Хтось продає базу даних українців і стверджує, що це усі клієнти ПриватБанку

В Даркнеті виставлено на продаж базу даних українців та стверджується, що це клієнти ПриватБанку – найбільшого банку в Україні. В мене є сумніви, щодо правдивості цієї інформації.

На одному з форумів з’явилося оголошення про продаж ніби то бази даних усіх клієнтів ПриватБанку на 40 млн записів, яка містить повне ім’я, дату та місце народження, дані паспорту та ІНН, сімейний стан, наявність авто, освіту, мобільний телефон та контакт у Вайбері. Ціна досить скромна, $3,400. Звісно, що ПриватБанк все спростовує.

Як і більшість українців, я не великий шанувальник ПриватБанку, але в цій історії, мені здається, є занадто багато фактів, що вказують на спробу продавця вкраденої бази даних ввести нас в оману. По-перше, компіляції баз даних, що вже витекли раніше, продаються зараз на кожному кроці, і це може бути ще один такий випадок. По-друге, ці дані цілком можна було скомпілювати з баз, які продає на форумі той самий персонаж, адже серед них є БД українських паспортів, транспортних засобів та інших пов’язаних даних.

Продовжити читання “Хтось продає базу даних українців і стверджує, що це усі клієнти ПриватБанку”

Новини про мою роль в OWASP

Я складаю повноваження лідера OWASP Kyiv та продовжую діяльність в OWASP як член OWASP Chapter Committee.

Трохи персональних новин. Відсьогодні я формально припиняю бути лідером Київського відділення OWASP та передаю цю роль команді, яка блискуче зарекомендувала себе за останні роки. Як співзасновник, керуватиме чаптером Ігор Блюменталь, а я продовжуватиму підтримувати діяльність відділення за лаштунками.

Паралельно я докладатиму зусиль до розвитку руху за безпеку програмного забезпечення як член OWASP. Всі спеціалісти BSG відтепер є членами цієї організації, а наша компанія нещодавно стала корпоративним членом.

Також, як учасник OWASP Chapter Committee, я братиму участь в формуванні політики OWASP Foundation щодо регіональних відділень та допомагатиму волонтерам з усього світу створювати чаптери та здійснювати їхню діяльність. Тому якщо у вас є бажання приєднатися до нашої глобальної тусовки – ласкаво прошу, ми з колегами завжди раді допомогти.

Тим часом триває підготовка до першої події OWASP Kyiv цього року: відділення шукає доповідачів та партнерів. Особисто я цього разу долучуся як доповідач, але в організації участі не братиму. Якщо бажаєте доєднатися з доповіддю або воркшопом, подайте заявку на виступ. Якщо хочете стати партнером заходу – повідомте про це Ігорю.

Якщо ви поняття не маєте, про що був цей допис, подивіться це відео 🙂

Кібератака на критичну інфраструктуру в Сполучених Штатах

Невідомі хакери здійснили кібератаку на водоочисну споруду та намагалися підвищити вміст хімічних речовин до небезпечного рівня.

Невідомі отримали доступ до комп’ютерних систем водоочисної споруди в місті Олдсмар, штат Флорида, і змінили рівень хімічних речовин до небезпечних параметрів. Системи водопостачання є елементами критичної інфраструктури й цей інцидент буде розслідувано дуже прискіпливо.

Атака відбулася у п’ятницю, 5 лютого. Зловмисники отримали доступ до комп’ютерної системи дистанційного керування операціями з очищення води. Первинний доступ було здійснено о 8 ранку. Другий сеанс доступу відбувся пізніше, близько 13:30, тривав довше, близько п’яти хвилин, і був виявлений оператором, який стежив за системою і побачив, як по екрану рухається курсор миші. (Тут яскравий флешбек у зиму 2015-го та кібератаку на Прикарпаттяобленерго).

Продовжити читання “Кібератака на критичну інфраструктуру в Сполучених Штатах”

Звіт про вразливості безпеки знайдені у 2020

Ми (BSG) опублікували звіт про вразливості безпеки, знайдені минулого року. У ньому ми наводимо знеособлені дані про наші проєкти та знайдені в них вразливості.

Нахабної реклами пост. Через шість років після заснування Berezha Security, ми вирішили започаткувати традицію. Ми щороку публікуватимемо звіт про вразливості безпеки та наш бізнес-прогрес за минулий рік. Поряд із висвітленням змін в організації, ми ділитимемося знеособленими даними про наші проєкти та знайдені в них вразливості. Навіщо? На це питання є кілька відповідей.

По-перше, тому що корисність цієї інформації важко переоцінити. Як професіонали з кібербезпеки, ми постійно розповідаємо про якихось хакерів, якісь вразливості, і що всіх зламають, і це лише питання часу. І оце наше гонорове “якщо ви думаєте, що ви в безпеці, то у вас просто пентеста нормального не було” воно ж повинно на щось спиратися, правда? Інакше, з чого б це вам вірити? Ось, власне, і відповідь: те, скільки ми робимо проєктів та в яких галузях, в поєднанні з середніми кількостями вразливостей різного рівня ризику дає вам уявлення, що чекає на вас, якщо ви раптом замислитесь про нормальний пентест.

Продовжити читання “Звіт про вразливості безпеки знайдені у 2020”

Розігруємо YubiKey перед випуском річного звіту Berezha Security

Якщо ви завжди хотіли собі або комусь з близьких YubiKey, але ніколи руки не доходили замовити – це ваш шанс все виправити.

Цього року моя компанія BSG (також відома як Berezha Security Group) опублікує звіт про вразливості, які ми знайшли у 2020 році. Перед оприлюдненням звіту ми розіграємо YubiKey, який підходить саме вам, адже там їх ціла купа під різні типи USB. Щоб взяти участь, достатньо від фонаря заповнити форму на п‘ять полів. Щоб виграти, треба заповнити її максимально наближено до справжніх результатів нашої продуктивності минулого року.

Отже, питання:
Скільки вразливостей команда Berezha Security Group знайшла у 2020 році та як ця кількість розподілена по рівнях ризику?

Підказка:
У 2020 році ми виконали 50 проєктів.

Відповіді приймаються за цією адресою (https://forms.gle/jHjv5bS5SZic4JoW9) до 10:00 2 лютого 2021 року.