Кража пикселей через GPU, частные диалоги с Bard в общем доступе и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Двое независимых хакеров заявили о взломе Sony 

Компания Sony объявила, что расследует потенциальную кибератаку на свои системы после того, как двое различных хакеров взяли на себя ответственность за взлом. Об этом сообщает Bleeping Computer.

Первоначально с заявлением об успешной компрометации «всех систем Sony» и краже 260 ГБ данных выступила группировка вымогателей RansomedVC. В качестве доказательства они опубликовали образцы размером около 2 МБ, включающие презентацию PowerPoint, некоторые файлы исходного кода Java и снимки экрана Eclipse IDE.

Злоумышленники сразу выставили дамп на продажу за $2,5 млн, поскольку, по их словам, «Sony отказалась платить выкуп».

Однако спустя некоторое время другой хакер под ником MajorNelson также взял ответственность за утечку. Опубликованные им файлы весят 3,14 ГБ и содержат помимо прочего сертификаты Sony, эмулятор устройства для генерации лицензий, а также данные платформы Creators’ Cloud.

Журналистам не удалось независимо проверить правдивость утверждений ни одного из злоумышленников.

На время проведения расследования Sony отказалась комментировать ситуацию.

Крупнейшая авиакомпания Канады признала утечку данных сотрудников

Личная информация некоторых сотрудников Air Canada «на короткое время» стала доступна неавторизованной стороне. 

Согласно заявлению, злоумышленники получили ограниченный доступ к внутренней системе, содержащей персональные данные некоторых работников компании.

При этом инцидент не повлиял на системы управления полетами, и атакующие не получили доступ к информации о клиентах.

Air Canada связалась со всеми пострадавшими сторонами и обратилась в правоохранительные органы. 

Сейчас компания работает в штатном режиме.

Ни одна из хакерских группировок пока не взяла ответственность за этот инцидент.

Графические процессоры оказались уязвимы перед браузерной атакой с кражей данных

​​Исследователи из четырех американских университетов обнаружили, что все шесть основных поставщиков графических процессоров уязвимы к атаке GPU.zip, которая позволяет вредоносным сайтам считывать конфиденциальные визуальные данные, включая имена пользователей и пароли.

First they brought you hertzbleed, now comes a new GPU-side channel attack, GPU Zip!

It takes about 30 Minutes on AMD GPUs, but the technique allows an attacker on one domain to read the pixels displayed by another website!

Full paper in the comments. pic.twitter.com/cXMRiN4LKE

— LaurieWired (@lauriewired) September 27, 2023

Утечка происходит при сжатии данных, выполняемом как встроенными, так и дискретными графическими процессорами для повышения производительности. 

Это позволяет обойти правило ограничения домена, разрешая вредоносному сайту просматривать содержимое или конечный визуальный продукт легитимной страницы.

В ходе эксперимента ученые через браузер Chrome похитили пиксели, из которых состояло имя одного из пользователей портала Википедия. Скорость проведения атаки напрямую зависит от производительности GPU. На графических процессорах AMD Ryzen 7 4800U это заняло 30 минут, на Intel Core i7-8700 — 215 минут с точностью 97,5% и 98,3% соответственно.

По предварительным данным, в режиме тестирования оказались затронуты встроенные GPU от AMD, Apple, Arm, Intel и Qualcomm, а также один дискретный GPU от Nvidia. 

Представитель Intel в комментарии СМИ заявил, что проблема не в процессоре, а в использовании стороннего ПО.

Диалоги из чат-бота Bard попали в общую поисковую выдачу Google

Личные беседы пользователей с чат-ботом Bard от Google оказались в результатах общедоступного поиска. На проблему обратил внимание SEO-консультант Гаган Готра.

Haha 😂 Google started to index share conversation URLs of Bard 😹 don't share any personal info with Bard in conversation, it will get indexed and may be someone will arrive on that conversation from search and see your info 😳

Also Bard's conversation URLs are ranking as… pic.twitter.com/SKGXJD9KEJ

— Gagan Ghotra (@gaganghotra_) September 26, 2023

Как выяснилось позднее, появившиеся в выдаче частные диалоги ранее были переданы другим пользователям с помощью функции «Поделиться». Однако по какой-то причине Google не заблокировал индексацию этого контента поисковыми системами.

По умолчанию все беседы с Bard являются конфиденциальными.

Технологический гигант уже признал ошибку и начал блокировать индексацию таких чатов. 

Bard allows people to share chats, if they choose. We also don't intend for these shared chats to be indexed by Google Search. We're working on blocking them from being indexed now.

— Google SearchLiaison (@searchliaison) September 26, 2023

В App Store обнаружили мошеннические инвестиционные приложения

Злоумышленники распространяют в App Store мошеннические приложения под видом инвестиционных криптовалютных платформ и мини-игр для проверки финансовой грамотности. Об этом сообщили в «Лаборатории Касперского».

После установки программы пользователя перенаправляют на фишинговую страницу, на которой рекламируется проект якобы от крупной ресурсодобывающей компании с обещанием ежемесячного заработка от 100 000 до 150 000 рублей.

Для участия требуется заполнить анкету с указанием ФИО, адреса электронной почты и номера телефона. В дальнейшем потенциальной жертве поступает звонок, в ходе которого ее склоняют к вложениям в сомнительный проект.

Злоумышленники научились обходить модерацию в App Store: вначале они загружают чистое приложение-заглушку, а затем в обновлении добавляют необходимые им вредоносные функции.

Сейчас фейковые программы удалены из магазина.

Блогеров атаковали через Telegram под видом рекламодателей 

Фишеры пытаются выманить учетные данные от Telegram-аккаунтов русскоязычных блогеров, предлагая им рекламное сотрудничество от имени крупной компании в области онлайн-ритейла. 

Как выяснили в «Лаборатории Касперского», злоумышленники придерживаются стандартной схемы делового общения для таких взаимодействий: оговаривают условия, стоимость, подбирают товары. 

На определенном этапе блогера просят зарегистрироваться на сайте партнерской программы, указав ФИО, адрес почты, число подписчиков и охваты канала, а также номер телефона. 

После этого жертву автоматически перенаправляют на фальшивую форму авторизации в Telegram и просят ввести одноразовый код для входа в аккаунт. Необходимость в такой информации объясняют якобы новыми требованиями закона о рекламе. 

По факту с помощью этих данных злоумышленники захватывают учетную запись в мессенджере и все Telegram-каналы, привязанные к ней.

Также на ForkLog:

• Российский футболист потерял 2,3 млн рублей на покупке криптовалюты.
• Суд в Таиланде продлил арест подозреваемым в отмывании денег на Binance.
• Отчет: ущерб от взломов и скамов в III квартале составил $889 млн.
• Экс-глава IcomTech признал участие в криптовалютной пирамиде.
• Основателя биткоин-пирамиды AirBit Club приговорили к 12 годам тюрьмы.
• Связанный с картелем Синалоа Ethereum-кошелек попал под санкции США.
• В сеть попали планы Microsoft по интеграции криптокошелька в Xbox.
• Неизвестные вывели $7,9 млн с горячего кошелька биржи HTX.
• Юристы оценили шансы Сэма Бэнкмана-Фрида в суде.
• Обнаружены кошельки обвиняемой в криптовалютном мошенничестве Bitmama.
• Российский актер потерял ~$260 000 на мошеннических биткоин-инвестициях.
• США обучили Украину выявлять факты обхода санкций через криптовалюты.
• СМИ сообщили о возможном побеге организаторов JPEX.
• Upbit провела операции с фейковыми токенами Aptos.
• Mixin Network подверглась взлому на $200 млн.
• На кошельках хакеров Lаzarus нашли биткоины на $42,5 млн.

Что почитать на выходных?

Статья о том, как родились мифы об NFT как скаме и почему они легко развенчиваются.