Дослідник безпеки і розробник у NIC.gp. Michel Gaschet виявив у Microsoft серйозні проблеми з управлінням тисячами своїх піддоменів. За його словами, піддомени компанії можуть бути легко зламані зловмисниками і використовуватися в атаках як на її користувачів, так і на співробітників.

Протягом останніх трьох років Гаскет неодноразово повідомляв Microsoft про піддомени з некоректними конфігураціями записів DNS, проте компанія або ігнорувала його повідомлення, або “нишком” виправляла баги, але далеко не всі. Так, у 2017 році дослідник повідомив про 21 уразливий піддомен msn.com, а в 2019 році – ще про 142 піддомени microsoft.com. За словами дослідника, компанія виправила конфігурації не більше 5-10% піддоменів, про які він повідомив.

До недавнього часу уразливі піддомени не завдавали Microsoft ніякого занепокоєння. Проте, зараз, схоже, все змінилося. Дослідник виявив принаймні одну кіберзлочинну групу, зламувати піддомени Microsoft із метою публікації на них спаму. Як мінімум на чотирьох піддоменах Гаскет виявив рекламу індонезійських online-казино (portal.ds.microsoft.com, perfect10.microsoft.com, ies.global.microsoft.com, і blog-ambassadors.microsoft.com).

На думку дослідника, Microsoft не поспішає з виправленням вразливостей на своїх піддоменах, оскільки це не входить в програму виплат винагороди за виявлені уразливості. Проблема зламу піддоменів не є частиною bug bounty і тому не в пріоритеті.

Microsoft ігнорує злам своїх піддоменів спамерами

Також фішинговий механізм створили двоє правопорушників для заволодіння криптовалютою. Під час виконання користувачем переказу криптовалюти відбувалася підміна криптогаманця отримувача, і гроші направлялись зловмисникам.

Окрім цього, зловмисник за допомогою системи онлайн-платежів банківських установ, які не є резидентами України, заволодів грошовими коштами українського банку.

Зверніть увагу, найбільш привабливою для хакерів мобільною операційною системою є Android. Так, 99% мобільних шкідливих програм виявляюють саме на пристроях під управлінням цієї ОС, йдеться у звіті з кібербезпеки мобільних пристроїв за 2019 рік компанії ESET.

До речі, образливі та провокативні повідомлення, знущання в коментарях, навмисне створення конфліктних ситуацій — все це типові прояви тролінгу в Інтернеті. Часто юні користувачі не в змозі боротися з цим самостійно, а батьки не розуміють що це та як захистити власну дитину. Як знизити тиск на підлітка, який вже став жертвою тролінгу в Мережі, а також уникнути цього, читатйте у статті.