Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

В Microsoft случайно дали ссылку на 38 ТБ данных о сотрудниках

ИИ-подразделение Microsoft при публикации набора обучающих данных на GitHub случайно предоставило полный доступ к хранилищу внутренней конфиденциальной информации компании. На это обратили внимание исследователи Wiz.

Опубликованная разработчиками ссылка на Azure Storage оказалась настроена посредством токена SAS на совместное использование всей учетной записи. Таким образом было раскрыто 38 ТБ информации, в том числе личные резервные копии компьютеров двух сотрудников Microsoft.

Последние содержали конфиденциальные личные данные, включая пароли к сервисам компании, секретные ключи и более 30 000 внутренних сообщений Microsoft Teams от 359 сотрудников.

Инцидент произошел в конце июня. Через два дня после уведомления со стороны Wiz, группа реагирования Microsoft аннулировала токен SAS, а еще через месяц заменила его на GitHub.

В компании подчеркнули, что данные клиентов не были раскрыты и другие внутренние службы не подверглись риску из-за этой проблемы.

Криптокошельки кредиторов Celsius пытались взломать посредством фишинга

В преддверии одобрения плана по возврату средств клиенты обанкротившейся криптолендинговой платформы Celsius начали получать фишинговую рассылку. Об этом сообщает Bleeping Computer.

Мошенники выдают себя за агента по рассмотрению претензий в деле — компанию Stretto. В письме они предлагают кредиторам семидневный срок якобы для возврата замороженных средств.

Указанная в сообщении ссылка ведет на фишинговый сайт, где пользователя просят подключить его криптовалютный кошелек. При наличии этого соединения злоумышленники получают полный доступ ко всем находящимся на балансе активам.

Так как среди получателей рассылки есть пользователи, не являющиеся клиентами Celsius, журналисты предположили, что хакеры используют почтовые адреса из старых утечек различных криптовалютных сервисов. Пока что масштаб фишинговой кампании неясен.

Баг в приложении T-Mobile раскрыл платежные данные клиентов

Клиенты T-Mobile смогли увидеть в официальном мобильном приложении оператора данные сторонних пользователей. Многочисленные жалобы появились на Reddit и в X.

@TMobile Wow didn't screenshot acct 1 of 3 that I've seen on MY APP. But here's 2 and 3. Huge #breach pic.twitter.com/vuBr6GcTba

— Ka (@Ka83801602) September 20, 2023

Перечень доступной информации включал имена клиентов, номера телефонов, адреса, данные об остатках на их счетах, а также информацию о банковских картах, в том числе дату истечения срока действия и последние четыре цифры. 

По утверждению представителей T-Mobile, системы компании не были взломаны — сбой произошел во время обновления приложения. Они добавили, что инцидент имел «ограниченное воздействие» и затронул менее 100 человек.

Тем не менее сторонние эксперты предупредили, что утечка может привести к атакам с подменой SIM-карты. 

⚠️ 警惕T-Mobile 数据泄露带来的sim swap劫持风险
T-Mobile 数据发生泄露，如果您是 T-Mobile 的客户，请对利用个人信息针对您的诈骗、攻击保持高度警惕，警惕攻击者利用泄漏的信息对 T-Mobile 官方客服欺骗导致的个人 sim swap 风险！@Foresight_News @wublockchain12 pic.twitter.com/2GdHMtTjDa

— 23pds (@IM_23pds) September 21, 2023

Ликвидирован даркнет-маркетплейс PIILOPUOTI

Таможня Финляндии совместно с Европолом остановила работу даркнет-маркетплейса PIILOPUOTI и изъяла его домен. 

По данным ведомства, площадка способствовала контрабанде и продажам наркотиков в стране с мая 2022 года.

На данный момент расследование дела продолжается, финские власти устанавливают личности продавцов и пользователей сайта.

Эксперты зафиксировали эксплуатацию «нетипичных» сервисов AWS для скрытого майнинга

Группа исследователей Sysdig обнаружила новую кампанию облачного криптоджекинга AMBERSQUID. Она использует необычные сервисы Amazon Web Services (AWS), включая AWS Amplify, AWS Fargate и Amazon SageMaker.

New cloud threat alert! 🚨 Introducing AMBERSQUID 🦑, the stealthy #CloudNative cryptojacking operation costing victims $10,000/day. The #cyberattack dodged static scans & targeted multiple #AWS services, making detection a challenge. Dive into the details:https://t.co/cPKhMwJEOx

— Sysdig (@sysdig) September 18, 2023

Переориентация на эти службы освобождает хакеров от необходимости запрашивать дополнительные ресурсы от AWS, как это происходит при более типичной атаке на Amazon EC2.

Кроме того, нацеливание на несколько сервисов требует обнаружения и уничтожения майнеров в каждом из них.

Исследователи связали кампанию с индонезийскими злоумышленниками. Анализ кошельков показал, что на сегодняшний день скрытый облачный майнинг принес им около $18 300.

Крупная сеть казино из Лас-Вегаса заплатила вымогателям $15 млн после взлома

Злоумышленники похитили базу данных программы лояльности крупной сети казино Caesars Entertainment, которая среди прочего содержала водительские права и номера социального страхования клиентов. Под угрозой публикации этих сведений компания заплатила хакерам $15 млн.

Согласно поданным в SEC документам, атаку обнаружили 7 сентября. Расследование еще продолжается, однако в Caesars Entertainment сообщили, что инцидент не повлиял на операции компании и не затронул платежную информацию клиентов.

По мнению исследователей, за взломом могла стоять группировка Scattered Spider, недавно атаковавшая другую сеть казино — MGM Resorts.

В РФ начнут блокировать сервисы виртуальных номеров

Правительство РФ признало использование виртуальных (DEF) номеров угрозой национальной безопасности в сфере связи и интернета, сервисы по их выдаче c 1 сентября 2024 года будут блокировать. Об этом сообщает ТАСС со ссылкой на соответствующее постановление.

Документ вносит изменения в правила централизованного управления сетью связи общего пользования. Список угроз в этой сфере дополнили пунктом о предоставлении пользователям доступа к онлайн-ресурсам и мессенджерам без идентификации.

DEF-номера принадлежат иностранным операторам связи, сдаются в аренду и никак не привязаны к персональным данным конкретного человека. Поэтому злоумышленники могут создавать с их помощью временные аккаунты для размещения противоправной информации или совершения мошеннических действий.

РКН предложил заблокировать информацию про обход цензуры

Роскомнадзор разработал критерии ограничения доступа к информации о способах обхода интернет-блокировок.

Новый запрет напрямую касается VPN-сервисов, браузера Tor, анонимайзеров, а также любых сведений о преимуществах обхода цензуры.

Общественное обсуждение проекта соответствующего приказа продлится до 6 октября. Изменения вступят в силу с 1 марта 2024 года. 

Также на ForkLog:

• В Nansen предупредили об утечке пользовательских данных.
• FTX потребовала от сотрудников филиала в Гонконге возврата $157,3 млн, а также подала в суд на родителей Сэма Бэнкмана-Фрида. Адвокаты последних отвергли претензии. Самого SBF оставили в тюрьме до начала слушаний. 
• Россия выдала Кыргызстану предположительную соучредительницу «Финико».
• Стейблкоин ℓUSD обвалился до нуля после взлома DeFi-проекта Linear.
• Власти Гонконга заблокировали доступ к JPEX, которую уже считают крупнейшим местным криптоскамом.
• В Сингапуре заморозили $1,8 млрд, связанные с отмыванием криптовалют.
• СМИ: украинский чиновник заявил о пропаже криптовалют на $647 000.
• Экс-сотрудник Deutsche Bank выплатит $1,5 млн за криптомошенничество.
• Дело WEX: «Морячка» задержали перед слушанием, Билюченко дали 3,5 года.
• Balancer лишился $238 000 в ходе атаки на фронтенд.
• Юристу OneCoin отказали в пересмотре дела по отмыванию $400 млн.
• TikTok-мошенники использовали образ Илона Маска для кражи биткоинов.
• Coinbase непреднамеренно заработала $1 млн после взлома Curve.
• Хакеры взломали кошелек Марка Кьюбана на $870 000.

Что почитать на выходных?

Отрывок из книги Гаспара Кенига «Конец индивидуума», где автор разбирается, может ли ИИ отменить «новое крепостное право».