Специалисты немецкой компании разработчика антивирусного программного обеспечения Avira провели исследование и выяснили, какие учетные данные на данный момент являются самыми небезопасными при работе с «умными» гаджетами и устройствами IoT. Как оказалось, на первом месте при атаках используются не стандартные admin, p@ssw0rd или 12345, а просто пустые значения логина и пароля.

15 декабря 2020 года веб-сервис для хостинга IT-проектов и их совместной разработки GitHub предупредил всех пользователей о плановом переходе на токены и SSH-ключи при доступе к Git. Доступ только по паролям к Git будет заблокирован с 13 августа 2021 года.

На Хабре уже несколько раз упоминали уникальный взлом компании SolarWinds. В популярный корпоративный софт SolarWinds Orion для мониторинга сетей (используется в армии, министерстве обороны, АНБ, IRS, почти всех компаниях списка Fortune 500) внедрили бэкдор, который так хорошо замаксирован, что многие удивлялись, как его вообще обнаружили, пусть и через полгода работы. Говорят, владельцы бэкдора воспользовались им всего несколько десятков раз, хотя под их контролем была фактически вся компьютерная инфраструктура США.

Сейчас всплывают подробности, как неизвестным удалось провернуть операцию по внедрению трояна в файлы обновления SolarWinds с валидной цифровой подписью. Эти подробности иногда забавные.

Программист Стефан Томас пытается вспомнить пароль к 7002 биткойнам. Источник фото: Nicholas Albrecht/The New York Times.

New York Times рассказала о необычной ситуации, с которой столкнулся программист Стефан Томас из Сан-Франциско. У него осталось две попытки угадать пароль к самоуничтожающейся флешке IronKey. На ней находится ключ к 7002 биткойнам. Томас уже безуспешно потратил восемь из десяти попыток, чтобы получить доступ к $237 млн.

Немецкая прокуратура конфисковала у мошенника биткоинов на сумму более 83 миллионов долларов. Есть только одна проблема: они не могут разблокировать деньги, потому что мошенник не говорит пароль.

Веб-сервис для хостинга IT-проектов и их совместной разработки GitHub напомнил, что с 13 августа отключает работу с операциями Git по паролю, теперь они возможны только по токену (персональные токены GitHub или OAuth) или с помощью SSH-ключей. Это делается для защиты пользователей и предотвращения использования злоумышленниками похищенных или взломанных паролей.

Устали от постоянного жонглирования и запоминания нескольких паролей для разных сайтов и сервисов? Microsoft сочувствуем вам и, более того, верит, что пришло время оставить традиционный метод с вводом паролей в прошлом.

Эту тему представители корпорации неоднократно выносили на подробное обсуждение и теперь, переходя от слов к делу, объявили, что «любой обладатель учетной записи Microsoft может полностью избавиться от паролей».

По информации издания «Известия», Минцифры планирует ввести в 2022 году на портале «Госуслуг» обязательную двухфакторную аутентификацию по умолчанию. Помимо ввода своего логина и пароля пользователи будут должны ввести код из СМС.

По информации сервиса разведки утечек данных и мониторинга даркнета DLBI, самые популярные пароли в 2021 году у россиян особо не поменялись. В английской раскладке и с цифрами это стандартные и простые qwerty123, qwerty1 и 123456, a11111, 123456789, asdasd123, 12345678, qwerty, 123321, 12345 и 000000. В русской раскладке пользователи предпочитают такие пароли: «йцукен», «пароль», «любовь», «привет», «наташа», «максим», «марина», «люблю», «андрей» и «кристина».

По информации Bleeping Computer, хакеры взломали один из серверов африканского подразделения финансовой и страховой компании TransUnion South Africa с помощью пароля «password». «Взломали» — громкое слово, скорее, просто зашли. После этого они скачали незашифрованную базу с данными 54 млн. клиентов и потребовали выкуп.

По информации издания «Известия», эксперты Positive Technologies выяснили, что на 78% российских промышленных предприятий доступ к важным техническим и информационным системам защищен одинаковыми паролями. Причем зачастую они даже несложные.

Эксперты сервиса поиска утечек и мониторинга даркнета DLBI обнаружили на одном из форумов в интернете текстовый файл, содержащий 169 учетных записей пользователей портала «Госуслуги». Эти данные были получены после, вероятно, брутфорса паролей по номеру телефона или с использованием стиллера. Сейчас на федеральном портале установлено ограничение на количество попыток ввода пароля.

Эксперты исследовательской команды otto-js выяснили, что Google и Microsoft (в Microsoft Editor Spelling и Grammar Checker) передают с клиентского устройства и получают на своих серверах пароли и персональные данные пользователей через облачный механизм системы расширенной проверки правописания. Это происходит, например, когда пользователь после набора пароля нажимает в окне браузера (Chrome или Edge) или системном меню приложения кнопку «показать пароль». Система проверяет этот пароль на правописание и отсылает на сервера разработчиков.

Новая функция безопасности в Windows 11 22H2 под названием «Улучшенная защита от фишинга» (Enhanced Phishing Protection) предупреждает пользователей, когда они вводят свой пароль от входа в Windows в небезопасных локальных приложениях типа Notepad, Wordpad или Microsoft 365 для сохранения в текстовом файле или при заполнении специальных форм на веб-сайтах.

Netflix призналась, что по ошибке сообщила про требование от подписчиков раз в месяц подключаться к медиатеке с домашнего Wi-Fi для проверки аккаунта на шеринг паролей.

GitHub открыл доступ всем пользователям к сервису по проверке публичных репозиториев на утечку конфиденциальных данных, включая секретные ключи, пароли и токены доступа к API.

Сегодня в ЖЖ во френдленте обнаружил интересную ссылку lang:php .... По этой ссылке можно увидеть результаты простого поискового запроса к Google'евскому поиску по коду.

То что искушённый читатель видит на экране, а видит он красивую таблицу различных логинов и паролей к базам данных MySQL (достаточно много ссылок работают), является ярким примером того, почему надо чётко разделять код и данные, и тем более настроечные данные. И чем именно плох php, не сам по себе, а тот стиль разработки, который он прививает у неискушённого программиста.

Перед комментарием проверьте, нет ли там пароля от Вашей базы? А то, возможно, ОНИ уже идут к Вам :)

P.S. Представляю, в каком объёме сейчас горе-разработчики переведут стрелок на возмутительное поведение поисковой машины.