Вечерний обзор IT новостей 29 апреля: сегодня всё про безопасность

Взлом базы данных Docker Hub

Как сообщает служба поддержки Docker, 25 апреля кто-то получил несанкционированный доступ к одной из баз данных Docker Hub. Это официальный репозиторий для хранения Docker-контейнеров.

Неизвестные могли выгрузить имена и хеши паролей 190 тысяч пользователей, а также ключи доступа к GitHub и Bitbucket для автосборки образов контейнеров. У пользователей Automated Builds, которых затронул инцидент, специалисты Docker отозвали токены и ключи доступа. Им нужно будет заново подключить аккаунты GitHub и Bitbucket.

Docker рекомендует сменить пароли и проверить свои аккаунты на GitHub и Bitbucket на предмет подозрительной активности.

Персональные данные россиян в открытом доступе

РБК пишет, что на сетевых торговых площадках обнаружили утечку 2,2 млн паспортных данных, номеров СНИЛС и данных о трудоустройстве россиян. Данные обнаружил председатель Ассоциации участников рынков данных Иван Бегтин, который считает, что проблема кроется в ошибках законодательства и безалаберном отношении к защите информации.

Если вы обнаружили утечку своих данных, можно попросить площадку убрать вашу информацию, а в крайнем случае — обратиться в суд.

Яблочная диалектика

В течение последнего года Apple без предупреждения блокирует в сторе сторонние приложения, которые позволяют контролировать время, проведённое за экраном. Создатели приложений жалуются и предполагают, что Apple таким образом хочет монополизировать разработку важных для пользователей продуктов. Apple же говорит, что ограничивает работу приложений, которые халатно относятся к безопасности пользователей.

Фишинг в мобильном Chrome

Разработчик Джим Фишер рассказал о новой возможности для фишинга в мобильном браузере Chrome.

Когда вы скроллите страницу, UI-блок с адресной строкой уезжает с экрана, и на его месте злоумышленник может разместить идентичный по виду фейковый блок, который притворяется урлом доверенного сайта. При этом вы попадаете в ловушку внутри собственного браузера — уязвимость позволяет запретить вывод настоящей адресной строки, которая должна бы появиться при обратном скролле.

Google пока не отреагировала на эту информацию.

Хинт для программистов: если зарегистрируетесь на соревнования Huawei Honor Cup, бесплатно получите доступ к онлайн-школе для участников. Можно прокачаться по разным навыкам и выиграть призы в самом соревновании.

Перейти к регистрации