2SDnjcoK9BL
Швейцарский специалист по безопасности Стефан Глур опубликовал исследование, в котором показал, что платёжные терминалы Worldline Yomani XR можно взломать буквально за полминуты. Как выяснилось, устройства имеют открытый отладочный порт, через который можно получить полный root-доступ к системе без вскрытия корпуса.
Исследователь извлёк прошивку устройства, проанализировал файловую систему и обнаружил, что терминал работает на устаревшей версии Linux. Подключившись через сервисный интерфейс, он получил консоль администратора и полный доступ к файловой системе. Для этого достаточно подключить несколько проводов к скрытому разъёму на задней панели - процесс занимает около 30 секунд.
Хотя уязвимость не даёт напрямую украсть данные карт, она позволяет изменить системные файлы, внедрить вредоносный код или установить бекдор. Криптографическая часть операций обрабатывается отдельным защищённым процессором, но сам факт несанкционированного доступа делает терминалы уязвимыми для манипуляций.
Исследователь сообщил о проблеме производителю ещё в конце 2024 года, однако не все устройства получили обновления. Глур рекомендует торговым сетям проверить терминалы на наличие отладочного порта и физически заблокировать его.
Компания Anthropic заявила, что заблокировала первую публично задокументированную шпионскую операцию, в которой искусственный интеллект использовался не как вспомогательный инструмент, а как полноценный исполнитель атак.
В Госдуму внесён законопроект, который вводит административную ответственность за использование иностранных сервисов аутентификации на российских сайтах.
Редакция Cyber Media отобрала ключевые события недели: на фоне роста кибершпионажа, усложнения фишинговых схем и усиления международного давления на преступные группировки цифровая среда становится всё более неустойчивой.
Платформа Deezer совместно с исследовательской компанией Ipsos опубликовала результаты крупного международного опроса о восприятии музыки, созданной искусственным интеллектом.
Исследователи Sonatype сообщили о беспрецедентной автоматизированной атаке на экосистему open-source, получившей название «IndonesianFoods».
Исследователи Netcraft выявили масштабную фишинговую операцию, нацеленную на гостей отелей.
Обнаружен один из крупнейших сборников украденных учётных данных: почти два миллиарда уникальных адресов электронной почты и 1,3 миллиарда паролей, — сообщает Трой Хант, создатель сервиса проверки паролей HIBP.
4 декабря в Москве более 50 экспертов по информационной безопасности подведут итоги года на масштабной аналитической конференции «Код ИБ ИТОГИ».
«Лаборатория Касперского» расширяет присутствие в Юго-Восточной Азии — компания назначила нового регионального директора, а также вывела работу во Вьетнаме на новый уровень, открыв офис в стране.
Сервис Have I Been Pwned загрузил один из самых больших массивов данных в своей истории - набор Synthient Credential Stuffing Threat Data, появившийся в 2025 году.
