Исследователь безопасности обнаружил критическую уязвимость в веб-приложении, которая позволила ему, имея учётную запись обычного пользователя, получить полный контроль над административной панелью. Эксплойт был основан на комбинации нескольких ошибок: отсутствии подтверждения email, слабом контроле доступа к административным функциям и возможности редактирования чужих профилей без повторной аутентификации. Киберэксперт и инженер-аналитик компании «Газинформсервис» Екатерина Едемская отметила, что этот кейс наглядно демонстрирует, как цепочка, казалось бы, незначительных уязвимостей может привести к полной компрометации системы.
«Отсутствие базовых мер валидации — таких как подтверждение email и ограничение доступа к административным функциям, — в сочетании с возможностью редактировать чужие учётные записи без повторной аутентификации указывает на серьёзные изъяны в проектировании логики авторизации. Такие ошибки не требуют сложных техник — они становятся результатом недооценки угроз и недостаточного внимания к безопасности на уровне архитектуры», — отметила киберэксперт.
Инженер-аналитик добавила, что речь идёт не просто о баге, а о системной недоработке в управлении доступом. Уязвимости логического уровня часто ускользают от автоматических сканеров, поскольку не основаны на нарушении протоколов, а вытекают из слабых границ привилегий и неограниченного доверия к клиенту. Это подчёркивает необходимость думать как атакующий на всех этапах разработки и тестирования — проверяя не только то, что пользователь может сделать, но и то, должен ли он иметь такую возможность.
По словам Едемской, такие уязвимости особенно опасны для корпораций со сложной системой ролей и доступов, где велик риск накопления избыточных привилегий и появления теневых учётных записей. Отсутствие централизованного контроля над правами доступа может привести к тому, что даже добросовестные сотрудники окажутся в зоне риска из-за неверно выданных полномочий, а обнаружить такие случаи «на глаз» практически невозможно.
«Решения класса IGA, такие как Ankey IDM от компании "Газинформсервис", незаметно, но эффективно закрывают подобные уязвимости: они централизуют управление доступами, автоматически отслеживают нарушения принципа минимальных привилегий и предоставляют бизнесу прозрачные механизмы контроля за тем, кто и к каким данным имеет доступ. Такие платформы не только повышают уровень безопасности, но и избавляют команды от ручной рутины, снижая вероятность человеческой ошибки — самой частой причины инцидентов», — подчеркнула Едемская.
Google объявила о новых юридических шагах против организованных групп мошенников, использующих бренд компании для обмана пользователей и продвижения фишинговых схем.
Сотрудники компаний в шесть раз реже открывают опасные письма, если проходят регулярное обучение по кибербезопасности.
Эксперты Positive Technologies опубликовали свежий дайджест трендовых уязвимостей, включивший девять критических недостатков безопасности, затрагивающих популярные программные продукты: от Microsoft и Linux до Redis, Zimbra и XWiki.
«Группа Астра» выводит на рынок линейку программно-аппаратных комплексов XPlatform, предназначенных для быстрого развертывания устойчивой, высокопроизводительной и безопасной ИТ-инфраструктуры «под ключ».
K2 Cloud, K2 Кибербезопасность и Positive Technologies запустили бесплатный онлайн-сервис, который позволяет за 10 минут оценить уровень защиты ИТ-инфраструктуры бизнеса от кибератак и получить рекомендации по дальнейшему усилению киберустойчивости.
Премьер-министр России Михаил Мишустин поручил Министерству цифрового развития определить требования к облачной инфраструктуре, на которой могут размещаться системы и данные объектов критической информационной инфраструктуры.
Банк России сообщил, что новые правила проверки переводов через Систему быстрых платежей коснутся только крупных операций - от 200 тысяч рублей, и только в случае, если деньги отправляются «незнакомому» получателю, с которым клиент не совершал переводов как минимум полгода.
Федеральный суд США принял признание вины от гражданина Великобритании, участвовавшего в распространении и продаже доступа к корпоративным сетям для группировки Yanluowang, известной атаками на компании в Европе и Северной Америке.
В последние месяцы специалисты по кибербезопасности наблюдают новую волну вредоносных программ - мутационных ИИ-троянов, которые способны адаптироваться и менять своё поведение в реальном времени, обходя традиционные средства защиты.
Советник генерального директора – начальник удостоверяющего центра ООО «Газинформсервис», к.
