Вечерний обзор IT новостей 29 апреля: сегодня всё про безопасность
Взлом базы данных Docker Hub, персональные данные россиян в открытом доступе, фишинг в мобильном Chrome и поиск причин блокировки некоторых приложений Apple.
Взлом базы данных Docker Hub
Как сообщает служба поддержки Docker, 25 апреля кто-то получил несанкционированный доступ к одной из баз данных Docker Hub. Это официальный репозиторий для хранения Docker-контейнеров.
Неизвестные могли выгрузить имена и хеши паролей 190 тысяч пользователей, а также ключи доступа к GitHub и Bitbucket для автосборки образов контейнеров. У пользователей Automated Builds, которых затронул инцидент, специалисты Docker отозвали токены и ключи доступа. Им нужно будет заново подключить аккаунты GitHub и Bitbucket.
Docker рекомендует сменить пароли и проверить свои аккаунты на GitHub и Bitbucket на предмет подозрительной активности.
Персональные данные россиян в открытом доступе
РБК пишет, что на сетевых торговых площадках обнаружили утечку 2,2 млн паспортных данных, номеров СНИЛС и данных о трудоустройстве россиян. Данные обнаружил председатель Ассоциации участников рынков данных Иван Бегтин, который считает, что проблема кроется в ошибках законодательства и безалаберном отношении к защите информации.
Если вы обнаружили утечку своих данных, можно попросить площадку убрать вашу информацию, а в крайнем случае — обратиться в суд.
Яблочная диалектика
В течение последнего года Apple без предупреждения блокирует в сторе сторонние приложения, которые позволяют контролировать время, проведённое за экраном. Создатели приложений жалуются и предполагают, что Apple таким образом хочет монополизировать разработку важных для пользователей продуктов. Apple же говорит, что ограничивает работу приложений, которые халатно относятся к безопасности пользователей.
Фишинг в мобильном Chrome
Разработчик Джим Фишер рассказал о новой возможности для фишинга в мобильном браузере Chrome.
Когда вы скроллите страницу, UI-блок с адресной строкой уезжает с экрана, и на его месте злоумышленник может разместить идентичный по виду фейковый блок, который притворяется урлом доверенного сайта. При этом вы попадаете в ловушку внутри собственного браузера — уязвимость позволяет запретить вывод настоящей адресной строки, которая должна бы появиться при обратном скролле.
Google пока не отреагировала на эту информацию.