После того как исследователи компании Duo Security буквально разгромили предустановленное ПО на ноутбуках ряда компаний, включая Lenovo, официальные представители китайского бренда спешно порекомендовали пользователям удалить одно из приложений.

В США арестованы члены рэперской команды Pop Out Boyz, а также большая часть их окружения. Всего правоохранительные органы задержали 39 человек, которым предъявлены обвинения в краже в особо крупном размере. Сообщается, что рэперы потратили более $250 000 в люксовых магазинах на Манхеттене, использовав для оплаты покупок клоны чужих банковских карт. При этом участники Pop Out Boyz, похоже, даже не пытались скрыть тот факт, что занимаются кардингом: они записывали треки с названиями вроде «For a Scammer» (Скаммеру) и рассказывали со сцены о красивой жизни кардеров.

Специалисты IBM X-Force рассказали о новой тактике, которую в последнее время начали активно применять неэтичные исследователи или попросту хакеры. Тактика называется «bug poaching» браконьерство багов. Обнаружив какую-либо уязвимость в инфраструктуре компании, злоумышленники эксплуатируют найденный баг, похищают данные с серверов компании, а затем требуют «вознаграждение» в обмен на информацию о том, как был осуществлен взлом.

Компания Yahoo сделала достоянием общественности сразу три так называемых «письма национальной безопасности» (national security letters). Этим словосочетанием обозначается официальный запрос от спецслужб, который принуждает компанию (или частное лицо) к сотрудничеству, но запрещает разглашать информацию о факте этого самого сотрудничества. Yahoo стала первой компанией, решившийся на такой шаг.

Microsoft использует очень коварные трюки, чтобы заставить пользователей обновиться до Windows 10. К примеру, среди последних замеченных хитростей даже присутствовала техника, схожая с кликджекингом. Между тем компания Samsung, некоторые продукты которой до сих пор работают с Windows 10 из рук вон плохо, открыто не рекомендует своим пользователям переходить на новейшую ОС Microsoft.

Бывший сотрудник Росфинмониторинга запустил проект Expocod первую в России биржу, через которую можно продавать софтверные уязвимости. По данным издания «Коммерсант», Expocod намеревается перепродавать полученную информацию госструктурам, компаниям в сфере информационной безопасности и спецслужбам.

Эксперты оборонной корпорации BAE Systems, а также аналитики компаний Symantec, IssueMakersLab и FireEye продолжают расследовать атаки на международную банковскую систему SWIFT. Ранее, в марте 2016 года, из-за брешей в SWIFT злоумышленникам почти удалось похитить миллиард долларов у центрального банка Бангладеш. Теперь исследователи сообщают, что жертв было значительно больше, и связывают атаки с группой хакеров Lazarus, профессиональной командой, которая, в частности, ответственна за взлом компании Sony в 2014 году.

Независимый эксперт Киаран Макнелли (Ciaran McNally) рассказал в блоге о своем печальном опыте участия в закрытом бета-тестировании bug bounty программы Pornhub. По словам эксперта, порносайт наотрез отказывается выплачивать крупные вознаграждения и оправдывает это тем, что на уязвимые сервисы bug bounty не распространяется.

Компания Dr. Web сообщает о новом трояне, который устанавливает на заражённые компьютеры TeamViewer популярное приложение для удалённого управления компьютером, обмена файлами и проведения телеконференций. Злоумышленники используют его в качестве прокси, чтобы скрывать свои истинные IP-адреса.

Газета «Ведомости», со ссылкой на собственные источники, сообщает, что в Минкомсвязи был разработан законопроект, условно названный «Об автономной системе интернет». Этот документ должен привнести множество поправок в законы «О связи» и «Об информации...», что в итоге предоставит государству практически полный контроль над инфраструктурой рунета.

Издание«КоммерсантВ», со ссылкой на статс-секретаря и заместителя директора Росфинмониторинга Павла Ливадного, сообщает, что представители ведомства уже обсуждают идею разработки национальной криптовалюты РФ с представителями банков, Минфина и ЦБ. Планируется, что российская криптовалюта должна будет заметить собой остальные, а ее эмиссия будет регулироваться.

Когда под рукой нет зарядного устройства, а индикатор батареи почти на нуле, логично зарядить смартфон через USB интерфейс ближайшего компьютера или через публичную зарядную станцию. Далеко не каждый пользователь при этом задумается о том, что такое подключение может представлять опасность. Эксперты «Лаборатории Касперского» провели собственный эксперимент и выяснили, какие проблемы может таить в себе простая зарядка гаджета через USB.

Почти десять лет назад в Швеции появился сайт Undertexter.se, созданный энтузиастами для перевода субтитров к фильмам. Казалось бы, авторы ресурса не делали ничего дурного и точно не нарушали ничьих авторских прав. Однако голливудские студии решили иначе, и с 2013 года сайт подвергается юридическим преследованиям. Еще три года назад полиция изъяла серверы ресурса, а владелец сайта Эуген Арчи (Eugen Archy) был арестован. Теперь сторона обвинения настаивает на наказании в виде лишения свободы.

Счетная палата США опубликовала отчет, который наглядно демонстрирует: у федеральных ведомств страны настоящая беда с IT-инфраструктурой. Ежегодно американское правительство тратит на эксплуатацию и обслуживание устаревших систем порядка 75% всего IT-бюджета. Так, в 2015 году из 80 бюджетных миллиардов в Лету канул 61 миллиард долларов. Проблема в том, что многие ведомства по-прежнему эксплуатируют давно устаревшую технику, типа компьютеров IBM Series/1 с 8-дюймовыми дискетами.

Стало известно, что в конце апреля 2016 года ФБР выпустило официальное предупреждение (PDF), адресованное компаниям-партнерам из частного сектора. Правоохранители призвали всех остерегаться замаскированных под обычные устройства кейлоггеров, которые способны перехватывать все нажатия клавиш с беспроводных клавиатур.

Техника добавления вредоносного контента в буфер обмена пользователя при помощи CSS, известна давно. Ничего не подозревающая жертва копирует с сайта, вместе с куском кода, нежелательную команду, которая впоследствии будет вставлена в терминал из буфера обмена. Данная техника атак имеет ряд очевидных минусов, но теперь ей на замену предлагают похожий и куда более опасный вектор атак, использующий JavaScript.

В конце прошлой недели Google анонсировала новый мессенджер собственного производства Allo. Продукт позиционируется как мессенджер с end-to-end шифрованием, и Google тут же подверглась критике, так как шифрование по умолчанию в приложении оказалось отключено. Теперь один из инженеров Google опубликовал в личном блоге интересный текст, согласно которому, Allo, похоже, не удаляет сообщения даже при включенном «Режиме инкогнито», а включить end-to-end по умолчанию разработчикам не позволяют «сверху». Хуже того, инженера очень быстро заставили отредактировать данное сообщение.

Официальные представители японских правоохранительных органов сообщают, что воскресным утром, 15 мая 2016 года, группа преступников, численностью около 100 человек, похитила 1,4 миллиарда йен (порядка $12,7 млн) из банкоматов в шестнадцати разных префектурах страны.

Специалисты компании ESET обнаружили вредоносную программу, предназначенную для слежки за участниками боевых действий на востоке Украины, а также за некоторыми украинскими общественными деятелями, чиновниками и журналистами. Троян получил название «Прикормка».

Бельгиец Арне Свиннен обнаружил сразу две опасные уязвимости в Instagram. Обе проблемы позволяли осуществить брутфорс-атаку на подбор пароля. Один баг был найден в приложении Instagram для Android, а второй скрывался на странице регистрации instagram.com.