Информационная безопасность

Разведка по 2GIS: как отзывы выдают ваши секреты

Перед тем как пойти в новое место, многие лезут в отзывы. Казалось бы — обычное дело. Но что, если я скажу, что ваш безобидный отзыв на шаурму у метро может раскрыть о вас гораздо больше, чем вы думаете?

Сегодня разберём, почему стоит дважды подумать, прежде чем писать отзывы, если вам важна приватность. И заодно — как эти отзывы могут использовать злоумышленники.

Причем здесь 2GIS?
В приложении у каждого авторизованного пользователя есть профиль, на который можно подписаться и следить за всеми отзывами. Многие думают: «Ну и что? Я же под ником "Аноним Анонимов"!»

Но вот в чём подвох:
➜ Если кто-то добавит ваш номер телефона в контакты, 2GIS подсветит ваш профиль — со всеми отзывами, фотками и активностью.

Что можно узнать из ваших отзывов?
1️⃣ Интересы — кафе, бары, магазины, кинотеатры… Всё, что вы оцениваете, рисует ваш цифровой портрет.
2️⃣ Место жительства — некоторые пишут отзывы на свои ЖК, ТЦ рядом с домом и даже на подъезды.
3️⃣ Круг общения — если вы и ваши друзья ходите в одни и те же места и оставляете отзывы, связь легко отследить.
4️⃣ Фотографии — машина, питомец, случайно попавшие в кадр документы… Мелочи, которые могут стоить дорого.

Вывод

Интернет ничего не забывает. Даже невинный отзыв может стать кусочком пазла, который сложит вашу жизнь перед злоумышленником.

Больше контента в моем авторском telegram-канале: https://t.me/ru_vm (BritLab)

Почему традиционные тренинги по ИБ не работают — и что с этим делать?

Коллеги из Ассоциации BISA выпустили отличный видеоподкаст с командой Start X: как применять теорию фреймов в обучении сотрудников и почему без понимания психологии устойчивую защиту не построить.

Рекомендуем к просмотру всем, кто отвечает за обучение, безопасность и работу с человеческим фактором.

InfoWatch примет участие в сессии «Киберстрахование: когда ждать прорыва?» на PHDays Fest 2025

Президент ГК InfoWatch Наталья Касперская поделится своим видением развития рынка киберстрахования в России.

Также на сцене — эксперты из «Кибериспытания», Mains, «СОГАЗ», Innostage, Red Security.

Участники обсудят:

• почему рынок киберстрахования растет медленно

• что мешает бизнесу и страховщикам создать прозрачные, понятные продукты

• как найти баланс между технологической экспертизой и требованиями регуляторов

23 мая, спорткомплекс «Лужники», Арена «Ломоносов», 15:40–16:40.

InfoWatch — новый участник Консорциума исследований безопасности технологий ИИ

ГК InfoWatch вступила в Консорциум исследований безопасности технологий искусственного интеллекта.

Эксперты ГК InfoWatch войдут в состав рабочих групп Консорциума. Будут участвовать в разработке нормативно-правовой базы для реализации национальной стратегии развития ИИ, тестировании уже существующих отечественных решений с точки зрения безопасности и в подготовке согласованных требований к процессам разработки при создании безопасных технологий ИИ.

Консорциум создан для исследований безопасности технологий ИИ при поддержке Минцифры России. Объединяет экспертов и организации для разработки безопасных, этичных и надежных технологий ИИ. Цель — минимизировать риски, обеспечить прозрачность и ответственное внедрение ИИ на благо общества.

Вебинар Jmix и Crosstech Solutions Group — о том, как разрабатывался продукт

CTSG создала на базе платформы Jmix новый продукт — систему для мониторинга и анализа активности в базах данных Crosstech Database Security (CTDS).

Мероприятие состоится 28 мая в 16:00

Среди спикеров:

— Артём Самченко, руководитель отдела разработки CTSG
— Али Гаджиев, директор по продукту CTDS

Также эксперты поделятся полезными инсайтами о Jmix — ролевая модель, политики, отчеты, и расскажут больше о новом решении CTDS и покажут демо.

@ctsg_news

Вышло обновление DLP-системы InfoWatch Traffic Monitor 7.12

Выпустили обновление DLP-системы InfoWatch Traffic Monitor. Агент новой версии получил поддержку работы с новыми версиями ОС.

Для соответствия требованиям госструктур агент InfoWatch Traffic Monitor версии 7.12 протестирован и поддерживает новые версии распространенных российских ОС — РЕД ОС 8 и Astra Linux 1.8.

Также в бета-версии агента добавлена поддержка macOS c возможностью контролировать HTTPS-трафик и события печати.

NotCVE - ещё одна база уязвимостей

В процессе подготовки статьи (Как я зарегистрировал CVE и разозлил вендора) искал информацию об уязвимостях, которые не были признаны разработчиками. И натнулся на проект NotCVE (он же !CVE). Проект появился как минимум с октября 2023 года. Удивительно, что в рунете практически нет упоминания этого проекта (нашёл только ссылку на этот ресурс на сайте БДУ).
Миссия проекта - предоставить общее пространство для уязвимостей, которые не признаны производителями, но при этом представляют собой серьезные проблемы безопасности. Если исследователь столкнулся с трудностями при присвоении CVE, авторы проекта готовы помочь - содействуя присвоению CVE. Либо, если это окажется безуспешным, присвоив NotCVE. База уязвимостей, которым присвоили NotCVE, пока скромная (всего 5 штук). Есть 3 варианта поиска, производящих поиск одновременно по базам CVE и NotCVE: с поддержкой фильтра по версиям, CVSS, наличию эксплоита, типу воздействия (у меня, правда, поиск по версиям плохо отработал - может, неверно составил запрос).

В часто задаваемых вопросах на сайте проекта приводят такой список причин обращаться к NotCVE:

• Проблема безопасности, которую производитель считает своей особенностью.

• Проблема безопасности, технически корректная, но выходящая за рамки модели угроз производителя.

• Отклонения CVE по причине окончания срока службы и поддержки.

• Проблема, которая может считаться уязвимостью по мнению MITRE, но не по мнению поставщика.

• Опубликованная проблема безопасности, которой не присвоен CVE по истечении 90 дней.

• Опубликованная проблема безопасности без присвоенного CVE.

Также есть опубликованное электронное письмо от представителей NotCVE (от 2023 года). Среди прочего там указано:

В некоторых случаях MITRE выступает за присвоение CVE, но вендор против. В таких случаях MITRE ничего не может сделать. По опыту мы можем сказать, что в итоге CVE не будет присвоен. Обратите внимание, что «проблема безопасности» не может быть даже названа «уязвимостью», потому что не является таковой (только у поставщика есть такие полномочия) в соответствии с правилами MITRE. Если что-то не является «уязвимостью», то нечего исправлять, нечего отслеживать и т. д. Поскольку такие проблемы остаются незамеченными, к ним следует относиться еще более осторожно, поскольку они, скорее всего, не будут исправлены. Поэтому платформа !CVE - это далеко не развилка, но она раскрывает проблемы безопасности, которые в противном случае останутся скрытыми для большинства из нас. Также платформа признает усилия исследователей безопасности, отдавая им заслуженное должное.

Моя личная практика это тоже подтверждает: разработчики Hyperledger Fabric всячески отказываются называть найденную мной проблему уязвимостью (CVE-2024-45244). И даже предлагали мне самому отозвать CVE. А когда я отказался - пытались оспорить назначение CVE, но безуспешно (подробности - в статье "Как я зарегистрировал CVE и разозлил вендора"). Более того, проблему исправили в версии 3.0.0 (см. поиск по тексту "TimeWindowCheck" в описании релиза 3.0.0) - вышла 20.09.2024. И не хотят исправлять в ветке 2.5.х (в которой продолжается выпуск новых версий после 20.09.2024). В связи с чем описание CVE-2024-45244 (в части уязвимых версий) сейчас не актуально.

Возможно, и я обращусь к NotCVE по нескольким потенциальным проблемам:

• IBM отказался признавать уязвимость в Instana, о которой я им сообщил на днях (UPD: назначено NotCVE-2025-0002);

• MITRE назначила CVE (CVE-2024-57695) найденной мной уязвимости 13-летней давности (сообщил им лишь в декабре 2024) ещё в январе 2025. Но, статус до сих пор RESERVED (подробнее об этом статусе);

• Docker отказался присваивать CVE (UPD: назначено NotCVE-2025-0002).

P.S. По такому случаю сделал ключевое слово "не бага а фича" - надеюсь, в дальнейшем по этому выражению на Хабре станет проще находить соотвествующие статьи\посты.

Тяжела и неказиста жизнь простого программиста статических анализаторов кода

Команда PVS-Studio, содействуя разработке методики испытаний статических анализаторов под руководством ФСТЭК, составляла некоторые синтетические тесты. Писать синтетические тесты сложнее, чем кажется, и с их достоверностью всегда масса нюансов. Я никогда не любил синтетические тесты и продолжаю их не любить. Но что делать, они тоже нужны, когда речь заходит о необходимости подтвердить, что в анализаторах реализован определённый набор технологий.

Даже зная и понимая нюансы составления синтетических тестов, мы всё равно наступили на собственные грабли! Переиграли сами себя :)

Есть составленные нами тесты, в которых в функцию srand или её аналог передаётся константное значение. Это приводит к тому, что функция rand каждый раз будет генерировать одинаковую последовательность псевдослучайных чисел. Такой код, согласно ГОСТ Р 71207-2024, п. 6.3.г, может являться ошибкой некорректного использования системных процедур и интерфейсов, связанных с обеспечением информационной безопасности (шифрования, разграничения доступа и пр.).

Когда тесты подготавливались в Compiler Explorer, всё работало: PVS-Studio выдавал предупреждение V1057. А сейчас, когда код мило и скромно лежит в файлах, не работает. На Compiler Explorer работает, а вне — нет. Магия. Уже собрались баг в анализаторе искать.

Ах нет, всё просто. Файлы с тестами называются test_err_*.cpp. И в детекторе срабатывает исключение N4: "Находимся в файле, содержащем в названии слова check/test/bench". Тьфу. Причём получается, что анализатор прав: это действительно тест, а не настоящий баг :) Вот оно, несовпадение реальности и синтетических проверок в действии. Выкрутимся как-нибудь, но решил описать, так как случай интересный.

Зачем такое исключение? При разработке анализатора самое важно состоит не в том, чтобы выдать предупреждение, а в том, чтобы постараться не выдать лишнее. У всех анализаторов ложноположительных срабатываний всегда больше, чем хочется.

При экспертизе коллекции проектов стало ясно, что если это файлы с тестами, то писать srand(константа) абсолютно нормально. Более того, так специально делают, чтобы тесты вели себя повторяемо от запуска к запуску. Вот и было принято решение сделать соответствующее исключение. Теоретически это может скрыть реальную ошибку, но на практике в большой коллекции проектов, на котором мы прогоняем новые диагностические правила, такого не было. Зато в юнит-тестах этих проектов такое встречалось часто, и, соответственно, предупреждение оказывалось бессмысленным.

Был рад поведать немного интересного из жизни разработчиков статических анализаторов кода. А если хочется послушать что-то ещё, приглашаю на подкаст "Статический анализ по серьёзному" с моим участием 27 мая в 19:00 по Москве.

ИБ-дайджест InfoWatch

Хакеры стали жертвами взлома

У группировки LockBit украли конфиденциальные данные и взломали сайт, разместив там информацию о более чем 70 администраторах и лицах, связанных со злоумышленниками.

Кибератака на металлургов

Производитель стали Nucor после инцидента ИБ пытается восстановить коммуникационную инфраструктуру и производственные процессы на нескольких предприятиях.

Департамент эффективности США слил данные

В результате заражения компьютера сотрудника были похищены ПДн и сведения о деятельности DOGE — злоумышленники также выложили их в сеть через базы программ-инфостилеров.

Инженеру грозит тюрьма за кражу информации

Программист из США приговорен к 1 году и 1 дню тюремного заключения за кражу запатентованной технологии своего бывшего работодателя.

Также он выплатит $14 тыс. штрафа и возместит ущерб в $18 тыс.

Worldcoin обязали удалить биометрию

Высший суда Кении предписал проекту биометрической криптовалюты Worldcoin Foundation за неделю удалить биометрические ПДн кенийцев, поскольку их собирали без оценки воздействия на защиту ПДн.

Anonymous украли данные по депортации

Хактивисты взломали GlobalX Airlines и завладели информацией о лицах, которые были депортированы из США — а также устроили дефейс веб-страницы авиакомпании и слили часть данных журналистам.

Clearview AI повторно оштрафовали за биометрию

Компания продолжает получать штрафы в Евросоюзе за незаконный сбор биометрических ПДн и неоднократное нарушение регламента GDPR —  в Соединенном Королевстве (около $10 млн), Франции ($22 млн), Нидерландах ($32 млн), Италии ($22 млн) и других государствах Европы.

Крупная утечка из британского ритейлера

Хакеры из DragonForce требуют выкуп за украденные данные 20 млн клиентов британского ритейлера Co-op.

Как искать ролики на YouTube по локации?

Недавно наткнулся на древнюю, но любопытную Google-таблицу с подборкой OSINT-инструментов.

Сразу привлёк внимание инструмент для поиска YouTube-видео по координатам: YouTube Geofind

Где может пригодиться?

1️⃣ Проверка достоверности информации
Если из одной локации поступают противоречивые данные, можно найти все видео с этого места и сравнить их.
2️⃣ Расследования и журналистика
Установление места съёмки: если видео якобы снято в Сирии, а координаты ведут в другую страну — это повод усомниться.
Поиск свидетелей: можно найти ролики, снятые рядом с местом события, и посмотреть, кто там был.
3️⃣ Кибербезопасность
Выявление фейков, где одно и то же видео выдают за съёмки из разных мест.
4️⃣ Краеведение
Анализ изменений локации: стройки, разрушения, природные катаклизмы — можно сравнить, как место выглядело раньше и сейчас.

Главный недостаток
➖Не у всех видео есть привязка к геолокации (не вина инструмента)

Как сделать свой Youtube Geofind?
Ключевой принцип работы инструмента прост и завязан на YouTube API (документация).

Чтобы найти видео по координатам, достаточно одного запроса:
https://www.googleapis.com/youtube/v3/search?part=snippet&type=video&location={latitude}2C{longitude}&locationRadius={radius}&publishedAfter={publishedAfter}&key={API_KEY}
Где:
— latitude и longitude - широта и долгота;
— radius - радиус
— publishedAfter - значение даты и времени в формате RFC 3339 (1970-01-01T00:00:00Z), которое указывает, что ответ API должен содержать только видео, созданные в указанное время или после него
— API_KEY - ваш API-ключ, который можно получить через Google Console

Пример запроса (все видео в радиусе 200 м от Красной площади, опубликованные после 00:00 9 мая 2025 года):
https://www.googleapis.com/youtube/v3/search?part=snippet&type=video&location=55.7539%2C37.6208&locationRadius=200m&publishedAfter=2025-05-09T00:00:00Z&key=<ваш API-ключ>

В ответ получаем JSON с найденными видео (пример на прилагаемом к посту скриншоте).
Метод поддерживает и другие параметры — подробнее в официальной документации.

Заключение
Важно помнить, что любые инструменты — лишь вспомогательные средства. Не стоит забывать о критическом мышлении и перекрёстной проверке.

Больше контента в моем авторском telegram-канале: https://t.me/ru_vm (BritLab)

Сертификация знаний по работе с InfoWatch Traffic Monitor на платформе СЛMетрикс

Сертификация «Использование и администрирование InfoWatch Traffic Monitor» появилась на платформе Академии Softline — СЛМетрикс.

Онлайн-экзамен разработан Академией InfoWatch и состоит из 35 вопросов. Вопросы проверяют знания по настройке и использованию DLP-системы InfoWatch Traffic Monitor:

• конфигурация серверов, агентов и политик безопасности;

• контроль отправки, печати и копирования данных;

• мониторинг и аудит;

• настройка правил защиты данных и контроля доступа.

Говорят, что врага надо знать в лицо!

Вот и мы решили посмотреть, какие веб-атаки чаще всего отражала наша платформа «Вебмониторэкс» с начала этого года.

Оказалось, что большая часть (40%) – это межсайтовый скриптинг (XSS), доля которого за год значительно выросла. А значит, злоумышленники нацелились не только на владельцев, но и на пользователей веб-ресурсов.

Как много данных о себе мы вводим в форму на каком-нибудь сайте заказа билетов, онлайн-магазина или клиники! А учетка админа корпоративной сети – это вообще джекпот!

Наша аналитика об атаках на веб-приложения легла в основу статьи газеты «Коммерсант».

Как защитить коммерческую информацию и сохранить преимущество — вебинар 15 мая

Почти треть утечек информации в прошлом году происходила в сфере торговли.  Специфические информационные активы отрасли торговли — прайс-листы, документация с коммерческими условиями — это коммерческая ценность для злоумышленников.

Приглашаем на вебинар «Как защитить коммерческую информацию и сохранить преимущество» 15 мая в 11:00. Участие бесплатное.

Спикер — Александр Клевцов, руководитель по развитию продукта InfoWatch Traffic Monitor.

На вебинаре обсудим, в чем сложность защиты коммерческих данных и sale-информации и почему не все DLP-вендоры могут обеспечить их защиту и данные продолжают утекать. На примере кейсов заказчиков DLP-системы InfoWatch Traffic Monitor расскажем, как мы в InfoWatch решили эту задачу.

Регистрация на нашем сайте.

Сегодня в 18:00 генеральный директор Онлайн Патента Алина Акиншина выступит на вебинаре "Защита интеллектуальных прав на IT-разработки".

Вебинар поможет разобраться в регистрации интеллектуальных прав на IT-разработки, рисках и способах их защиты.

Мы обсудим, как зарегистрировать программное обеспечение и код стартапа, а также какие методы охраны — регистрация, депонирование, патентование или сохранение в тайне — лучше подходят для IT-продуктов.

Эксперты расскажут о рисках и возможностях регистрации прав, а также о том, как фиксировать права при участии нескольких авторов. Особое внимание уделим структурированию сделок между индустриальными партнерами и студенческими стартапами, особенно в контексте выпускных работ.

❓ Слушатели смогут задать вопросы и получить рекомендации по сложным ситуациям, с которыми сталкиваются молодые предприниматели и разработчики.

Регистрация по ссылке.

Приглашаем на вебинар, посвященный последним обновлениям IVA MCU — ведущей платформы видеоконференцсвязи на российском рынке*

Вы узнаете, как новая версия помогает повысить безопасность коммуникаций, упростить внедрение и сделать работу сотрудников комфортной и продуктивной. Наши эксперты продемонстрируют интерфейс, расскажут о новых функциях с ИИ, покажут реальные кейсы внедрения и ответят на все ваши вопросы.

Спикеры

• Дмитрий Журавлев, директор по продукту IVA MCU

• Дмитрий Чугунов, руководитель управления поддержки продаж

Что вас ждет

• Обзор ключевых функций новой версии IVA MCU

• Экскурс: как мы обеспечиваем безопасность платформы

• Примеры успешного внедрения

• Дорожная карта развития на 2025 год

• Ответы на вопросы

Зарегистрироваться прямо сейчас.

 _{*По данным CNews Analytics: Крупнейшие поставщики решений для видеоконференцсвязи 2023.}

Задача о поиске флага в журналах системы

Несложная задача с CTF-турнира. Будет интересна всем, кто интересуется информационной безопасностью.

Условие
Представьте, что вы — дежурный инженер. Вместе с коллегами вы ежедневно фиксируете состояние информационной системы в специальном журнале. Этот документ помогает определять угрозы и вовремя на них реагировать.

Однажды ваши коллеги рассказали, что где-то на странице журнала находится флаг. Но вот где именно — не раскрыли. Попробуйте найти этот флаг без подсказок коллег.

Задача
Найдите флаг — строку в формате slcctf{}. Чтобы выполнить задание, перейдите на страницу http://findme.slcctf.fun/.

Делитесь своим решением в комментариях. А правильный ответ можно посмотреть в Академии Selectel.

Продолжая тему взаимодействия с MITRE насчёт CVE. В прошлый раз я обращался к MITRE из-за нежелания вендора Docker создавать CVE. Теперь же я попытался внести уточнение к существующей записи CVE-2018-14847, описание которой не слишком точное:

MikroTik RouterOS through 6.42 allows unauthenticated remote attackers to read arbitrary files and remote authenticated attackers to write arbitrary files due to a directory traversal vulnerability in the WinBox interface.

По такому описанию можно подумать, что уязвимы абсолютно все версии ниже 6.42. На самом деле это не так. Более точное описание есть у вендора MikroTik:

Versions affected:

• Affected all bugfix releases from 6.30.1 to 6.40.7, fixed in 6.40.8 on 2018-Apr-23

• Affected all current releases from 6.29 to 6.42, fixed in 6.42.1 on 2018-Apr-23

• Affected all RC releases from 6.29rc1 to 6.43rc3, fixed in 6.43rc4 on on 2018-Apr-23

Но, и оно не совсем правдивое. Как минимум версия 6.28 уязвима (проверял используя этот эксплоит). Я обратился в MITRE через эту форму (выбрал "Request an update to an existing CVE Entry"), объяснив всё это. В итоге MITRE лишь добавили ссылку на описание уязвимости от вендора (обновление от 28.04.2025). Это в очередной раз подтверждает, что при оценке угроз не стоит полностью полагаться ни на CVE, ни на информацию от вендора. О чём говорю не только я. Был у меня личный опыт, показывающий неточность в описании уязвимых версий со стороны вендора: Cisco UCS Manager. А если пытаться смотреть на CVE, указанные вендором по этой проблеме - так каши в голове становится лишь больше: в CVE речь о версиях bash (а какая версия bash в какой прошивке и оборудовании есть - в CVE не указывается).

ГОСТ Р 56939-2024 – Разработка безопасного программного обеспечения (РБПО)

20 декабря 2024 года введён ГОСТ Р 56939-2024 взамен ГОСТ Р 56939—2016. Хотя уже прошло около полугода, не все про это знают, осознают это или как-то подстраиваются под произошедшие изменения :) А изменения есть, так как новый ГОСТ ориентирован на построение и контроль процессов, обеспечивающих цикл безопасной разработки в компании.

Несколько информационных моментов.

1. Цикл публикаций в моём канале "Бестиарий программирования" на тему РБПО

Я начинаю большой цикл публикаций в Telegram, посвящённый РБПО и ГОСТ Р 56939-2024. Приглашаю подписываться всех, кто хочет постепенно знакомиться с этой темой и разбираться в ней.

2. Вебинары РБПО-направленности

Мы уже провели совместно с другими компаниями два вебинара, связанных с ГОСТ Р 56939-2024:

1. Интеграция статического анализа и DevSecOps: PVS-Studio и AppSec.Hub в действии.

2. Внедрение процессов безопасной разработки. Интеграция PVS-Studio и SGRC SECURITM.

Приглашаем принять участие в следующем совместном с "ИНСЕК" вебинаре "Регулярный статический анализ по ГОСТу" (21 мая 12:00 по Москве), где они презентуют InSeq RBPO.

Приглашаем и другие компании к технологическому и/или информационному сотрудничеству. Напишите нам в поддержку или моему ассистенту.

3. Сертификация ФСТЭК

В последнее время нас спрашивают, подходит ли PVS-Studio для сертификации, и есть ли у нас сертификат ФСТЭК?

Для PVS-Studio нет сертификата ФСТЭК, так как он не нужен (для статических анализаторов процедура сертификации является добровольной).

PVS-Studio может использоваться как инструментальное средство статического анализа кода при построении процессов РБПО по ГОСТ Р 56939-2024.

PVS-Studio успешно применяется испытательными лабораториями, аккредитованными в системах сертификации средств защиты информации ФСТЭК России в рамках работ по сертификационным испытаниям программных продуктов, так как соответствует необходимым критериям (для заказчиков и сертификационных лабораторий мы подготовили информационное письмо):

• PVS-Studio включён в Реестр российского ПО (запись № 9837 от 18.03.2021);

• PVS-Studio удовлетворяет функциональным требованиям к инструментам статического анализа кода, описанным в Методическом документе "Методика выявления уязвимостей и недекларированных возможностей в программном обеспечении" (издание второе, доработанное, утверждён ФСТЭК России 25 декабря 2020 г.);

• продукт разрабатывается с учётом требований, предъявляемых к статическим анализаторам в ГОСТ Р 71207–2024.

Подробнее: Сертификация ФСТЭК. Если у вас есть вопросы, напишите нам в поддержку или позвоните по телефону +7(903)844-02-22.

В феврале 2025 вышел релиз Docker Engine 28.0.0, устранивший проблемы безопасности:

Fix a security issue that was allowing remote hosts to connect directly to a container on its published ports. moby/moby#49325
Fix a security issue that was allowing neighbor hosts to connect to ports mapped on a loopback address. moby/moby#49325

В официальном блоге вышла статья с подробностями проблемы и возможными сценариями атак. Но, CVE заводить разработчики не захотели. Я не знаю какими принципами руководствовались разаботчики. По мне слова "Fix a security issue" тождественны созданию CVE. Я обратился в MITRE с описанием ситуации через эту форму (выбрал Request type - other). И получил такой ответ:

Thanks for the submission. We will treat this as a dispute/escalation request and reach out to Docker next. Hopefully that will spur them on to assign (it often does) but if not, we will take a look at assignment. 

Once we hear back we'll let you know if they changed their mind and decided to assign or what the next steps will be.

Надеюсь, CVE заведут. Мне и моим коллегам по цеху по безопасности гораздо удобнее оценивать безопасность архитектуры, имея единый источник проблем безопасности (база CVE). А не рыскать по всему интернету, пытаясь собрать воедино информацию о проблемах безопасности конктерных продуктов, придумывая какие-то запросы, вовзращающие релевантную информацию. Даже если описание в самом CVE сухое - всегда проще искать подробности по уникальному идентификатору CVE, чем выдумывать разные запросы для каждого конктерного продукта.

К сожалению, нежелание признавать CVE со стороны различных разработчиков случается периодически. В моей практике была ситуация, когда разработчик не просто не хотел заводить CVE, а ещё и желал, чтоб я сам отозвал CVE. После моего отказа пытался CVE оспорить (но, неудачно). Подробности - в статье "Как я зарегистрировал CVE и разозлил вендора"

Личный кабинет налогоплательщика, или как потерять доступ, если бы не длинный буфер обмена Windows 11

Обнаружил сценарий, при котором можно потерять доступ к личному кабинету (ЛК) налогоплательщика, если не сохранять в отдельном месте генерируемые пароли.

1. Входим в ЛК.

2. Нажимаем "Изменить пароль" в настройках профиля.

3. Генерируем пароль сторонним сервисом, назовем его "Пароль 1".

4. Вводим пароль, сохраняем.

5. Вдруг система говорит, что в пароле нет цифр!..

6. Хорошо, генерируем новый пароль, с цифрами.

7. Вводим новый пароль... О-па, а в поле "Старый пароль" уже неверный пароль.

8. Нервно ищем Пароль 1. Оказывается, что он применился, несмотря на ругань системы. Если не нашли, то всё... Мне помог длинный буфер обмена Windows 11.

Шёл 21-й век.