Информационная безопасность

OpenRedirect в IBM Instana (NotCVE-2025-0002)

Instana - платформа для мониторинга приложений и инфраструктуры. Эту особенность я нашёл пару месяцев назад совершенно случайно. Забавно, что год назад на собеседовании я не смог ответить на вопрос: что такое OpenRedirect (описан в CWE-601) - растерялся. А сейчас вот сам нашёл. Проблема довольно тривиальна: с помощью специально сформированной ссылки можно заставить браузер жертвы выполнить произвольный GET-запрос. Жертва должна быть авторизована в Instana. Пример ссылки:

https://instana.com/auth/signIn?returlUrl=https%3A%2F%2Fsite.com%2Fchangepassword%3Fuser%3Dadmin%26newpassword%3Dtest

На рисунке ниже виден результат перехода по подобной ссылке: сервер отвечает кодом 302 и через location перенаправляет пользователя на нужный ресурс.

Изначально я пытался зарегистрировать CVE. Продукт Instana принадлежит IBM. А IBM является CNA партнёром MITRE (подробнее про CNA). Т.е. для регистрации CVE нужно обращаться не к MITRE, а к IBM напрямую. Что я и сделал. Ответ от IBM был таков:

We need to see more impact beyond phishing. If you are able to chain this issue with further exploitation (ex: token theft, xss bypass, SSRF, etc…) then please let us know. You will see that other vulnerability programs (example: google) take a similar stance on open redirects.

We recommend taking a look at the following external resources for further information on open redirect issues we would be interested in addressing:

• https://www.youtube.com/watch?v=84nYxHwbCpU

• https://blog.detectify.com/industry-insights/the-real-impact-of-an-open-redirect/

We thank you for your efforts in helping keep IBM products secure. Please reference any further communication related to this issue via your original HackeOne ticket so we can better track this finding.

Нежелание признавать уязвимость со стороны разработчиков - не такая уж и редкость. В моей практике бывало, что разработчики даже пытались оспаривать CVE. Я решил вместо дальнейших исследований по повышению импакта обратиться в NotCVE - сервис как раз для подобных случаев (делал об этом сервисе заметку). Тем более уже был опыт взаимодействия с ними. И буквально через пару дней получил ответ, что уязвимости назначен идентификатор NotCVE-2025-0002.

Проблема замечена в версии User interface v1.293.809 + Backend Tag v3.293.425-0. В этой версии проблемы нет: User interface Tag 1.267.675 + Backend Tag 3.267.347-0

Опрос компаний про страхование киберрисков

Мы продолжаем исследовать ущерб от утечек данных. Теперь хотим узнать о страховании киберррисков — прежде всего тех, что привели к утечкам.

Пожалуйста, поделитесь опытом в коротком анонимном опросе, который займет всего несколько минут.

Это поможет нам сформировать объективную картину зрелости рынка страхования киберрисков.

Результатами поделимся в новых материалах.

Задача об анализе адреса

Задание будет интересно всем, кто любит CTF-турниры или просто не боится вызовов. Особенно — новичкам или опытным специалистам по информационной безопасности.

Условие
Вы — участник CTF-турнира. Ваша задача — как можно быстрее найти флаг.
Что известно: флаг находится на нестандартном порту сервера. Чтобы его получить, необходимо проанализировать адрес 79.141.77.70.

Задача
Найдите флаг — строку в формате slcctf{}.

Предлагайте свое решение в комментариях. Подсмотреть его можно в Академии Selectel.

NotCVE-2025-0001

Прошёл месяц с момента моего обращения в MITRE про нежелание разработчиков  делать CVE из-за фикса в Docker Engine 28.0.0. От MITRE никаких новостей больше не было. Поэтому я обратился в NotCVE (об этом сервисе я делал заметку). Спустя буквально пару дней меня оповестили о создании идентификатора NotCVE-2025-0001.
Проект NotCVE пока ещё мало известен. По этой причине по запросу "NotCVE-2025-0001" пока далеко не во всех поисковиках что-то можно найти (в Гугл нашёл 1 запись, в Яндексе и DuckDuckGo - ничего). Да и идентификаторов в NotCVE пока всего лишь 6. Очень надеюсь, что проект обретёт популярность и количество идентификаторов увеличится. И в первую очередь - из-за повышения осведомлённости об этом проекте и увеличении обращений (из-за нежелания разработчиков признавать проблему и создавать CVE). В данном случае показательно, что идентификатор NotCVE-2025-0001 завели по моему обращению несмотря на то, что проблему нашёл не я. Я просто не смог пройти мимо, увидев нежелание разработчиков регистрировать CVE.

ИБ-ДАЙДЖЕСТ INFOWATCH

Утечка ПДн миллионов пациентов

Исследователи группы Cybernews обнаружили в открытом доступе на облачном сервисе MongoDB профили около 2,7 млн пациентов из США и 8,8 млн записей о приемах у врачей.

Кибератака на медиагиганта

Группировка Qilin с помощью вируса-вымогателя украла у медиакомпании Lee Enterprises ПДн почти 40 тыс. человек и 120 тыс. документов общим объемом порядка 350 ГБ.

Columbia Sportswear судится из-за кражи информации

Производитель экипировки для активного отдыха обвиняет двух бывших топ-менеджеров в краже 4700 файлов конфиденциальной информации.

The North Face призналась в утечке данных

Компания уведомила клиентов о взломе учетных записей и вероятной краже их ПДн, призвав сменить пароли и готовиться к отражению фишинговых атак.

Утечка ПДн клиентов Cartier

Люксовый бренд сообщил о хакерской атаке, в итоге которой злоумышленники похитили ПДн клиентов.

Хакеры взломали Deloitte

Злоумышленник с ником «303» заявил о взломе систем консалтинговой компании и краже данных — вероятно, речь также идет об учетные данные GitHub и исходной коде внутренних проектов.

Утекли данные о военном флоте Индии

Военного подрядчика арестовали за шпионаж — он передал агентам пакистанских спецслужб секретную информацию, включая сведения о 14 военных кораблях.

В Минцифры откажутся от СМС-кодов доступа к "Госуслугам"

Глава Минцифры Максут Шадаев в конце мая 2025 года сообщил, что Минцифры откажутся от СМС-кодов доступа к "Госуслугам" в течении некоторого переходного периода. Ранее с такой инициативой выступили депутаты Госдумы. На первом этапе по СМС будет нельзя верифицировать смену пароля в аккаунте.

Сейчас "Госуслуги" предлагают, по выбору пользователя, три вида "второго фактора" двухфакторной авторизации: TOTP, СМС и биометрия.

Причиной отказа от 2FA c применнием СМС названа уязвимость данного способа аутентификации в настоящее время: "Любой код, который приходит в СМС-сообщении, — это сейчас зло", — пояснил глава Минцифры. Наиболее перспективными для генерации "второго фактора" в Минцифры считают OTP-алгоритмы.

ГК InfoWatch — победитель премии CIPR Digital 2025 в номинации «Легенды инфобеза»

Рады поделиться новостью — проект ГК InfoWatch стал победителем премии CIPR Digital в номинации «Легенды инфобеза». Итоги подвели на ЦИПР-2025.

Для участия в премии компания представила кейс с крупным промышленным предприятием, где реализована интеллектуальная система защиты персональных данных сотрудников на базе DLP-системы InfoWatch Traffic Monitor. В основе проекта — новый способ автоматического анализа выгрузок из баз данных, который запатентован в 2024 году.

Разбор представленного на премию кейса — в нашем блоге на Хабре.

На GitHub опубликовали новый инструмент для обнаружения протоколов маскировки TLS Он получил название Aparecium и способен выявлять ShadowTLS v3 и REALITY, которые маскируют зашифрованный трафик под легитимный TLS 1.3.

Aparecium использует особенности реализации TLS, чтобы обнаружить аномалии в поведении протоколов маскировки. ShadowTLS и REALITY, например, часто не обрабатывают отправляемые сервером сообщения NewSessionTicket должным образом, что позволяет выявить их использование.

Серверы на базе OpenSSL отправляют два сообщения NewSessionTicket одинаковой длины в одном TCP‑пакете, что также является характерной особенностью, отсутствующей в протоколах маскировки.

Задача об анализе ответа сервера

Задача подойдет начинающим специалистам по информационной безопасности, а также всем, кто любит CTF-турниры или только готовится к участию в этих соревнованиях.

Условие
На веб-сервере спрятан флаг. Отправьте правильный запрос, чтобы получить к нему доступ. Будьте внимательны при анализе ответа.

Задача
Найдите флаг — строку в формате slcctf{}. Чтобы выполнить задание, перейдите на страницу http://attention.slcctf.fun/.

Делитесь решением в комментариях. А правильный ответ можно посмотреть в Академии Selectel.

Команда исследователей из Palisade Research опубликовала отчёт о возможностях современных ИИ в области наступательной кибербезопасности. Впервые системы искусственного интеллекта были допущены к полноценному участию в хакерских соревнованиях Capture The Flag — и не просто справились, а вошли в число лучших.

В соревновании «AI vs Humans» автономные агенты на базе ИИ попали в топ-5% лучших участников, а на масштабном конкурсе Cyber Apocalypse показали результат в топ-10%, конкурируя с десятками тысяч профессиональных игроков.

Главная идея исследования — протестировать, насколько эффективно можно использовать метод «elicitation» (максимальное раскрытие потенциала ИИ) за счёт краудсорсинга, то есть через открытые соревнования. Вместо того чтобы полагаться на закрытые тесты в лабораториях, Palisade позволила внешним командам и энтузиастам самостоятельно настраивать и запускать ИИ в условиях настоящих CTF‑турниров.

Результаты оказались неожиданными. Некоторые ИИ-агенты смогли решить 19 из 20 задач, не уступая топовым человеческим командам по скорости. Особенно хорошо ИИ справлялись с задачами по криптографии и реверс‑инжинирингу. На турнире Cyber Apocalypse, где участвовало более 8000 команд, ИИ смогли решать те задачи, которые занимают у опытного игрока около часа. Это соответствует оценкам других исследователей: современные языковые модели уже уверенно справляются с техническими задачами продолжительностью до 60 минут.

От визитных книг до Facebook: кто и как продавал ваши данные последние 100 лет

Юрист по информационной безопасности ГК InfoWatch Илья Башкиров написал статью об истории оборота и регулирования персональных данных.

Из статьи вы узнаете, как торговали персональными данными до цифровой эры, как нацисты использовали их для геноцида, и как визитные книги и телефония заложили основу для таргетирования рекламы.

Представлен дашборд для поиска в интернете данных по запросам ИБ CyberOSINT от геолокации до поисковых запросов в браузере пользователей, компаний по следам в интернете. Решенеи на базе конструктора Google Dork парсит информацию в открытых каналах.

ИБ-ДАЙДЖЕСТ INFOWATCH

Массовая утечка данных школьников в Японии

Злоумышленники украли конфиденциальные данные школьников у издателей выпускных альбомов — они могут быть использованы для мошеннических схем и создания дипфейков.

Новые приоритеты кибербезопасности АСУ ТП

В условиях растущей геополитической напряженности и все более изощренных угроз приоритеты кибербезопасности АСУ ТП должны быть нацелены на проактивное управление рисками.

Утечка через вирус-вымогатель у энергетиков

Канадская компания Nova Scotia Power подтвердила утечку данных потребителей — уведомления об инциденте получили примерно 280 тыс. человек.

В Сеть слили данные 184 мл пользователей

Исследователь безопасности обнаружил в открытом доступе базу с данными пользователей многих интернет-платформ, в том числе сайтов Google, Microsoft, Apple, Facebook, Instagram и Snapchat.

Adidas сообщил об утечке ПДн

Инцидент ИБ произошел на стороне поставщика услуг по обслуживанию клиентов, и это уже не первая утечка в компании в этом месяце.

Хакеры взломали Coca-Cola

Группировка Everest заявила о похищении внутренней информации компании, а злоумышленники из Gehenna сообщили о взломе базы данных Salesforce британского подразделения по производству тары в Западной Европе и Азиатско-Тихоокеанском регионе.

Эксперт InfoWatch о безопасности детей в сети

Накануне Международного дня защиты детей эксперт по информационной безопасности ГК InfoWatch, доцент НИУ ВШЭ Денис Денисов выступил на пресс-конференции «Цифровая безопасность детей: новые тренды, меры противодействия и психологические аспекты».

Он рассказал про актуальные киберугрозы, направленные на детей, сценарии поведения злоумышленников и меры противодействия им. Родителям важно погрузиться в эту тематику, поскольку «цифровой разрыв» между поколениями стремительно растет. Злоумышленники активнее используют нейросети и дипфейки в своей работе, а охват их активности постоянно увеличивается.

Подробнее об этом читайте в материале ICT Online.

Хакеры обожают нас 👨‍💻

Ура! Мы получили «Приз хакерских симпатий» на международном форуме Positive Hack Days. Это высокая оценка со стороны киберсообщества.

Платформа Standoff Bug Bounty подвела итоги за три года работы. Это почти 25 тысяч исследователей кибербезопасности из 60 стран мира.

Почему нас любят?

✅ Быстро реагируем на отчеты багхантеров
✅ Сразу выплачиваем вознаграждения
✅ Общаемся открыто и friendly

И скромно напоминаем, что внешние исследователи могут заработать с нами до 500 000 ₽.

Проверить нашу защиту на уязвимости →

На фоне всей этой истерики с защитой персональных данных, уведомлениями, драконовскими штрафами и прочими ужосами отечественной бюрократии - смотрю на обычный почтовый конверт:

Иван Фёдорович Крузенштерн, тел. +7 901-202-33-44, адрес г. Мусохранск, улица Скотопрогонная д.4 кв.13

А это не персональные данные, нет?
Доступные для неопределенного круга лиц, начиная от почтальонов всея страны, включая случайных гопников, взламывающих от скуки почтовые ящики в подъезде, дворника-нелегала, собирающего мусор в подьезде, и до работников мусорного полигона, набранных из лиц проблемного образа жизни, сортирующих мусорные мешки за копейки.

Где "принятые мероприятия", где "приказ о назначении ответственного (не более одного человека)" и прочая-прочая?

Тут должна быть крылатая фраза за авторством Лаврова, но мы же приличные люди...

«Оборотные» не за горами! Стоит ли сообщить регулятору о старых утечках?

Замглавы Роскомнадзора предложил операторам персональных данных сообщить о случавшихся у них утечках до 30 мая. По его словам, впоследствии за выявленные утечки будут грозить значительно большие штрафы и дополнительная ответственность за неуведомление о них. Пока же есть шанс заплатить за утечку десятки тысяч, а не миллионы рублей.

По нашим данным, только 31% компаний готовы уведомить власти при утечке. Разберемся, стоит ли менять позицию и «сдаваться» сейчас, или нет:

• Положения закона, ужесточающие наказания, обратной силы не имеют. Это напрямую отражено в КоАП РФ и значит, что утечки, произошедшие до 30 мая, но обнаруженные позже, должны наказываться по-старому: штрафом в 60-100 тысяч рублей. Но если регулятор узнает об инциденте не от вас, а, например, из публикации похищенной базы данных, моментом нарушения он сочтет время этой публикации.

• Если организацию уже штрафовали за утечку, но после 30 мая «всплывут» новые записи из пострадавшей базы персданных, регулятор может счесть это новым нарушением. Наличие этих данных в старой утечке придется доказывать.

• Обязанность уведомлять Роскомнадзор об утечках введена в 2022 году. С 30 мая ее неисполнение будет грозить бизнесу штрафами в 1-3 млн р. Неуведомление – длящееся нарушение. Если утечка случилась до 30 мая, но Роскомнадзор не был вовремя уведомлен о ней, оператор будет оштрафован на крупную сумму, даже если удастся доказать более раннюю дату инцидента.

Наше исследование показало, что сейчас более 85% компаний предпочитают умалчивать или отрицать факт утечки. Однако в ближайшее время такая позиция станет чревата серьезными штрафами. Так что, если раньше у вас случались утечки, лучше все-таки сообщить о них (как и том, что вы обрабатываете персданные) до 30 мая. Это позволит отделаться «малой кровью» и избежать риска привлечения к новой ответственности за старые инциденты.

А узнать, что делать, если после 30 мая вы попадете в поле внимания регулятора, вы сможете на нашем вебинаре «Как избежать наказания за утечку» 29 мая. Это бесплатно, регистрируйтесь – будем рады вас видеть.

РТУ МИРЭА совместно с АО «НИЦ» и «РУСИБ» приглашает всех, интересующихся Инфобезом, с 7 апреля по 8 июня принять участие в гибридном хакатоне NeedForFWSpeed на самое быстрое ПО межсетевого экрана и побороться за призовой фонд 0,6 млн рублей.

По просьбам интересующихся хакатоном, организаторы NeedForFWSpeed продлили регистрацию на мероприятие до 31 мая включительно. Если Вас заинтересует этот хакатон, то ещё есть возможность успеть в последний вагон. Пост с краткой информацией размещен здесь. Ниже ссылка на сам сайт хакатона.

Отдельные заметки на предмет исполнения федерального закона № 152 "О персональных данных"

Число операторов персональныx данныx на данный момент ~ 1 млн

Количество действующиx коммерческиx предприятий ООО и ИП ~ 2,7 млн

Количества СЗ ~ 12 млн

Потенциал для роста реестра Роскомнадзора по операторам внушительный, так как любой бизнес, будь то ООО, ИП либо СЗ, в той или иной мере всегда будет сталкиваться с обработкой персональных данных физических лиц — будь то сбор, хранение или использование информации. И, судя по закону, практически нет лазеек, чтобы избежать этого. Правительство большинство подводит под статью, обозначая нас как ОПД (оператор персональных данных) в той или иной степени.

Однако, Роскомнадзор не резиновый и существенно ограничен в трудовыx и технических ресурсаx, чтобы отслеживать всеx и каждого по данному вопросу

Так вот, для того, чтобы НЕ выделяться бездействием на фоне другиx надо, образно выражаясь, "статистически не отсвечивать"

Что это значит?

Для этого нужно соблюдать базовые минимальные правила поведения для исполнения фз 152, а именно:

- подать уведомление в Роскомнадзор как Оператор минимум по Цели обработки ПД: Подготовка, заключение и исполнение договоров гражданско-правового xарактера с контрагентами (ООО, ИП, СЗ) и Ведение кадрового и бухгалтерского учета (ООО , ИП с сотрудниками)

- опубликовать на своем сайте Политику обработки данныx

- на сайте установить всплывание сообщения, что вы собираете и обрабатываете куки, согласно Политике

- В Политике обязательно перечислите какие метрические программы (Яндекс Метрика, Пиксель ВК реклама и др.) установлены на сайте. При использовании Гугл Аналитикс сообщить Роскомнадзору о трансграничной передаче данныx

- при отправки форм пользователь должен сам ставить галочку, что согласен на обработку персональных данныx, согласно Политике

- при работе с ПД физлиц всегда запрашивать согласие на обработку ПД с помощью подписания отдельного документа (да, есть исключения, например, согласно пункту 1 часть 2 статья 6 ФЗ №152, но лучше всегда получать)

Вкратце так, иначе возможны штрафы, когда попадете своим бездействием под проверку Роскомнадзора

Естественно, для крупного и части среднего бизнеса минималкой не обойтись и требуется дополнительные цели в уведомлении для Роскомнадзора, а также выверенный полноценный регламент по работе с персональными данными, а это жесть от и до

А для микро, малого и части среднего бизнеса минималка на первом этапе будет палочкой выручалочкой, чтобы снизить вероятность претензий Роскомнадзора до минимума либо исключить полностью

ИБ-дайджест InfoWatch

Взлом разработчика ПО в США

Двоих сотрудников компании Opexus, ранее замешанных в организации кибератак, обвиняют во взломе, уничтожении 30 баз данных и удалении более 1800 файлов компании.

Утечка биометрии из консалтинговой фирмы

Berkeley Research Group расследует инцидент, из-за которого могли быть украдены биометрические ПДн, генетическая информация и другие данные клиентов компании.

Дайджест кибератак на библиотеки

Эксперты ЭАЦ InfoWatch собрали информацию о крупнейших кибератаках на библиотеки за последние несколько лет.

Утечка ПДн миллионов британцев

Хакеры заявили, что завладели 2,1 млн записей ПДн людей, которые обращались за правовой поддержкой в агентство юридической помощи Великобритании с 2010 года.

Coinbase потеряла до $400 млн после кибертаки

Криптобиржа прогнозирует ущерб от $180 млн до $400 млн в результате кибератаки, в ходе которой были взломаны счета группы клиентов.

Утечка ПДн клиентов Dior

Неизвестные хакеры украли данные о самых богатых клиентах французского бренда в Китае — это может стать чувствительным репутационным ударом для компании.

Данные пользователей Steam оказались в дарквебе

Злоумышленник Machine1337 продавал данные 89 млн аккаунтов Steam за $5000, но представители компании утверждают, что база содержит только одноразовые коды доступа и пользователям не о чем беспокоиться.