На днях знакомый попросил посмотреть, что за странные письма сыпятся на его почтовый ящик.
Открываем его почту, вижу письмо:

детали письма скрыты для того, чтобы злоумышленник не стал преследовать знакомого

День начался как и все остальные ничем не приметные дни. Придя на работу и выпив чашечку капучино от китайской кофе машины сел шерстить сайты. Вот напоровшись на одного из них, долго изучая исходный код наткнулся на разметку, характерную для широко известного WYSIWYG редактора — FCK. Кто хоть раз сталкивался с проблемами подобного рода редакторов наверняка хорошо его знают.

Собственно сам продукт ничем по себе не интересен и полезен только администраторам сайта, т.к. позволяет редактировать наглядно страницы на сайте. Но меня он заинтересовал с точки зрения — на сколько безопасно его внедрение в CMS, особенно в связи с тем что он обладает набором функционала по UPLOAD'у картинок на сайты.

И о чудо, разработчики CMS на ровном месте совершили сразу несколько критических ошибок, сразу предоставив доступ к выполнению исходного кода на сайте!

Итак, что они же натворили?

Твиттер, конечно, неофициальный, но доставляет:

Началом этой прекрасной истории можно считать покупку мной цифровой копии свежего новодела Might & Magic Heroes VI. По-видимому, это было ошибкой. Надо было ждать пиратских репаков.

То, что свежая (два дня с момента релиза) игрушка тут же выкачала 2 патча, должно было меня насторожить сразу. Но ладно, подумал я, и запустил сию поделку.

Краткое пояснение: в лицензионной версии игры можно коннектиться к т.н. конфлюксу и получать якобы прикольные плюшки — система достижений, синхронизация сейвов, ещё чего-то там.

Вчера немного побегал начальную кампанию, отметив только невыносимо отвратительное моргание курсора (которое, согласно форумам, наблюдается у каждого второго) и чудовищно перекошенный баланс учебной кампании (на харде пройти… непросто).

Сегодня включил игрушку повторно и попробовал загрузиться с последнего сейва. В итоге загрузился какой-то непонятный диалог кого-то с кем-то, и мне сообщили, что я умер. «Прикольно», — подумал я и нажал кнопку «Начать снова». После этого Heroes VI вылетел к черту.

«Ничего, и не таких видали», — подумал я, запустил игру снова и начал кампанию по новой. Не успел я сделать и трех шагов, как вывалилось окно «Соединение потеряно» и меня опять выбросило в систему.

Дорогая компания Юбисофт. Это были последние 500 рублей, которые вы увидели с моей стороны. Больше никогда и ничего я у вас покупать не буду. Горите в аду.

Не успели отшуметь новости по поводу СМС, «утёкших» в свободный доступ с сайта Мегафона, как похожая беда настигла один из известных белорусских банков.

Некоторое время назад в твиттере известного белорусского фотографа Антона Мотолько появилось сообщение о том, что по адресу www.mtb.by/data/anketa/po_domashnemu/ доступны персональные данные людей, оставивших заявление на кредит. Непродолжительное ковыряние показало, что в каталоге /data/ на сервере доступно много другой информации — от фотографий сотрудников до заявлений на кредитные (как подсказывают в комментариях, и дебетовые) карты с девичьей фамилией матери и прочими паспортными данными.

По грубым оценкам, число оказавшихся доступными анкет превышает 5000.

На данный момент адреса уже закрыты, но кто знает, сколько копий было сделано?



UPD: появился официальный комментарий Банка. Вкратце: анкеты заполнялись не клиентами банка, а теми кто хочет ими стать, никто не знает, стали ли они клиентами, поэтому эту информацию разглашать нестрашно. Кроме того, паспортные данные «утекли» с сервера, находящегося на аутсорсинге у другой компании. Тем, кто всё-таки стал клиентами банка, были принесены извинения.

UPD2: Текст официального ответа от руководства МТБанка:

Компания Sony призналась, что в период с 17 по 19 апреля из базы данных PlayStation Network были украдены следующие данные пользователей:

• Имя
• Почтовый адрес (с индексом)
• Страна проживания
• Адрес электронной почты
• Дата рождения
• Логин и пароль доступа в PlayStation Network/Qriocity
• Handle/PSN online ID

Также возможно было украдена информация о покупках, секретные вопросы (и ответы) для доступа в PlayStation Network/Qriocity.
Пока нет подтверждения, но не исключается, что также в руки злоумышленников попали номер и дата окончания кредитных карт которыми пользовались в системе (кроме секретного кода).

Более подробно в блоге Sony

Начиная с сегодняшнего числа, то бишь с 30 марта 2011 года (запомните этот день), крупнейший производитель автомобилей в России АвтоВАЗ стал выпускать свои модели с предустановленным чипом, аж страшно сказать, Glonass. Пока изготовлена только первая партия автомобилей, размером 50 экземпляров, под названием Lada Kalina.

В последнее время со стороны компаний, занимающихся цифровой безопасностью, стало довольно модно сообщать об успешных операциях по закрытию ботнетов и аресту их владельцев. Так, закрыли Bredolab — и об это не написали только ленивые.

Цель этой статьи — показать, что далеко не всё так гладко в Датском королевстве.

Автор не претендует на исчерпывающую информацию, но в любом случае полезно знать о провалах антивирусной индустрии.