Утечка данных в Китае

В сети Тор найдены  пресональныеи данные 202 миллионов китайских соискателей на работ.

скачать тор онион браузер
тор онион сайты

В интернете обнаружена самая большая база данных, содержащая записи о более чем 202 миллионах граждан Китая, которые были доступными без аутентификации до прошлой недели.

Незащищенные 854,8 гигабайта базы данных хранились в экземпляре MongoDB, высокопроизводительной и кросс-платформенной базе данных NoSQL, размещенной в американской серверной компании.

В общей сложности база данных содержала 202 730 434 записей о кандидатах на работу из Китая, включая личную информацию кандидатов, такую ​​как их полное имя, дата рождения, номер телефона, адрес электронной почты, статус брака и водительские права, а также их профессиональный опыт и работа. ожидания.

Боб Дьяченко, директор по исследованиям кибернетических рисков в Hacken.io и платформе Backy Backy HackenProof, обнаружил существование базы данных две недели назад. База была удалена после его уведомления в Twitter.

«Стоит отметить, что журнал MongoDB дал информацию о как минимум дюжине IP-адресов, которые могли получить доступ к данным до того, как они были переведены в автономный режим», — заявил Дьяченко.

Хотя источник данных до сих пор неизвестен, Дьяченко полагает, что кто-то мог использовать старый инструмент для очистки резюме, называемый «импорт данных», чтобы собрать резюме всех этих соискателей с различных китайских классифицированных веб-сайтов, таких как bj.58.com.

Дьяченко также связался с командой BJ.58.com, которая затем сообщила ему, что утечка данных произошла не с ее веб-сайта, но предположила, что она могла быть получена от третьей стороны, которая собирает данные со многих HR-сайтов.


«Мы провели поиск по всей нашей базе данных и исследовали все остальные хранилища, и выяснилось, что данные образца у нас не просочились», — заявил представитель BJ.58.com.

За последние годы незащищенные серверы MongoDB раскрыли миллиарды записей.

Joanap Malware

ФБР против «Joanap Malware». Уничтожить северокорейский ботнет
гидра магазин

Министерство юстиции Соединенных Штатов (DoJ) объявило в среду о своих усилиях по «картированию и дальнейшему нарушению» ботнета, связанного с Северной Кореей, который за последнее десятилетие заразил множество компьютеров Microsoft Windows по всему миру.

Считается, что ботнет, названный Joanap, является частью «Скрытой кобры» — группы актеров Продвинутой Постоянной Угрозы (APT), часто называемой Группой Лазаря и Стражами Мира и поддерживаемой правительством Северной Кореи.

Hidden Cobra — это та же хакерская группа, которая, как утверждается, была связана с угрозой вымогателей WannaCry в 2016 году, атакой SWIFT Banking в 2016 году, а также взломом Sony Motion Pictures в 2014 году.

Начиная с 2009 года, Joanap — это инструмент удаленного доступа (RAT), который попадает в систему жертвы с помощью червя SMB под названием Brambul, который сканирует с одного компьютера на другой путем общего перебора файлов Windows Server Message Block (SMB). услуги с использованием списка общих паролей.

Оказавшись там, Brambul загружает Joanap на зараженные компьютеры Windows, эффективно открывая бэкдор для его вдохновителей и предоставляя им удаленный контроль над сетью зараженных компьютеров Windows.

Если вы хотите победить их, то сначала присоединяйтесь к ним

Интересно, что компьютеры, зараженные ботнетом Joanap, не принимают команды от централизованного командно-контрольного сервера; вместо этого он опирается на инфраструктуру одноранговой связи (P2P), что делает каждый зараженный компьютер частью системы управления и контроля.

Несмотря на то, что Joanap в настоящее время обнаруживается многими системами защиты от вредоносных программ, включая Защитника Windows, инфраструктура одноранговой связи (P2P) вредоносных программ все еще оставляет большое количество зараженных компьютеров подключенными к Интернету.

Таким образом, чтобы идентифицировать зараженные хосты и уничтожить ботнет, ФБР и Управление специальных расследований ВВС (AFOSI) получили юридические ордера на обыск, которые позволили агентствам присоединиться к ботнету, создав и запустив «намеренно зараженные» компьютеры, имитирующие его сверстников для сбора данных. как техническая, так и «ограниченная» идентифицирующая информация в попытке сопоставить их, говорится в пресс-релизе Министерства юстиции.

«Хотя ботнет Joanap был обнаружен несколько лет назад и может быть побежден с помощью антивирусного программного обеспечения, мы выявили множество незащищенных компьютеров, на которых размещалось вредоносное ПО, лежащее в основе ботнета», — сказал прокурор США Николай Т. Ханна.

« Ордера на обыск и судебные постановления, объявленные сегодня в рамках наших усилий по искоренению этого ботнета, являются лишь одним из многих инструментов, которые мы будем использовать для предотвращения использования ботнетами киберпреступников для нанесения ущерба компьютерным вторжениям ».

Собранная информация о компьютерах, зараженных вредоносным ПО Joanap, включала в себя IP-адреса, номера портов и временные метки подключения, что позволило ФБР и AFOSI построить карту текущего ботнета Joanap.

В настоящее время агентства уведомляют жертв о наличии Joanap на своих зараженных компьютерах через своих интернет-провайдеров (ISP) и даже отправляют персональные уведомления людям, у которых нет маршрутизатора или брандмауэра, защищающего их системы.

Министерство юстиции США и ФБР также будут координировать уведомление зарубежных жертв вредоносного ПО Joanap путем обмена данными с правительством других стран.

Усилия по срыву ботнета Joanap начались после того, как Соединенные Штаты раскрыли обвинения против северокорейского программиста по имени Пак Джин Хёк в сентябре прошлого года за его участие в организации атак на вымогателей Sony Pictures и WannaCry.

Джоанап и Брамбул были также найдены на компьютерах жертв кампаний, перечисленных в сентябрьском обвинительном акте Хёка, предполагая, что он помогал развитию ботнета Джоанапа.

Кража биткойнов

Rogue Developer заражает широко используемый модуль NodeJS для кражи биткойнов

  
Широко используемый сторонний модуль NodeJS с почти 2 миллионами загрузок в неделю был скомпрометирован после того, как один из его разработчиков с открытым исходным кодом стал мошенником, который заразил его вредоносным кодом, запрограммированным для кражи средств, хранящихся в приложениях кошелька Биткойн.


Рассматриваемая библиотека Node.js — это Event-Stream, набор инструментов, который позволяет разработчикам легко создавать и работать с потоками, коллекцией данных в Node.js — точно так же, как массивы или строки.

Вредоносный код, обнаруженный ранее на этой неделе, был добавлен в версию 3.3.6 Event-Stream, опубликованную 9 сентября через репозиторий NPM, и с тех пор его скачали почти 8 миллионов разработчиков приложений.

Модуль Event-Stream для Node.js изначально был создан Домиником Тарром, который долгое время поддерживал библиотеку Event-Stream, но несколько месяцев назад передал разработку и сопровождение проекта неизвестному программисту по имени right9ctrl.


Очевидно, right9ctrl завоевал доверие Доминика, внеся значительный вклад в проект.

После получения доступа к библиотеке новый законный сопровождающий «Right9ctrl» выпустил в качестве зависимости версию-потока Event.6 Stream, содержащую новую библиотеку Flatmap-Stream, которая была специально разработана для целей этой атаки и включает вредоносный код.

Так как модуль потока плоских карт был зашифрован, вредоносный код оставался незамеченным в течение более 2 месяцев, пока Айртон Спарлинг (FallingSnow), студент информатики в Университете штата Калифорния, не объявил о проблеме во вторник на GitHub.

Проанализировав запутанный код и зашифрованную полезную нагрузку, менеджер проекта с открытым исходным кодом NPM, который размещал поток событий, обнаружил, что вредоносный модуль предназначен для людей, использующих приложение BitPay для кошелька биткойнов с открытым исходным кодом, компанию Copay, которая включила поток событий в свой приложение.


Вредоносный код пытался украсть цифровые монеты, хранящиеся в кошельках биткойнов Dash Copay — распространяемые через менеджер пакетов узлов (NPM), — и передать их на сервер, расположенный в Куала-Лумпуре.

Официальные лица из NPM — менеджера проекта с открытым исходным кодом, который размещал библиотеку кода событийного потока — удалили черный ход из списка NPM в понедельник на этой неделе.

BitPay также опубликовал рекомендацию, в которой говорится, что на версии Copay 5.0.2–5.0 вредоносный код повлиял, и пользователям, у которых установлены эти версии, следует избегать запуска или открытия приложения, пока они не установят Copay версии 5.2.0.

«Пользователи должны предполагать, что закрытые ключи в затронутых кошельках могли быть скомпрометированы, поэтому им следует немедленно перевести средства на новые кошельки (v5.2.0)», — говорится в сообщении BitPay.

«Пользователи должны сначала обновить свои затронутые кошельки (5.0.2-5.1.0), а затем отправлять все средства из затронутых кошельков в совершенно новый кошелек версии 5.2.0, используя функцию Send Max для инициирования транзакций всех средств».

BitPay также говорит, что его команда продолжает исследовать эту проблему и степень уязвимости, чтобы узнать, использовался ли когда-либо вредоносный код против пользователей Copay.

BitPay заверяет своих пользователей, что приложение BitPay не было уязвимо для вредоносного кода.