Если спросить у ИИ, как прошёл день, то чат-бот выдаст отчёт с данными за этот период. Также пользователь может задавать вопросы о погоде, дорожной ситуации, узнавать данные из интернета и так далее.
Что тут удивительного? Погоду часы и так через интернет тянут, для этого чат-боту не нужно идти гуглить, даже за пределы часов выходить не нужно)) Всё это он получает через приложение Amazfit.
В настоящее время в ней работает более 71 000 человек в США, и любой из них может стать мишенью для мошенников.
Плюс если перейти по ссылке на оригинал, то судя по комментариям можно сделать вывод, что речь идёт про США.
Например, из комментария:
Большинство американских компаний таковы. Это не изменится, потому что в США нет квалифицированной рабочей силы с необходимыми навыками в области кибербезопасности.
Первый - через сторонние приложения. Предлагается на выбор Google Authenticator, Authy, Duo Mobile и 1Password. Вангую, что 90-95% пользователей не будут заморачиваться с настройкой подобных штук (ибо лень).
На самом деле не такой уж и сложный вариант, поставь приложение на телефон и напиши код, который действует в течении минуты. Лет 10 назад к сайту прикручивал, с тех пор на телефоне и стоит.
Так тут статья не про то, как защитить персональные данные, а про то, как пройти проверку ФСТЭК. Будь то ФСТЭК или ФСБ, они в любом случае в первую очередь проверяют бумажную безопасность и лишь частично рабочие места. Кстати, у фейсов есть своя софтина, которая вытаскивает из системы очень много интересных вещей и она весьма профессионально написана.
ФСТЭК сообщает о проблемах не сразу. При мне представители службы ничего не говорили, а предложили исправления позже, в письменном виде и через куратора. Это был отчет в виде перечислений нарушений с вежливой просьбой их исправить.
Нам сразу говорили, и мы еще спорить с ними пытались :D В итоге, пару пунктов спором сняли, остальные исправили пока они нас проверяли.
Вы спросите, можно ли пройти такую проверку вообще без замечаний со стороны государственных органов? Я думаю нет. Во-первых, идеально тут все равно не подготовиться, и это в некотором роде снижает градус тревожности, однако не отменяет серьезного отношения к подготовке. А во-вторых, система так устроена, что проверяющим нужно что-то найти. Да-да. Как однажды мне сказал один профессор: «Законодательство написано так, чтобы было место для маневра — как со стороны проверяющих, так и со стороны проверяемого. Каждый понимает это по-своему, а с проверяющими лучше сильно не спорить».
Дело еще в том, что многое зависит от мнения старшего среди проверяющих, как он трактует тот или иной пункт.
Непосредственно перед самой проверкой я подготовил место для встречи проверяющих. Лучше, чтобы это был отдельный кабинет с коньяком и конфетами.
Тут нужно осторожно, так как некоторые воспринимают Коньяк весьма негативно. Многое зависит от того, молодые или старые бойцы приедут. Сейчас множество молодых, идейных и совсем не пьющих))) среди них.
Существует три типа XSS атак: Отраженные Хранимые DOM модели
Три? О_о
Слепой XSS
Так все таки три или четыре? И это не говоря о том, что их на самом деле пять.
XSS уязвимости позволяют обойти SOP. Политика одинакового источника (same-origin policy, SOP) определяет как документ или скрипт, загруженный из одного источника (origin), может взаимодействовать с ресурсом из другого источника. Это помогает изолировать потенциально вредоносные документы, снижая количество возможных векторов атак.
Вы уж определитесь "XSS уязвимости позволяют обойти SOP" или "Это помогает изолировать потенциально вредоносные документы, снижая количество возможных векторов атак.".
Названия XSS не пишут на русском, общепринятыми считаются Reflected XSS, Stored XSS, DOM-Based XSS, Blind XSS и еще одна, которую вы забыли упомянуть.
Потом уже 21 февраля этот же пользователь-киберпреступник на том же форуме предложил продать частные репозитории TELUS на GitHub.
Однако компания пока не подтвердила, связан ли этот инцидент с самой TELUS, или же было проникновение через стороннего поставщика.
Мне кажется это взаимоисключающие вещи. Сторонняя организация имела полный доступ ко всем их исходникам и к базе данных сотрудников компании TELUS? Там ведь не база клиентов, а база сотрудников была.
Атакующий делает self-xss в профиле -> жертва переходит на сайт с эксплоитом -> csrf logout -> csrf login в аккаунт атакующего -> перенаправляем жертву по URL с профилем -> т.к. жертва в аккаунте атакующего, срабатывает XSS.
Это уже Content spoofing, а не Self XSS.
Content spoofing (также именуемая content injection и virtual defacement) – атака, при которой у злоумышленника есть возможность внести изменения в страницу и доставить такую страницу пользователю. Типичный сценарий: злоумышленник посылает жертве ссылку, параметры которой модифицируют страницу, которую жертва откроет, перейдя по ссылке. Жертва при этом видит как бы доверенный домен.
да в принципе довольно странная атака, в том плане, что попросить пользователя что-то сложное сделать, а не отправить ссылку. И самое смешное, что есть куча примеров того, что это работает...
Можно долго спорить к чему её отнести, так как с таким же успехом можно и AnyDesk попросить поставить.
Стоит указывать названия XSS на английском языке, так как именно эти названия считаются общепринятыми:
Reflected XSS (Отраженная XSS)
Суть атаки заключается в том, что страница берет параметр, который ей передается пользователем в запросе, и возвращает его пользователю без каких-либо изменений в ответе. Если ответ при этом форматируется тегами (или попадает в скрипт), он будет отображен с учетом форматирования. Весь этот процесс можно считать основной сигнатурой данной атаки.
Например, помещаем параметр target_host=<script>alert(1)</script>, но нужно еще привести пользователя на эту страницу.
Stored XSS (Хранимая XSS)
Именно хранимая, а не сохраненная.
Суть данной атаки заключается в том, что у злоумышленника есть возможность сохранять на сервере код, который вернется пользователю, если он откроет страницу; сами данные сохраняются неформатированными. При этом происходит срабатывание сохраненного payload злоумышленника, реализуется код XSS, который возвращается пользователю.
Простой пример, кто-то разместил в комментарии вот такой код:
<img src=1 onerror=alert(1)>
DOM-Based XSS
Отличительной особенностью данного вида XSS является то, что payload не отображается в коде страницы, которая возвращается пользователю, то есть не передается серверу. Поэтому обнаружить данный вид XSS, основываясь только на основе анализа возвращаемого кода, затруднительно.
Возможные источники (sources в иностранной терминологии), которые могут быть использованы злоумышленником:
● document.URL
● document.documentURI
● document.URLUnencoded (IE 5.5 or later Only)
● document.baseURI
● location
● location.href
● location.search
● location.hash
● location.pathname
● window.name
● document.referrer
Blind XSS (слепая xss)
Возникает, когда данные, вводимые злоумышленником, сохраняются на сервере, но отображаются в другой части приложения или вообще в другом приложении.
Например, обратная связь или премодерация комментариев через админку.
Self XSS
Данная атака реализуется только в том случае, если ее выполнит сам пользователь. Уязвимость при этом присутствует в функциях, которые доступны только владельцу (пользователю) аккаунта.
Например, так называемый "взлом" facebook, примерно в 2014 году, когда пользователям рассылали сообщения, мол для вашей безопасности нужно открыть в браузере консоль и ввести туда определенный код.
но мы то читаем статью не на vk, а на хабре, поэтому вопрос к информационной службе Хабра. Что мешало информационной службе добавить определение термина? А то не очень приятно видеть отношение вы же айтишники, сможете прогуглить.
Редомицилирование (- редомициляция) – по сути одна из форм реорганизации юридического лица, при которой меняется юрисдикция (страна регистрации) и юридический адрес компании.
Примечательно, что в середине октября на маркетплейсе было 1073 программы. Фактически за ноябрь, декабрь и январь там появились всего 377 новых программных продукта.
Тут еще вопрос сколько заявок отклонили и что при этом они проверяют. Условно говоря, просто одобрить готовый текст не проблема, а вот проверить нет ли в программе вредоносного функционала, который не обнаружил virustotal, написать текст, это уже очень долго, и если они это делают, тогда скорость добавления очень быстрая.
Также стоит учесть, что им людей на эти задачи явно никто не добавлял - всё за счет оптимизации, то есть прошлые задачи никто не отменял, просто еще делай и это.
В компании подтвердили подлинность данных, но отрицают, что это результат взлома. Тем не менее, несмотря на заверения «Яндекса» и предположения, что утечку организовал один из сотрудников, есть и другие мнения. Так, первоисточник утечки был размещён на хакерском форуме с утверждениями, что взлом был совершён ещё в июле 2022 года. Вполне возможно, что утечка связана с хакерской группировкой, ответственной за 80% всех взломов со сливами личных данных пользователей в России за прошлый год.
на том же форуме сам автор поста и писал, что он инсайдер, просто не в первом сообщении.
База знаний от 2021 года.
Что тут удивительного? Погоду часы и так через интернет тянут, для этого чат-боту не нужно идти гуглить, даже за пределы часов выходить не нужно)) Всё это он получает через приложение Amazfit.
Плюс если перейти по ссылке на оригинал, то судя по комментариям можно сделать вывод, что речь идёт про США.
Например, из комментария:
На самом деле не такой уж и сложный вариант, поставь приложение на телефон и напиши код, который действует в течении минуты. Лет 10 назад к сайту прикручивал, с тех пор на телефоне и стоит.
Так тут статья не про то, как защитить персональные данные, а про то, как пройти проверку ФСТЭК. Будь то ФСТЭК или ФСБ, они в любом случае в первую очередь проверяют бумажную безопасность и лишь частично рабочие места. Кстати, у фейсов есть своя софтина, которая вытаскивает из системы очень много интересных вещей и она весьма профессионально написана.
Нам сразу говорили, и мы еще спорить с ними пытались :D В итоге, пару пунктов спором сняли, остальные исправили пока они нас проверяли.
Дело еще в том, что многое зависит от мнения старшего среди проверяющих, как он трактует тот или иной пункт.
Тут нужно осторожно, так как некоторые воспринимают Коньяк весьма негативно. Многое зависит от того, молодые или старые бойцы приедут. Сейчас множество молодых, идейных и совсем не пьющих))) среди них.
Интересно какие именно? Ректор СибГУ имени М.Ф. Решетнёва был? Э.Ш. Акбулатов
Три? О_о
Так все таки три или четыре? И это не говоря о том, что их на самом деле пять.
Вы уж определитесь "XSS уязвимости позволяют обойти SOP" или "Это помогает изолировать потенциально вредоносные документы, снижая количество возможных векторов атак.".
Названия XSS не пишут на русском, общепринятыми считаются Reflected XSS, Stored XSS, DOM-Based XSS, Blind XSS и еще одна, которую вы забыли упомянуть.
Мне кажется это взаимоисключающие вещи. Сторонняя организация имела полный доступ ко всем их исходникам и к базе данных сотрудников компании TELUS? Там ведь не база клиентов, а база сотрудников была.
Это уже Content spoofing, а не Self XSS.
Content spoofing (также именуемая content injection и virtual defacement) – атака, при которой у злоумышленника есть возможность внести изменения в страницу и доставить такую страницу пользователю. Типичный сценарий: злоумышленник посылает жертве ссылку, параметры которой модифицируют страницу, которую жертва откроет, перейдя по ссылке. Жертва при этом видит как бы доверенный домен.
да в принципе довольно странная атака, в том плане, что попросить пользователя что-то сложное сделать, а не отправить ссылку. И самое смешное, что есть куча примеров того, что это работает...
Можно долго спорить к чему её отнести, так как с таким же успехом можно и AnyDesk попросить поставить.
Стоит указывать названия XSS на английском языке, так как именно эти названия считаются общепринятыми:
Reflected XSS (Отраженная XSS)
Суть атаки заключается в том, что страница берет параметр, который ей передается пользователем в запросе, и возвращает его пользователю без каких-либо изменений в ответе. Если ответ при этом форматируется тегами (или попадает в скрипт), он будет отображен с учетом форматирования. Весь этот процесс можно считать основной сигнатурой данной атаки.
Например, помещаем параметр target_host=<script>alert(1)</script>, но нужно еще привести пользователя на эту страницу.
Stored XSS (Хранимая XSS)
Именно хранимая, а не сохраненная.
Суть данной атаки заключается в том, что у злоумышленника есть возможность сохранять на сервере код, который вернется пользователю, если он откроет страницу; сами данные сохраняются неформатированными. При этом происходит срабатывание сохраненного payload злоумышленника, реализуется код XSS, который возвращается пользователю.
Простой пример, кто-то разместил в комментарии вот такой код:
DOM-Based XSS
Отличительной особенностью данного вида XSS является то, что payload не отображается в коде страницы, которая возвращается пользователю, то есть не передается серверу. Поэтому обнаружить данный вид XSS, основываясь только на основе анализа возвращаемого кода, затруднительно.
Возможные источники (sources в иностранной терминологии), которые могут быть использованы злоумышленником:
● document.URL
● document.documentURI
● document.URLUnencoded (IE 5.5 or later Only)
● document.baseURI
● location
● location.href
● location.search
● location.hash
● location.pathname
● window.name
● document.referrer
Blind XSS (слепая xss)
Возникает, когда данные, вводимые злоумышленником, сохраняются на сервере, но отображаются в другой части приложения или вообще в другом приложении.
Например, обратная связь или премодерация комментариев через админку.
Self XSS
Данная атака реализуется только в том случае, если ее выполнит сам пользователь. Уязвимость при этом присутствует в функциях, которые доступны только владельцу (пользователю) аккаунта.
Например, так называемый "взлом" facebook, примерно в 2014 году, когда пользователям рассылали сообщения, мол для вашей безопасности нужно открыть в браузере консоль и ввести туда определенный код.
а от куда не экстрадируют? Подделать паспорт и сделать пластику, чтобы не нашли? Согласен, Крайне сомнительно.
Когда будет СберМобиль? СберДом? Давно пора выпускать свои автомобили под брендом сбера и дома строить. Говорят прибыльная тема.
но мы то читаем статью не на vk, а на хабре, поэтому вопрос к информационной службе Хабра. Что мешало информационной службе добавить определение термина? А то не очень приятно видеть отношение вы же айтишники, сможете прогуглить.
Тут еще вопрос сколько заявок отклонили и что при этом они проверяют. Условно говоря, просто одобрить готовый текст не проблема, а вот проверить нет ли в программе вредоносного функционала, который не обнаружил virustotal, написать текст, это уже очень долго, и если они это делают, тогда скорость добавления очень быстрая.
Также стоит учесть, что им людей на эти задачи явно никто не добавлял - всё за счет оптимизации, то есть прошлые задачи никто не отменял, просто еще делай и это.
Такое сообщение уж больно похоже на фишинг :D
*услуги
на том же форуме сам автор поста и писал, что он инсайдер, просто не в первом сообщении.