Security Week 07: конфуз с зависимостями в софте

На прошлой неделе стало известно сразу о двух громких инцидентах в области кибербезопасности. Представители компании CD Projekt Red, разработавшей игры «Ведьмак» и Cyberpunk 2077, сообщили об успешной атаке на собственную инфраструктуру (см. также обсуждение на Хабре здесь и здесь). Злоумышленники скопировали и зашифровали данные на серверах компании. Второе проблемой для компании не является (есть бэкап), а вот первое может привести к разнообразным последствиям в плане репутации и дальнейшей эксплуатации уязвимостей в играх. Напомним, неделей ранее разработчики выпустили патч для Cyberpunk 2077, закрывающий возможность выполнения произвольного кода. Тем не менее разработчик решил не идти на поводу у киберпреступников и сообщил об атаке публично, выложив даже требование о выкупе.



После атаки компания сообщила, что данные сотрудников, скорее всего, не пострадали. Предположительно CD Projekt стала жертвой вредоносной кампании HelloKitty, ранее задевшей поставщика электроэнергии в Бразилии (здесь предыдущие атаки анализируются подробнее). Как сообщает BleepingComputer, утекшие данные уже выставили на аукцион со стартовой ценой в миллион долларов. Открытость разработчика игр по поводу инцидента можно только приветствовать. Нельзя не отметить некоторую иронию в том, как антураж Cyberpunk 2077 просочился в реальность.
Читать дальше →

Источник: Хабрахабр