Сотни банков уязвимы из недостатка в платформе Fiserv Inc.

03/09/2018

По словам KrebsonSecurity, недостаток в веб-платформе Fiserv Inc. , поставщика технологических услуг для финансовых учреждений, обнародовал личную и финансовую информацию о счетах на сотнях банковских веб-сайтов .
Исследователь безопасности Кристиан Эрик Хермансен связался с Кребсом две недели назад, чтобы сообщить, что «он обнаружил что-то любопытное, когда он вошел в учетную запись в крошечном местном банке, где используется платформа Fiserv». Вскоре после этого KrebsonSecurity связался с Fiserv, в котором объяснялось, что проблема в «решении для обмена сообщениями, доступном для подмножества клиентов онлайн-банкинга».
В то время как Fiserv отказался сказать, сколько именно финансовых учреждений, возможно, пострадали, по сообщениям, в настоящее время 1 700 банков используют банковскую платформу Fiserv.
«Fiserv уделяет первоочередное внимание безопасности, и мы ответили соответственно», — сказал представитель Fiserv Кребсу.
«После получения вашей электронной почты мы оперативно привлекли соответствующие ресурсы и работали круглосуточно, чтобы исследовать и исправить ситуацию. Мы разработали исправление безопасности в течение 24 часов после получения уведомления и развернули патч для клиентов, которые используют размещенную версию решения. Сегодня мы будем устанавливать патч для клиентов, которые используют внутреннюю версию решения».
Fiserv является критическим поставщиком финансовых услуг для банков по всему миру. «Прорыв или утечка данных может оказать огромное влияние не только на финансовую систему в США, но и во всем мире», — сказал Джейк Олкотт, вице-президент по стратегическим партнерствам BitSight Technologies .
«Сотни банков, которые используют свои решения, были затронуты этим нарушением, демонстрируя настоятельную необходимость того, чтобы финансовые компании оказывали пристальное внимание сторонним поставщикам, имеющим доступ к их данным и информации о клиентах», — продолжил Олкотт.

Оригинал

Реклама

Сказки о безопасности: Видеоподмена

31/08/2018

https://www.itweek.ru/security/article/detail.php?ID=202927

— Комиссар, у нас проблема.

— А когда у нас не было проблем?

— Я серьезно. Проблема и большая. Помните, сколько мы гонялись за наркоторговцем с 9-й улицы?

— Еще бы. Конечно, помню. Ох и нервов же тогда попортили.

— Ну вот. Вчера во время полицейской облавы наши ребята, Дэн и Ники, взяли его, но сегодня адвокат требует его освобождения. Говорит, что во время задержания была нарушена процедура.

— А вы смотрели показания их видеорегистраторов?

— Конечно! Но вот тут и есть проблема. Показания видеорегистраторов не совпадают. Регистратор Ники пострадал во время задержания. Вернее, уже после задержания. И видеозапись на нем в корне отличается от видео Дэна.

— Не понял.

— У Ники запись показывает, что все было правильно, а вот у Дэна свидетельствует, что задержанному не были зачитаны его права, что Дэн грубо толкнул его и ударил уже лежачего ногой. Короче, если опираться на видеорегистратор Дэна, то права этого торговца действительно были нарушены.

— Сколько у нас времени?

— Сутки.

— Везите видеорегистратор к нашим умникам. Не верю я в то, что Дэн мог избить задержанного. И второй регистратор захватите. Что-то тут не так.

Настало утро следующего дня.

— Чем порадуете, Иоганн?

— Скажу, что торговцу сидеть нужно долго. Регистратор Дэна взломан. А вот к производителям регистраторов у меня серьезные вопросы. И еще более серьезные вопросы к тем, кто давал разрешение на их использование в правоохранительных органах.

— В чем дело?

— Во-первых, все они не имеют никакой защиты от взлома. Во-вторых, видеофайлы не подписываются. А следовательно, хакеры имеют возможность не только прочесть видеофайлы, но и подменить их. В результате невозможно проверить, действительно ли загруженный ролик был снят стражами правопорядка, или его заменили хакеры. Последние могут манипулировать устройством по своему усмотрению. Например, они имеют возможность удалять все кадры и связанные с ними метаданные, такие как местоположение, время и дата записи.

— Спасибо, Иоганн! Придется докладывать императору.

Хакеры научились взламывать нагрудные камеры полицейских и не только просматривать видеоматериалы, но и удалять их. Об этом рассказал консультант по кибербезопасности компании Nuix Джош Митчелл на ежегодной конференции DefCon.


Сказки о безопасности: Хрюша и телевизор

29/08/2018

http://www.itweek.ru/themes/detail.php?ID=202849

— Привет, Потапыч! А я новый телевизор купила! С доступом в Интернет, Smart TV называется.

— Молодец. Настроила?

— Да. Мне Заяц помог. Какие-то приложения установил, сказал, что очень хороший телевизор.

— А ты знаешь, что он там устанавливал?

— Да откуда? Поставил и поставил. Сказал, что через недельку-две зайдет, обещал меня научить всем этим пользоваться.

— Вот и славно, расскажешь потом, как оно живется с новым телевизором.

Прошло две недели.

— Ой, Потапыч, ты б зашел в гости.

— А что случилось?

— Да с телевизором что-то. Не понимаю. Все в квадратиках. И тормозит изображение.

— Зайду. Только в выходные. Хорошо?

— Конечно. Потому как Заяц ничего такого не нашел.

Прошло несколько дней.

— Так, Хрюша, давай-ка глянем, что у тебя тут. Тормозит… А кто все эти приложения тебе поставил?

— Я ж тебе говорила, Заяц.

— Ну косой, поймаю, уши оторву. Он же тебе сам эту гадость установил.

— А что это? Вирус?

— Да нет, это не вирус. Это программа, которая использует ресурсы твоего Smart TV для выращивания криптовалюты. Майнер это.

— Ой, а что это?

— Короче, часть ресурсов твоего телевизора использовалось злоумышленником в своих целях. Этого пояснения тебе достаточно. Потому телевизор и тормозил.

— Ой! А что ж мне делать?

— Тебе? Ничего! А вот мне придется повозиться. Буду сбрасывать настройки твоего телевизора в заводские. А потом настраивать заново.

Прошло два часа. Потапыч закончил свою работу.

— Вот Хрюша, принимай работу. Теперь все работает! А Зайцу скажи, чтобы больше ничего не трогал. Я сам тебе все покажу и расскажу.

Вот так и закончилась эта история. Думаю, что скоро на телевизоры придется антивирус устанавливать. А вы как считаете?


Как удалить личные данные с подключенных автомобилей

28/08/2018

К огромному количеству устройств, на которых хранятся ваши персональные данные и которые нужно очищать перед продажей добавились… автомобили! Да-да, ведь ваш автомобиль, в сущности, это компьютер, хранящий массу информации о вас и когда вы его продаете, эти персональные данные могут быть доступны следующему владельцу, если, конечно, вы не предпримете шагов по удалению этой информации.

Читать далее…


Сказки о безопасности: Расследование ДТП

23/08/2018

http://www.itweek.ru/themes/detail.php?ID=202740

Совещание у комиссара полиции уже заканчивалось. Насущные вопросы практически все были разобраны, но тут слово попросил капитан дорожной полиции.

— Господин комиссар, у нас есть проблема. Мы так и не сдвинулись с места в расследовании наезда на велосипедиста на 9-й улице. А ведь велосипедист умер…

— А кто у нас занимается этим делом?

— Гюнтер. Увы, на месте аварии мы обнаружили только непонятный кусок пластмассы. Свидетелей нет. Дело было глубокой ночью. Что это за пластмасса — непонятно. Марка автомобиля нам неизвестна. Да и место там глухое. Неосвещенное. Не знаю, что делать. Буду рад любой помощи!

— Господа, у кого есть идеи?

— Господин комиссар, есть идея. Может нам это и ничего не даст, а может…

— Давай стажер! В Академии вас хорошо учат. Если у нас нет идей, то может у тебя что-то появится.

На совещании в минуты, когда ничего умного в голову не приходило, срабатывало старое правило. Высказываться могли самые безумные идеи, причем первыми высказывались самые молодые офицеры. А уж потом это либо отбраковывалось в ходе обсуждения, либо нет. Вот и сейчас решили последовать этому правилу.

— У нас широко развиты социальные сети. А вы знаете, что в социальной сети есть группа «Скажите мне, что это такое», в которой размещают самые неожиданные фотографии и люди рассказывают, что это может быть. Давайте сфотографируем этот обломок и разместим фото в группе. Чем мы рискуем? Да ничем, тем более что размещать я буду от своего имени.

— Давай, попробуй.

Сказано — сделано.

Прошла неделя.

— Господин комиссар, у меня есть новости. Наш кусок пластмассы — это кусок пластмассовой обвески фары с джипа Р228 пятилетней давности. Отозвался бывший инженер-разработчик этой модели. И даже прислал нам фото такого авто. Эта модель достаточно редкая, по какой-то причине не понравилась покупателям. Я тут обзвонил ремонтные мастерские, оказалось, что такой джип сейчас стоит в мастерской «У Рикардо». Они ждут новую фару.

— Ну, а ты чего здесь? Бегом в мастерскую!

— Господин комиссар, я всего лишь стажер, но не болван. Машину уже везут к нам в исследовательский центр. Минут через 10 они будут здесь.

— Гюнтер знает?

— Да, он уже там с этим обломком.

— Доложите мне потом.

Прошло еще два часа.

— Господин комиссар! Этот обломок идеально ложится на место. Это та самая машина, а за хозяином я уже послал патрульных. Прошу выразить нашу благодарность и стажеру, и инженеру, который нам помог.

— Молодец, стажер! Я обязательно отмечу это в отзыве о стажировке! А инженер получит премию и благодарность от мэра столицы!

Подобное использование социальных сетей уже не фантастика. Благодаря Reddit подозреваемого в ДТП удалось найти за несколько дней. В шт. Вашингтон 9 августа 2018 г. черный автомобиль сбил насмерть велосипедиста и скрылся с места ДТП. Полицейский Джонна Батисте рассказала о случившемся в своем твиттере и выложила фотографию небольшой детали от фары — единственной улики, найденной на месте происшествия. Подозреваемый был задержан, так как подписчики смогли опознать деталь.


Сказки о безопасности: От видеокамер не скрыться

21/08/2018

https://www.itweek.ru/security/article/detail.php?ID=202716

— Доброе утро, господин комиссар!

— Доброе! Что у нас плохого? Если вы меня встречаете на лестнице, значит что-то снова у нас не так.

— Увы, вы правы. Нам нужно понять место встречи Длинного Дэна и Худого Джо. Проблема в том, что Худой ездит на старом авто без компьютерного оборудования, а Длинный всегда передвигается на новейшем лимузине, который арендует у охранного предприятия. Причем каждый раз разный. С разными водителями.

— Ну так и что тут странного и плохого? В машинах охранного предприятия City Security установлена новейшая сигнализация, которая постоянно показывает где находится автомобиль и даже фиксирует лицо водителя. Более того, охрана может дистанционно заблокировать двери и ключи.

— Погодите, выходит мы можем видеть и слышать все, что происходит в автомобиле?

— Безусловно. И учтите, что начальник службы безопасности City Security — это бывший руководитель нашего подразделения технической разведки. Я поговорю с ним, он поможет. Когда состоится встреча?

— Ориентировочно через неделю.

— Раз так, пора готовиться.

Прошла неделя.

— Шеф, в машине Длинного только он и водитель. Машина едет в сторону окраины, судя по всему, встреча состоится в кафе «Бочка».

— Вы сможете подключиться к видеокамерам кафе?

— Уже. Там три камеры, дают полный круговой обзор, так что мы получаем обзор с трех точек. Официально кафе закрыто для обслуживания.

— Найдите нам людей из общества глухонемых. Нужно прочесть по губам, о чем они будут говорить.

— Уже нашли. Инструкторы из этого общества уже изолированы в двух кабинетах друг от друга. Они независимо будут писать разговоры.

— Молодец, лейтенант! Далеко пойдете! Я выражаю вам свое удовольствие!

А вы знаете, что существует сигнализация, которая не только отслеживает местоположение, но и позволяет удаленно блокировать ключи и двери вашего авто?


Опасное вредоносное ПО для Android- банковский троян, кейлоггер и шифровальщик

20/08/2018

Новое вредоносное ПО для Android, содержащее функциональные возможности банковского трояна, переадресацию вызовов, запись звука, кейлоггеров и деятельность Ransomware. Это вредоносное ПО предназначено для популярных банковских приложений, таких как HFC, ICICI, SBI, Axis Bank и другие электронные кошельки.

Читать далее…