More from Кібербезпека • Приватність

• 
  Europol бореться з молоддю за DDoS-атаки

  Europol у межах операції PowerOFF об’єднав зусилля 21 країни, щоб викорінити інфраструктуру DDoS-for-hire та попередити молодь про кримінальність таких дій. Під час нещодавнього тижня координації було закрито 53 домени, видано 25 ордерів і затримано чотирьох осіб, пов’язаних із понад 75 000 користувачів. Тепер акцент зміщується на профілактику: молодим людям демонструють попередження під час пошуку DDoS-інструментів, а 100 URL видалено з результатів пошуку. Це важливий крок у боротьбі з кіберзлочинністю серед молоді.

• 
  Китай погрожує ЄС через кібербезпеку

  Китай попередив Європейський Союз про можливі взаємні санкції у відповідь на нові правила кібербезпеки, які можуть торкнутися китайських компаній, зокрема Huawei та ZTE. Проєкт закону ЄС передбачає обов’язкове вилучення компаній, які визнані загрозою безпеці, з мереж 5G та інших критичних секторів. У Пекіні заявили, що у разі внесення Китаю до списку країн з кіберзагрозами буде застосовано відповідні заходи. Попереду – складний баланс між безпекою та дипломатією.

• 
  Вразливість Vercel через AI-атаку

  Хмарна платформа Vercel зазнала кібератаки, здійсненої за допомогою штучного інтелекту, через злом стороннього AI-інструменту Context.ai, що призвело до компрометації облікових даних обмеженого кола клієнтів. Через популярність Vercel серед криптопроєктів інцидент викликає занепокоєння щодо безпеки ланцюгів постачання та ризиків AI-атак. Компанія вже поінформувала постраждалих, посилила захист і продовжує розслідування.

• 
  У Брюсселі зламали додаток перевірки віку за 2 хвилини

  Новий додаток Брюсселя для перевірки віку було зламано всього за дві хвилини, що виявило серйозні вразливості в системі безпеки. Програма, створена для захисту неповнолітніх, не змогла гарантувати безпеку даних користувачів, що призвело до порушення приватності та несанкціонованого використання фотографій. Цей інцидент ставить під сумнів надійність цифрових ідентифікаційних систем і захист персональних даних. Влада має терміново посилити безпеку додатку, щоб відновити довіру громадськості.

• 
  Фейкові зірки GitHub викрито

  Дослідження Карнегі-Меллон виявило близько 6 мільйонів фейкових зірок на майже 19 тисячах репозиторіїв GitHub, найбільше серед яких — проєкти з AI та LLM. Зірки продають відкрито за ціною від $0,03, і венчурні інвестори використовують їх для оцінки стартапів, що штучно підвищує рейтинг проєктів. Наш аналіз показав, що у деяких репозиторіях до 76% зірок належать порожнім або фейковим акаунтам, що свідчить про існування тіньової економіки. З огляду на штрафи та розслідування, галузь стоїть перед викликом очищення платформи.

• 
  ZionSiphon атакує ізраїльські водні системи

  Фахівці з кібербезпеки виявили шкідливе ПЗ ZionSiphon, спрямоване на критичну інфраструктуру Ізраїлю — системи очищення та опріснення води. Воно здатне змінювати параметри хлору та тиску, використовуючи промислові протоколи Modbus і DNP3, що становить серйозну загрозу для водопостачання країни. Хоча програма ще в розробці, її цілеспрямованість на ізраїльські IP-адреси та політичний підтекст викликають занепокоєння. Влада посилює заходи безпеки для запобігання можливим збоям.

• 
  Атака на Vercel змусила крипто-команди міняти ключі

  Унаслідок зламу компанії Vercel, що забезпечує інфраструктуру для веб-додатків, багато крипто-команд були змушені терміново оновити API-ключі та перевірити свої коди. Зловмисники скористалися вразливістю через сторонній AI-інструмент, отримавши доступ до конфіденційних змінних середовища, які з’єднують додатки з блокчейн-сервісами. Цей інцидент виявив слабкі місця у хостингу фронтендів Web3, і такі проєкти, як Orca, швидко відреагували для захисту. Розслідування триває, а спільнота готується до можливих наслідків.

• 
  Атаки prompt injection: нова загроза для ШІ

  Знову виявлено нові випадки атак prompt injection, які змушують ШІ-ботів розкривати конфіденційну інформацію через хитро замасковані команди, подібно до фішингу серед людей. Ця вразливість стала серйозним викликом для розробників і користувачів, демонструючи, що захист ШІ від таких маніпуляцій надзвичайно складний. Експерти попереджають, що ці атаки триватимуть, тож необхідно постійно вдосконалювати заходи безпеки.

• 
  NSA користується Mythos попри застереження Пентагону

  Національне агентство безпеки США (NSA) використовує нову модель штучного інтелекту Mythos від компанії Anthropic, незважаючи на те, що Пентагон вважає Anthropic «ризиком для ланцюга постачання» і намагається припинити співпрацю. Це свідчить про пріоритетність кібербезпеки для NSA над побоюваннями оборонного відомства. Генеральний директор Anthropic Даріо Амодеї нещодавно зустрічався з представниками Білого дому, щоб обговорити використання Mythos у державних структурах. Судові суперечки між Anthropic та Пентагоном тривають.

• 
  Фішинг через сповіщення Apple

  Зловмисники використовують справжні сповіщення про зміни в акаунтах Apple, щоб розсилати фішингові листи з повідомленнями про нібито покупку iPhone на 899 доларів. Листи надходять з серверів Apple і містять підробний номер телефону, за яким шахраї намагаються викрасти особисті дані або змусити встановити шкідливе ПЗ. Такий метод обходить спам-фільтри, роблячи повідомлення дуже правдоподібними. Користувачам радять бути обережними з несподіваними сповіщеннями про покупки та дзвінками до служби підтримки.