Security Lab

API

1642
API
API (Application Programming Interface) - это набор готовых функций и процедур, которые позволяют разработчикам создавать программное обеспечение, взаимодействующее с другими приложениями или сервисами. API определяет, как различные компоненты программного обеспечения должны взаимодействовать друг с другом, обеспечивая при этом безопасность и стабильность работы системы. API часто используется в веб-разработке для создания сайтов и приложений, которые используют данные и функциональность других сервисов.

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену

Кэширование на сверхзвуковых скоростях: Microsoft представила Garnet

Эпохальный рывок в сфере обработки данных высвобождает истинный потенциал веб-приложений.

$75 млрд ежегодно: как уязвимости в API истощают корпоративные бюджеты

Современные векторы атак эксплуатируют излишнюю открытость цифровой инфраструктуры.

Как использовать API в MaxPatrol VM: теория и практика

Вебинар Positive Technologies состоится 13 февраля в 15:00 (мск).

Под капотом OAuth 2.0: как приложения обмениваются нашими данными?

OAuth 2.0 – отраслевой стандарт, который решает проблемы безопасности API, связанные с обменом учетными данными пользователей, обеспечивая при этом простые и четко определенные потоки авторизации для веб-приложений, мобильных, настольных и IoT-приложений.

Commando Cat: украденные данные, бэкдоры и криптомайнинг

В своих атаках злоумышленники преследуют сразу несколько целей...

CVE-2023-7028: корпоративные секреты с 5300 серверов вот-вот станут добычей хакеров

Почему администраторы не спешат с обновлением, рискуя защитой своих сетей?

Toyota подставила своих клиентов, сделав их данные общедоступными с 2023 года

Халатность привела к раскрытию тайн компании и её клиентов.

GitHub латает дыры в Enterprise Server: установите обновление как можно скорее

Прошлогодняя утечка SSH-ключа вынудила компанию стать бдительнее.

0day в Ivanti: взломаны тысячи VPN-устройств, среди жертв – военные, провайдеры и банки по всему миру

Всё больше хакерских объединений используют в своих атаках CVE-2023-46805 и CVE-2024-21887.

Критическая ошибка CVE-2024-20272 в Unity Connection позволяет получить root-права без пароля

Cisco дала хакерам свободный доступ к устройствам пользователей.

Двойной удар по софту Ivanti: одновременная эксплуатация новых 0-day развязывает хакерам руки

Патча до сих пор нет. Злонамеренные запросы и произвольные команды ещё долго будут преследовать корпоративных пользователей.

Lumma Stealer продолжает своё шествие по YouTube: любители халявы массово теряют данные

Почему видеоплатформа утопает в мошеннических роликах, а наивные пользователи идут на поводу у хакеров?

Chameleon: масштабное вторжение в банковские приложения Европы через Android

В новой итерации банковский троян получил качественно новые возможности для атаки.

Amazon в огне: как временные токены стали новым оружием в руках злоумышленников

Не спасает даже многофакторная аутентификация. Возможно ли обезопасить свои системы?

Халатность при работе с Docker Hub грозит хакерскими атаками на цепочки поставок сотен компаний

Токены GitHub и PayPal среди тысяч секретов, обнаруженных в открытых контейнерах.

Утечка секретов Kubernetes: недальновидность разработчиков поставила под угрозу гигантов блокчейна

Анализ безопасности контейнерных сред выявил реальные риски в цепочке поставок.

Полтора миллиона биткоинов под угрозой кражи из-за уязвимости Randstorm

Если ваш криптокошелёк был создан до 2016 года, стоит внимательно изучить все риски.

Google ослабляет ограничения для блокировщиков рекламы в обновленном стандарте Manifest V3

Google планирует прекратить выпуск Manifest V2 в следующем году.

Открытый код, закрытые секреты: Растущая проблема утечек конфиденциальных данных в разработке ПО

Почему специалисты пренебрегают основами безопасности и почему ситуация не меняется с годами?

Ботнет OracleIV использует общедоступные API Docker Engine для захвата контейнеров

Стоит ли нам ожидать масштабных отключений устройств?

Бэкдор Effluence: когда даже патчи бессильны перед вредоносным ПО

Полный контроль над серверами Confluence теперь в руках злоумышленников.

SecuriDropper: даже Google бессильна перед новым доставщиком вредоносного кода

Хакеры используют лазейки в API для обхода мер безопасности Android.

Discord внедряет временные ссылки на файлы для повышения защиты от вирусов

Сервис запускает новую эру безопасной коммуникации в сети.

Bluetooth-LE-Spam превращает смартфон на Android в спам-машину

Не нужно покупать Flipper Zero, чтобы устроить бомбардировку уведомлениями.

5 минут от утечки до криптоджекинга: операция EleKtra-Leak не щадит AWS-серверы

IAM-ключи открывают хакерам любые двери, не спасает даже карантинная политика.

Хакеры из Туниса разоряют облачные сервисы: под ударом данные из Jupyter Notebook

Новая кампания показывает способности хакеров по скрытию и установлению контроля над системой.

От игр к грабежу: в Discord распространяется вредонос Lumma Stealer

Теперь за установку игр пользователи платят своей личностью.

SpyNote: бессмертный троян, от которого не существует защиты

Исследователи проанализировали работу скрытного и очень эффективного вредоноса на Android.

Палестинские хактивисты AnonGhost объявили ядерную угрозу в Израиле

Киберпреступность стала одним из главных направлений в конфликте между Израилем и ХАМАС.

Сurl предупреждает о выходе экстренного патча, который может затронуть миллионы систем

Специалисты предупреждают о высокой опасности одной из уязвимостей. С чем связана угроза?

Иран развязывает кибервойну: группа OilRig собирает черновики Израиля

Зачем иранским хакерам понадобились сервера Exchange в атаках?

Скрытая угроза: помощники в написании кода знают больше, чем кажется

Все секреты разработчиков будут раскрыты через функцию автозавершения кода.

Ретро-библиотека «ncurses» едва не привела ко взлому устройств Linux и macOS

Утечка информации из стека и переполнение кучи — лишь видимая верхушка айсберга.

Коварство женской красоты: как модели OnlyFans стали орудием кибершпионажа

Новая операция «Steal-It» не оставляет шансов на сохранность конфиденциальных данных.

Опасный баг или скрытая фича? AtlasVPN игнорирует критическую уязвимость

Свежий эксплойт позволяет хакерам отключить защиту жертвы и раскрыть её реальный IP-адрес.

Доверяя кодирование ИИ, профессионалы рискуют остаться без работы

Почему даже крутые машины иногда ошибаются?

Код в опасности: неизвестный хакер загрузил вредоносные пакеты Rust в репозиторий Crates.io

Распространение угрозы приостановлено, но компьютеры разработчиков уже скомпрометированы.

Охотники за координатами: как вредонос Whiffy Recon помогает хакерам отслеживать свою добычу

Новый шпионский инструмент сольёт злоумышленникам все данные о вашем местоположении.

Перевод с кибербандитского: данные пользователей Duolingo оказались на прилавках даркнета

Уровень языка — продвинутый, уровень безопасности — новичок.

Как ChatGPT освоил X: ботнет заманивает пользователей в криптовалютные лабиринты

1140 аккаунтов Fox8. Ты действовал наверняка, да?

Темные стороны светящегося экрана: как смартфон меняет правила игры в цифровой прозрачности?

Слепые зоны в смартфонах развязывают разработчикам руки - найден способ контролировать код.

NoFilter: как новый метод атаки позволяет хакерам получить полный контроль над Windows-устройствами

Исследователи Deep Instinct обнаружили скрытный способ эскалации привилегий популярной ОС.

VSCode — редактор кода или дырявое ведро? Исследователи обнаружили способ кражи токенов аутентификации

Брешь в защите охватывает версии программы для Windows, Linux и macOS.

Бесплатная миля: клиенты авиакомпаний едва не лишились своих баллов лояльности из-за слабого шифрования

Личные и платёжные данные 22 миллионов пассажиров терпеливо ждали своего похитителя.

Критическая уязвимость в клиенте Mozilla VPN превращает VPN в инструмент для кражи данных

Неправильная настройка системы позволяет пользователям почувствовать себя администратором.

Новая версия криптостилера Rilide маскируется под VPN-клиент от Palo Alto Networks

Хакеры развернули сразу несколько масштабных вредоносных кампаний с изощрёнными методами социальной инженерии.

Apple закручивает гайки разработчикам приложений

Купертиновская компания вводит новые правила по использованию API.

Бег за здоровьем или бег от хакеров: велотренажеры Peloton следят за вами

Потерять вес теперь так же легко, как и личные данные.

Больше давления, больше денег: ALPHV/BlackCat добавляют API на свой сайт утечек

Жертвы утечек теперь поймут, что хакеры не шутят.

GPT-4 тупеет на глазах: исследователи фиксируют явную деградацию языковой модели

Неужели эпоха нейросетей закончится, не успев начаться?

Сингапурский туризм переходит в цифру: местные специалисты разрабатывают AR-достопримечательности

Связка искусственного интеллекта с дополненной реальностью должна помочь сделать туристические маршруты интереснее и привлекательнее.

Хакеры атаковали облачную платформу JumpCloud и похитили данные её клиентов

Как целевой фишинг позволил злоумышленникам произвести узконаправленную атаку?

Positive Technologies на шаг впереди: PT BlackBox 2.5 с улучшенной моделью доступа и сканированием API

В новой версии продукта также появилось администрирование ролей.

Docker Hub — репозиторий для разработчиков или свалка конфиденциальной информации?

Исследователи из Германии обнаружили, что тысячи общедоступных образов Docker содержат высокочувствительные данные.

Драйверы режима ядра: скрытая опасность для всех пользователей Windows

Microsoft отзывает сертификаты, а китайские хакеры ищут новые лазейки для проведения атак.

TeamTNT снова в деле: как они используют облачный червь для кражи ваших данных и денег

Хакеры активно тестируют новый способ атаки на облака.

Решающее слово в борьбе с вымогателями: революционная идея Microsoft

Эксперт нашёл способ, как значительно ослабить индустрию программ-вымогателей.

Добро пожаловать в безопасное будущее: VMware, AMD и Samsung ведут отрасль к новой эпохе

Компании создают открытый фреймворк для конфиденциальных вычислений.

Хакерская «сойка-пересмешница» облетает любые EDR-преграды и успешно выполняет вредоносный код

Исследователи представили «Mockingjay» — инновационный метод внедрения вредоносного кода, использующий Visual Studio от Microsoft.

Секреты Reddit под угрозой: хакеры требуют выкуп и отмены изменений в доступе к API

4,5 миллиона долларов — разумная цена за 80 ГБ конфиденциальных данных?

Сброс пароля - не панацея: как хакеры взломали платформу Honda и украли данные дилеров

Уязвимость в системе сброса пароля позволила злоумышленникам взломать платформу электронной коммерции компании Honda и посмотреть, что там продают.

Paragraphica: камера, которая «видит» мир глазами ИИ

Датский дизайнер создал уникальный гаджет, который преобразует текстовые описания в фотографии с помощью нейросети.

Twitter объявил Microsoft войну: соцсеть обвинила компанию в несанкционированном использовании API и потребовала аудита

Почему компания Наделлы нарушила соглашение и как на это отреагировал Маск

Почти половина всего трафика в интернете в 2022 году исходила от ботов

Трафик людей при этом упал до исторического минимума.

API-менеджмент (APIM): что это такое и куда ведет

Анализ концепции API-менеджмента (APIM), его преимуществ и дальнейших перспектив развития.

TikTok устранила уязвимость, которая позволяла шпионить за пользователями

Опасения США по поводу конфиденциальности пользователей сервиса оказались не безосновательны.

Китайские киберпреступники Earth Longzhi используют новый метод деактивации систем безопасности на целевых компьютерах

Тайвань, Тайланд и Филиппины уже стали жертвами атак злоумышленников, следующие в списке — Вьетнам и Индонезия.

Искусственный интеллект существенно прокачает возможности киберзащитников

Специалисты Mandiant делятся опытом, попутно объясняя, в какую сторону движется отрасль и каких атак стоит особенно остерегаться.

Microsoft внедряет язык Rust для повышения безопасности и производительности Windows

В сочетании с существующим C++ язык Rust способен увеличить производительность систем до 15%.

Крупнейшие компании мира в опасности, их данные могут быть украдены через открытые источники

Исследователи обнаружили огромное количество артефактов и образов контейнеров, размещенных в различных реестрах и репозиториях без надлежащей защиты.

Amazon представляет Bedrock — AI as a Service для разработчиков

Использование генеративного ИИ в коммерческих целях ещё никогда не было таким удобным.

Google запускает сервисы для разработчиков Deps.dev и Assured OSS, призванные ускорить процесс разработки и повысить безопасность конечного ПО

Корпорация добра всеми силами стремится снизить риск, связанный с вредоносным кодом в цепочке поставок программного обеспечения.

Новая ИИ-программа Россомаха исправляет ошибки в коде «на лету»

Россомаха обладает функцией саморегенерации и автоматизированной отладки.

OpenAI запустила программу Bug Bounty с вознаграждением до $20 000

Исследователи безопасности смогут помочь OpenAI усилить безопасность технологий компании.

Хакеры не смогли поделить вычислительные мощности Kubernetes

Криптоджекинговая операция закончилась противостоянием двух хакерских группировок.

OpenAI открыла API ChatGPT и Whisper для разработчиков

Теперь с помощью API нейросети можно встроить в свои приложения.

Хакеры SCARLETEEL крадут исходный код и данные компаний из облака Amazon

Высококвалифицированные хакеры умело используют API и AWS для кражи конфиденциальных данных.

ИИ-редактор изображений Cutout.pro допустил утечку пользовательских данных

9 ГБ сгенерированных картинок и прочей информации было слито в открытый доступ.

Обновление Splunk Enterprise исправляет критические недостатки платформы

Патч безопасности затрагивает свыше десяти различных уязвимостей.

Google объявила запуск «песочницы конфиденциальности» на устройствах с Android 13

Функция запускается в бета-режиме и будет постепенно расширять список поддерживаемых устройств.

В программном обеспечении American Megatrends выявили новые уязвимости

В центре внимания снова серверные решения AMI MegaRAC BMC.

Возможности нового Android-трояна «Hook» поражают воображение

Киберпреступники получат полный контроль над заражённым смартфоном.

Криптоплатформа 3Commas признала, что ее API-ключи попали в руки киберпреступников

Неизвестный выложил набор из 10 000 API-ключей в Twitter.

Вредоносное ПО GuLoader использует новые методы обхода программ безопасности

3-ёхэтапный процесс заражения и продвинутые функции обхода EDR-механизмов.

Разработчик криптографической защиты 1,5 года сливал свои ключи и сертификаты

Из-за неправильной конфигурации USB-носители станут источником массовых фишинговых атак.

1550 приложений допускают утечку API-ключей Algolia

Утечка ключей может привести к утечке данных пользователей.

Privacy Sandbox от Google станет доступна в 2023 году

Google объявила о бета-тесте своей системы таргетированной рекламы, ориентированной на конфиденциальность.

Хакеры получили доступ к 130 репозиториям исходного кода DropBox

Помимо библиотек DropBox, злоумышленники получили доступ к личной информации клиентов и сотрудников компании.

Киберпреступники ловят тайминг для атаки на мировые цепочки поставок

Хакерам достаточно полсекунды, чтобы поставить под угрозу безопасность пользователей по всему миру.

Язык программирования Go будет уведомлять об уязвимостях в проекте

Новый инструмент повысит безопасность проектов и повысит осведомленность разработчиков.

Google Chrome прекратит поддерживать блокировщики рекламы

Это связано с внедрением нового программного интерфейса.

Низкий уровень безопасности API может стоить организациям до $75 млрд в год

ShadowServer: более 380 000 серверов API Kubernetes недостаточно защищены

Большая часть уязвимых серверов находится в США, остальные – в Западной Европе, Юго-Восточной Азии и Австралии.

Cequence Security сотрудничает с Software AG, чтобы помочь организациям защитить свои API-интерфейсы

Простой баг в приложении превратил его в ключ от всех дверей в студенческом общежитии

Студент был недоволен скоростью работы приложения и случайно понял, как его можно превратить в мастер-ключ.

Уязвимость в Safari 15 может привести к утечке данных об интернет-активности

Проблема также раскрывает идентификатор пользователя Google другим сайтам.

Noname Security оценивается в $1 млрд после привлечения $135 млн в рамках финансирования серии C

Современные интим-игрушки представляют угрозу безопасности

Учитывая появление большого количества новых брендов на рынке интимных товаров, необходимо уделить внимание их безопасности.

Медицинские приложения раскрывают данные миллионов пользователей

Результаты анализа 30 популярных приложений мобильного здравоохранения показали, что они дают доступ к истории болезней миллионов людей.

Chrome 89 beta получила новые API, считающиеся небезопасными Mozilla и Apple

Бета-версия браузера получила новые API для взаимодействия с аппаратным обеспечением.

С 15 марта 2021 года Google планирует ограничить некоторые API-интерфейсы Chrome

Они станут недоступными для любых сторонних браузеров, созданных на основе открытого исходного кода.

Эксперты обнаружили новый сервис «обфускация как услуга»

Хакеры предлагают полностью автоматизированную платформу для защиты APK вредоносного ПО от обнаружения антивирусами.

Десятки AWS API позволяют получить представление о внутренней структуре компаний

Сообщения об ошибках предоставляют слишком много информации, позволяя злоумышленнику узнать о конкретных пользователях.

Twitter предупредила о потенциальной утечке ключей API

Портал developer.twitter.com давал браузерам инструкции создавать и сохранять в кэше копии ключей API и токенов доступа.

Apple отказалась внедрять 16 web API в Safari из-за проблем с конфиденциальностью

Web API якобы предоставляют новые возможности для отслеживание цифрового отпечатка браузера.

Киберпреступники эксплуатировали уязвимость в API Twitter

Некоторые IP-адреса, использованные в ходе атак, были связаны с спонсируемыми государствами группировками.

Преступники майнят Monero на уязвимых Docker-системах

Злоумышленники взламывают Docker-системы с доступными в Сети API.

Уязвимость в API Twitter ставит под угрозу MitM-атак десятки тысяч iOS-приложений

Уязвимость может быть проэксплуатирована для взлома учетных записей в Twitter и компрометации других приложений.

Более 100 тыс. репозиториев на GitHub раскрывали API или криптографические ключи

Специалисты выявили порядка 576 тыс. токенов API и криптографических ключей, причем более 200 тыс. из них были уникальными.

API расширений могут использоваться для кражи данных из браузеров

Порядка 200 расширений для Chrome, Firefox и Opera уязвимы к подобным атакам.

Разработчики Android-приложений смогут заставлять пользователей устанавливать патчи

Новый API от Google позволит разработчикам заставлять или подталкивать пользователей к установке обновлений.

Эксперт показал, как с помощью простого трюка превратить Google Home Hub в кусок металла

Незадокументированный API позволяет Google Home Hub получать команды от других устройств в одной с ним сети Wi-Fi.

Google ограничила для Android-приложений доступ к данным на устройстве

Доступ к журналам звонков и SMS теперь будет только у приложений «Телефон» и «Сообщения», выбранных приложениями по умолчанию.

Уязвимость в Account Kit оставила пользователей Tinder беззащитными против хакеров

Уязвимость позволяла любому желающему перехватить токен авторизации для входа в Tinder.

Уязвимость в приложении для управления электромобилем Nissan Leaf позволяет исчерпать заряд его батареи

Эксплуатируя ошибку, злоумышленник может получить удаленный контроль над некоторыми функциями электрокара.

Adobe прекратит обновлять Flash Player для Linux

Актуальный Flash Player для дистрибутивов Linux будет присутствовать только как часть нового API браузера Google Chrome.

Apache взялся за облачный проект Deltacloud

Поддержка облачного проекта будет осуществляться наравне с Apache Web server.

Компания Google объявила о релизе Android 3.2

В Android 3.2 был расширен функционал API, и добавлены функции масштабирования изображений.

Zend Technologies, IBM и Microsoft разрабатывают единый API для «кросс-облачных» приложений

Компании Zend Technologies, IBM и Microsoft ведут открытый проект Simple API for Cloud Application Services, направленный на создание единого API для разработчиков на PHP, который позволит разворачивать «облачные» службы вне зависимости от используемой платформы.

Microsoft добавит новые анти-эксплуатационные API в Windows

Microsoft планирует добавить новые API и усилить безопасность Windows систем.

Microsoft изложила 12 относящихся к операционной системе принципов, способствующих конкуренции

 Как сообщил главный юрисконсульт Microsoft Брэд Смит, добровольные принципы начнут действовать в будущем году, после того как истечет срок основной части постановления правительства США по историческому антимонопольному делу против производителя ПО.