает, что вводит новые правила, касающиеся безопасности и двухфакторной аутентификации (2ФА). К концу 2023 года в…
Из-за участившихся атак на цепочку поставок и взломов администраторы Node Package Manager (npm) приняли решение обязать влад…
Приложение 2FA Authenticator, скачанное из Google Play Store около 10 000 раз, предлагало работающую двухфакторную аутентифи…
Компания Twitter опубликовала отчет о прозрачности, из которого следует, что владельцы всего 2,3% активных учетных записей в…
В популярнейшей панели управления хостингом обнаружили ошибку, которая позволяет обойти двухфакторную аутентификацию учетных…
Компания Microsoft поделилась интересной статистикой: все больше людей используют альтернативные решения для аутентификации,…
Приложение Google Authenticator позволяет другим приложениям делать скриншоты своих одноразовых кодов. Впервые инженерам Goo…
На конференции RSA компания Microsoft представила доклад, согласно которому 99,9% скомпрометированных учетных записей не исп…
Банковский троян Cerberus научился похищать коды двухфакторной аутентификации, сгенерированные приложением Google Authentica…
На прошлой неделе разработчики Google сделали 2ФА обязательной для всех пользователей Nest, а теперь такие же правила введен…
Команда безопасности npm рассказывает, что менее 10% разработчиков JavaScript-библиотек используют двухфакторную аутентифика…
Начиная с 2020 года разработчики расширений для Firefox будут обязаны использовать двухфакторную аутентификацию.
Хакеры ломают умные камеры Ring и терроризируют их владельцев, транслируя происходящее в прямом эфире. К примеру, неизвестны…
С момента взлома аккаунта главы Twitter Джека Дорси прошло почти три месяца. И разработчики наконец разрешили пользователям …
Представители Twitter сообщили, что компания по ошибке задействовала email-адреса и номера телефонов, использующиеся для дву…
Пользователям Chromebook рекомендуют как можно скорее обновить свои устройства из-за критической уязвимости в эксперименталь…
По статистике Microsoft, пользователи, использующие многофакторную аутентификацию для своих учетных записей, защищены намног…
В июне сообщество администраторов в Telegram захлестнула волна воровства каналов. Аккаунты мошенников разные, но почерк один — покупка канала и предварительный созвон в Skype. Чем новый способ отличается от прежних и как обезопасить себя? Сейчас расскажу.
Специалист компании ESET обнаружил новый вид мошенничества и опасные приложения для Android.
Некоторые аппаратные ключи компании Yubico оказались ненадежными, теперь пользователям предлагают замену.
Теневые форумы изобилуют предложениями о взломе аккаунтов. В большинстве случаев атаки устраивают при помощи фишинга с подделкой страницы авторизации. Однако такой метод неэффективен, если пользователю приходит SMS с проверочным кодом. Я покажу, как пробить двухфакторную аутентификацию, на примере взлома аккаунта Google редактора «Хакера».
В последние годы одного лишь пароля для защиты важных учетных записей от неавторизованного доступа стало недостаточно. Большинство крупных компаний ввели сначала опциональную, а потом — усиленно рекомендуемую защиту вторым фактором аутентификации. Но что будет, если пароль ты помнишь, а доступа ко второму фактору нет? Попробуем разобраться.
Аппаратное решение для двухфакторной аутентификации, ключи Titan Security Key, оказались подвержены неприятному багу, связан…
Apple оповестила разработчиков, что до 27 февраля 2019 года им стоит настроить двухфакторную аутентификацию, если они еще эт…
Специалисты в очередной раз предупредили о небезопасности двухфакторной аутентификации посредством текстовых сообщений и объ…
Исследователи обнаружили плохо защищенною базу компании Voxox, из которой любой желающий мог извлекать SMS с кодами 2ФА, пар…
Разработчики Instagram объявили, что собираются улучшить двухфакторную аутентификацию, добавив поддержку сторонних приложени…
Исследователи Group-IB провели исследование утечек учетных данных пользователей криптовалютных бирж и проанализировала харак…
Сайт защищен Qrator —
