نوشته‌ها

کشف ۴۴ میلیون حساب فاقد امنیت توسط مایکروسافت

یافته‌های گروه تحقیقاتی مایکروسافت نشان می‌دهد حدود ۴۴ میلیون حساب کاربری فعال در خدمات مختلف این شرکت وجود دارد که از کلمات عبور هک شده یا دارای مشکل امنیتی استفاده می‌کنند.

کشف ۴۴ میلیون حساب فاقد امنیت توسط مایکروسافت

این شرکت تمامی حساب های کاربری مورد استفاده کاربران خود را از ژانویه تا ماه مارس امسال بررسی کرد و پس از مقایسه آنها با داده‌های بیش از سه میلیارد حساب هک شده، به این نتیجه رسید که ۴۴ میلیون حساب کاربری فعال این شرکت به علت مذکور مشکل امنیتی دارند.

مایکروسافت با ارسال پیام‌هایی برای مالکان این حساب‌ها به آنها هشدار داده که باید هر چه سریع تر از کلمات عبور تازه‌ای استفاده کنند تا امنیتشان به خطر نیفتد. این شرکت برخی از پیام های خود را برای مدیران سایت هایی ارسال کرده که حساب های مذکور از طریق آنها مورد استفاده بوده اند.

اطلاعات صدها کاربر فیس بوک و توییتر لو رفت

فیس‌بوک و توییتر اعلام کردند که احتمالا اطلاعات صدها نفر از کاربرانی که وارد فروشگاه آنلاین گوگل پلی استور شده‌اند، افشا شده است.

اطلاعات صدها کاربر فیس بوک و توییتر لو رفت

بر اساس گزارش وب سایت the verge، محققان و کارشناسان فعال در حوزه امنیت سایبری که این شرکت‌های تکنولوژی بزرگ را از وجود آسیب‌پذیری‌های جدید موجود در فروشگاه آنلاین و اینترنتی گوگل پلی استور مطلع و باخبر کرده اند، کشف و اعلام کرده اند که به واسطه این حفره امنیتی، توسعه دهندگان خارجی به داده ها و اطلاعات شخصی بسیاری از کاربران گوشی‌های اندرویدی که وارد حساب کاربری خود در فروشگاه آنلاین و اینترنتی گوگل پلی استور شده‌اند، دسترسی پیدا کرده و معلوم نیست از آنها برای چه اهداف و انگیزه‌هایی استفاده کنند.

این گزارش که نخستین بار توسط شبکه CNBC مطرح و رسانه ای شد، باری دیگر فیس بوک و توییتر، به عنوان بزرگترین شبکه‌های اجتماعی در جهان، را در تیررس شمشیر تیز و برنده منتقدان قرار داد و موجب شد امنیت آنها به خصوص فیس بوک برای چندمین بار زیر سوال برود.

هنوز هیچ نشانه ای دال بر اینکه کاربران گوشی های آیفون و سیستم های مبتنی بر iOS نیز به چنین مشکلی دچار شده اند، کشف و اعلام نشده است.

این آسیب پذیری که به نظر می رسد One Audience نام دارد، به توسعه دهندگان خارجی اجازه دسترسی به اطلاعات شخصی کاربران همچون آدرس پست الکترونیک (ایمیل) و نام کاربری آنها را می دهد.

البته به گفته شبکه cNBC، برخی دیگر از اپلیکیشن‌های حوزه عکاسی موجود در پلی استور همچون Photofy و Giant Square نیز با این مشکل امنیتی مواجه شده اند.

سخنگوی فیس بوک در این خصوص به گزارشگر وب سایت the verge گفت: ما سعی داریم علاوه بر رفع کردن هرچه سریعتر این مشکل امنیتی، به آن دسته از کاربرانی که احتمال می‌دهیم اطلاعاتشان در دسترس توسعه دهندگان قرار گرفته باشد، اطلاع دهیم تا هرچه زودتر نام کاربری و گذرواژه حساب خود در پلی استور و همچنین ایمیل شان را تغییر دهند./ایسنا

گوشی‌های همراه مقامات ۲۰ کشورهک شد

گوشی‌های همراه مقامات ۲۰ کشورهک شد

یک نرم افزار ساخته شده توسط شرکت اسرائیلی NSO Group برای جاسوسی از مقامات رسمی دست کم ۲۰ کشور از طریق اپلیکیشن واتس‌اپ استفاده شده است.

گوشی‌های همراه مقامات ۲۰ کشورهک شد

به گزارش خبرگزاری رویترز، مقامات دولتی کشورهای زیادی که با آمریکا در ارتباط هستند هدف نرم افزار هکری شدند که از طریق پیام‌های برنامه واتس‌اپ از تلفن‌های کاربران جاسوسی می‌کرد.

به گفته این خبرگزاری روز سه شنبه ۲۹ اکتبر واتس‌اپ شکایتی را علیه گروه اسرائیلی ان اس او که سازنده ابزارآلات هکری هست، تنظیم کرد.

این پیام رسان که متعلق به فیسبوک می‌باشد، تایید کرده است که گروه ان اس او بسترهای نرم افزاری هک رایانه‌ای این نرم افزار را ساخته و به فروش رسانده است.

براساس منابع رویترز نرم افزار ان اس او گروپ به هکرها اجازه داده است تا به اطلاعات ذخیره شده در تلفن‌های مقامات و نظامیان دسترسی پیدا کنند.

رویترز بدون اشاره به اسامی تمامی کشورهایی که این اتفاق برای آنها رخ داده است اعلام نکرد که چه کسی این نرم افزار را استفاده کرده است.

منابع رویترز همچنین تاکید کردند که برخی از اهداف در آمریکا، امارات متحده عربی، بحرین، مکزیک، پاکستان و هند بودند.

واتس‌اپ همچنین شرکت NSO Group را به هدف قرار دادن ۱۰۰ مدافع حقوق بشر، خبرنگار و اعضای جامعه مدنی در جهان متهم کرده است.

شرکت مذکور که در “هرتزلیا” در شمال تل آویو قرار دارد در ماه مه گذشته اعلام کرده بود که فناوری این شرکت از طریق واسطه مجوزها به دولت‌ها فروخته شده است تا علیه جنایت و تروریسم به کار گرفته شود.

مجموعه “۴ مطلب” – شماره ۴ (۹۸/۸/۳)

سلام خدمت شما

این اولین مجموعه “۴ مطلب” هستش که در آبان ماه خدمت شمکا عزیزان ارائه می کنم.

باز هم مثل گذشته سعی کردم بهترین مطالبی که طی یک هفته گذشته برخورد داشتم رو گلچین کنم و در اختیارتون قرار بدم.

۱- بهترین کنفرانس هفته

در این بخش مجموعه ای از کنفرانس های جذاب پیرامون بحث هک و امنیت و به ویژه باگ بانتی وجود داره که از این لینک می تونید مشاهده کنید.

در بین این کنفرانس ها ، صحبت های فرانس روزن (Frans Rosén’s) برای من خیلی جذاب بود.

فرانس در مورد این توضیح می دهد که چطور بسیاری از آسیب پذیری های مهم رو که باعث کسب ۴۵،۰۰۰ دلار جایزه شده رو پیدا کرده.

۲- معرفی سایت

اگر دوست دارید بدون پرداخت هزینه برنامه نویسی رو یاد بگیرید به این سایت سر بزنید.

جالبی که سایت داره اینه که برنامه نویسی رو همراه با مثال ، تمرین و البته امتحان گرفتن به شما آموزش میده.

منظور از امتحان چیه؟

هر بخشی که به شما آموزش میده از شما یک تست میگیره و باید جواب بدید و اونجاست که مشخص میشه داشتید یاد میگرفتید یا خودتونا گول میزدید که بلدید 😀 

۳- فیلم های سینمایی در زمینه هک و امنیت

خیلی از کاربران دنبال فیلم های سینمایی در زمینه هک و امنیت بودند.خب سریال mr.robot رو همه میشناسن و از نظر نزدیک بودن به واقعیت فکر نمی کنم بهتر از این سریال داشته باشیم.

حتی دوره آموزشی رو قبلا پیرامون تکنیک های استفاده شده توسط نقش اول فیلم(الیوت) ، رکورد کردم با عنوان “تکنیک های Mr.Robot” که می تونید از این دوره آموزشی استفاده کنید.

اما گذشته از این سریال در این بخش لیستی از فیلم های سینمایی با موضوع هک و امنیت رو برای شما دوستان عزیز قرار میدم که دانلود کنید و لذت ببرید. 😉 

۴- بهترین اتفاق هفته 🙂 

این هفته یکی از کاربران که از طریق سایت با بنده آشنا شده بود عکسی رو فرستاد و گفت که کتاب مهندسی اجتماعی شمارو از کتابخانه آستان قدس رضوی گرفتم و دارم می خونم و خیلی خوبه و …

دقیقا نمی دونم کتاب چطوری به کتابخانه آستان قدس رسیده ولی این اتفاق خیلی خیلی برام شیرینه.

کتاب مهندسی اجتماعی-بهروز منصوری

 

 

افشای اطلاعات 26 میلیون کارت بانکی

افشای اطلاعات ۲۶ میلیون کارت بانکی

کارشناسان امنیتی از هک فروشگاه‌های وب تاریک و افشای اطلاعات ۲۶ میلیون کارت بانکی خبر می‌دهند.

افشای اطلاعات 26 میلیون کارت بانکی

به‌تازگی برایان کربس (Brian Krebs) روزنامه‌نگار و یکی از اشخاص برجسته نام در حوزه‌ی امنیت سایبری اعلام کرد فروشگاه کارتینگ برایانس کلاب که در آن کارت‌های مسروقه بانکی خریدوفروش می‌شدند هک شده و داده‌های ۲۶ میلیون کارت اعتباری و کارت‌های بدهی افشاشده است.

کارتینگ (Carding) یکی از اقلام کلاه‌برداری در وب تاریک است که به استفاده و تخلیه وجه به‌صورت غیرقانونی از یک حساب یا کارت‌بانکی بدون رضایت مالک آن گفته می‌شود.

انجام چنین فعالیتی نیازمند تخصص بالایی در زمینه‌های کامپیوتری است به‌طوری‌که برخی چنین اقدام خرابکارانه‌ای را یک هنر می‌دانند.

کربس معتقد است مالکان این فروشگاه در تبلیغات خود از وجهه و شخصیت وی سوءاستفاده کرده و حتی از حق نشر © ۲۰۱۹ Crabs on Security نیز در سایت خود استفاده کرده‌اند.

برایان کربس طراح سایت Krebs on Security است که موضوعاتی مانند، آخرین تهدیدات، نقض حریم شخصی، مجرمان سایبری و هم‌چنین اخبار و حواشی مربوط به مسائل امنیتی را پوشش می‌دهد.

کربس از طریق برخی منابع به داده‌ها دسترسی پیداکرده و در اختیار مؤسسات مالی قرار داده تا کارت‌ها را شناسایی و پیگیری یا مجدداً صادر کنند.

او معتقد است ۱۴ میلیون کارت می‌تواند معتبر باشد.

به گزارش شرکت خصوصی امنیت سایبری فلش پوینت (Flashpoint) ارزش کارت‌های مسروقه برایانس کلاب ۴۱۴ میلیون دلار بوده است که طی سال‌های ۲۰۱۵ تا ۲۰۱۹، ۹٫۱ میلیون کارت به ارزش ۱۲۶ میلیون دلار فروخته‌شده است.

وزارت دادگستری ایالات‌متحده نیز می‌گوید به نظر می رسد این فروشگاه تاکنون ۴ میلیارد دلار فروش داشته است.

هک مادربرد آمریکایی با یک تراشه ارزان

هک مادربرد آمریکایی با یک تراشه ارزان

بررسی ها نشان داد که ده ها هزار عدد از این مادربردها به مشتریان آمریکایی فروخته شده و اطلاعات کاربران آنها به دست هکرها افتاده است.

هک مادربرد آمریکایی با یک تراشه ارزان

اگر چه این ادعاها توسط شرکت سوپرمیکرو و آژانس امنیت ملی آمریکا رد شد، اما یک محقق امنیتی به نام مونتا الکینز از شناسایی محلی در مادربردهای سوپرمیکرو خبر داده که می توان یک تراشه کوچک را در آن محل جایگزین یک مقاومت کوچک کرد و این کار هیچ تغییری در عملکرد مادربرد ایجاد نمی کند.

این محقق تراشه یادشده را با سیم به دستگاهی در خارج از مادربرد متصل کرد و در نهایت توانست داده هایی ذخیره شده بر روی آن را بدون هیچ مشکلی هک کند. وی می گوید به همین شیوه کنترل یک رایانه سرور مجهز به فایروال ASA ۵۵۰۵ سیسکو را در اختیار گرفته است.

وی برای این کار از یک تراشه دو دلاری و مجموعه ابزار لحیم کاری ۱۵۰ دلاری و نیز یک میکروسکوپ ۴۰ دلاری بهره گرفته است.

این محقق هشدار داده که دستکاری یادشده کار چندان دشواری نیست و افرادی با حداقل دانش فنی نیز می توانند آن را انجام دهند.

شرکت سوپرمیکرو هنوز در این زمینه واکنشی از خود نشان نداده است.

اوسینت برای پنتسترها

اوسینت برای پنتسترها

سلام خدمت همه دوستان عزیز

این ویدئو آموزشی در مورد تاثیر اوسینت در انجام پروژه های تست نفوذ یا بهتره بگیم در جمع آوری اطلاعات پیرامون تارگت مورد نظر است.

در ویدئو یکسری نکات ریز وجود داره که پیشنهاد می کنم از دست ندید و در برنامه هفتگی خودتون یک فرصت ۱ ساعته برای مشاهده این ویدئو زمان در نظر بگیرید.

اوسینت یا  Open Source INTelligence (OSINT) به معنی «جستجوی پیشرفته در منابع اطلاعاتی آزاد» است. با وجود آزادی دسترسی به این اطلاعات برای همه، به دست‌آوردن اطلاعات درست در زمان مناسب و همچنین بهره‌برداری از این اطلاعات کار ساده‌ای نیست اما تکنیک‌های اوسینتی این امر را ممکن می‌سازند.

ویدئو زبان اصلی است

 

 

اعتراف هکر روسی

اعتراف هکر روسی

هکر ۳۶ ساله روسی در دادگاه آمریکا درمورد حمله سایبری جی‌پی مورگان توضیح می‌دهد.(اعتراف هکر روسی)

اعتراف هکر روسی

آندره تیورین (Andrei Tyurin)، هکر ۳۶ ساله روسی و عامل حمله سایبری جی‌پی مورگان (JP Morgan) قصد سرقت اطلاعات مالی این شرکت آمریکایی را داشت.

وی سال گذشته با اتهامات مرتبط با جابجایی‌های غیرقانونی پول به همراه چند نفر دیگر از گرجستان اخراج شد.

براساس آرشیو قضایی ایالات متحده، هفته آینده تیورین به همراه دادستان فدرال در جلسه‌ای بر سر دادخواست بی‌گناهی بحث خواهند کرد.

وی پیشتر در دادگاه نیویورک حاضر شده بود، اما جلسات دادگاه باطل شدند.

چندی پیش وکلای دادگستری منهتن قصد داشتند با بیان اتهام دیگری درمورد هک کردن آنلاین تجارت واسطه‌گری در آتلانتا جرم تیورین را ثابت کنند.

در جریان حمله سایبری جی‌پی مورگان، مقامات آمریکایی به این نتیجه رسیدند که این حمله با پشتیبانی برخی آژانس‌ها با احتمال بالای ارتباط با شرکت‌های امنیتی روسی شکل گرفته، اما نتیجه نشان داد که این نقض ناشی از برخی جرایم مانند : کنترل سهام و پولشویی بوده است.

فلوریان میدِل (Florian Miedel)، وکیل مدافع مجرم هیچ واکنشی نسبت به اولین درخواست‌های تحقیقات نشان نداد و نماینده دادستان نیز هیچ بیانیه‌ای نداشت.

تیورین و همکارانش به اتهام برخی جرایم در سال ۲۰۱۵ مجرم شناخته و دوستانش دستگیر شدند؛ اما تیورین موانع را پس از اخراج از گرجستان پشت سر گذاشت. دادگاه هنوز حکم نهایی را درمورد او صادر نکرده است.

اطلاعات به اشتراک گذاشته شده از سوی مجرمان شاید به قانون و بیان ارتباط میان تجارت آمریکا و متخلفان روسی، آژانس‌های اطلاعاتی و جریان پول سیاه خارجی کمک کند.

به دست آوردن ip اصلی وب سایت

سلام خدمت دوستان عزیز

همان طور که مطلع هستید بسیاری از وب سایت ها برای جلوگیری از حملات تکذیب سرویس از سرویس های cloudflare استفاده می کنند.

در این حالت موقع پینگ گرفتن و یا whois گرفتن ، ما نمی توانیم ip اصلی سایت را به دست آوریم زیرا از dns کلود استفاده شده است.

در این ویدئو آموزشی شما را با وب سایتی آشنا می کنم که این مشکل را برطرف می کند و به شما کمک می کند تا این ویژگی را بایپس کنید.

نفوذ هکرها در گوشی هوشمند با دو اپلیکیشن اندروید

نفوذ هکرها در گوشی هوشمند با دو اپلیکیشن اندروید

بنابر اعلام کارشناسان فعال در حوزه فناوری، دو اپلیکیشن اندرویدی با تبلیغات فراوان و نامربوط به هکرها اجازه نفوذ به اطلاعات کاربران گوشی‌های هوشمند را می‌دادند.

نفوذ هکرها در گوشی هوشمند با دو اپلیکیشن اندروید

این روزها که امنیت سایبری و حفاظت از اطلاعات شخصی کاربران از اهمیت روزافزونی برخوردار شده است، محققان متعددی با تحت بررسی قرار دادن موضوعات و موارد مختلف، به بررسی حفره‌های امنیتی موجود در اپلیکیشن های مختلف می‌پردازند و با آگاهی بخشیدن به کاربران، سعی دارند که آنها را در حفاظت از اطلاعات شخصی خود مطلع کرده و به شرکت‌های توسعه دهنده اپلیکیشن‌های مذکور نیز هشدار دهند که وضعیت امنیت سایبری خود و خدمات خود را بهبود بخشند.

حالا به تازگی کارشناسان و متخصصان فعال در حوزه فناوری دریافته و اعلام کرده‌اند که دو اپلیکیشن اندروید که در فروشگاه آنلاین گوگل پلی‌استور حضور داشته و در مجموع بالغ بر ۱.۵ میلیون بار در این پلت‌فرم توسط کاربران دانلود و نصب شده‌اند، تنها میزبان تبلیغات فراوانی هستند که نظر و توجه کاربران را از هدف اصلی دور می‌کند و در عوض، به هکرها و مجرمان سایبری اجازه می‌دهد تا با استفاده از آسیب‌پذیری و ضعف‌های امنیتی موجود، به اطلاعات شخصی موردنظر خود دسترسی و نفوذ پیدا کنند.

بر اساس گزارش وب سایت phonearena، به عقیده کارشناسان فعال در حوزه فناوری دو اپلیکیشن اندروید Funny Sweet Beauty Selfie Camera و Sun Pro Beauty Camera که هر کدام به ترتیب بالغ بر یک میلیون و ۵۰۰ هزار بار در فروشگاه گوگل پلی استور دانلود و دریافت شده‌اند، باید هرچه سریعتر از پلت‌فرم پلی‌استور و گوشی‌های اندرویدی حذف و لغو نصب شود.