3 мая 2018 года некоторые пользователи получили письмо от администрации портала GitHub, в котором сообщалось о необходимости смены пароля из-за ошибки, позволившей небольшому количеству сотрудников просматривать учетные данные посетителей сайта в незашифрованном виде.

«В ходе регулярного аудита GitHub мы обнаружили, что появившаяся недавно ошибка привела к раскрытию небольшого количества паролей пользователей в нашей внутренней системе регистрации», - следует из письма. Несколько сотрудников GitHub могли видеть пароли.

Злоумышленники могут с помощью функции macOS API тайно делать снимки экранов пользователей, а затем, используя технологию оптического распознавания символов, считывать с них текст.

Речь идет о функции CGWindowListCreateImage, используемой Mac-приложениями, делающими снимки экрана или обеспечивающими «живую» трансляцию видео. По словам исследователя Феликса Краузе, любое Mac-приложение может получить доступ к функции и незаметно для пользователя делать скриншоты. Злоумышленники могут воспользоваться этой лазейкой.

Исследователь безопасности из команды Google Project Zero Тэвис Орманди обнаружил в Windows 10 предустановленный сторонний менеджер паролей Keeper, позволяющий удаленно похищать хранящиеся в нем учетные данные.

Начиная с Windows 10 Anniversary Update, Microsoft добавила в свою ОС новую функцию под названием Content Delivery Manager. Функция автоматически устанавливает на компьютеры «предлагаемые приложения» без разрешения пользователей. Менеджер паролей Keeper был загружен на ПК Орманди с Microsoft Developer Network. 

Разработчик Леми Омар обнаружил в операционной системе Apple уязвимость, которая подвергает риску персональные данные пользователей.

Любой человек с физическим доступом к компьютеру Mac может просмотреть и изменить файлы в системе, не вводя логин и пароль от учетной записи администратора. Под угрозой находятся пользователи, включившие гостевой аккаунт или root (корневой аккаунт). Пока Apple не выпустила обновление с исправлением уязвимости, можно воспользоваться одним из следующих методов защиты.

Администратор реестра адресного пространства Азиатско-Тихоокеанского региона нечаянно слил закрытые данные из базы Whois, в том числе хешированные пароли, которые пришлось сбрасывать для затронутых объектов.

Согласно записи в блоге APNIC, утечка, причиной которой оказалась техническая ошибка, произошла в июне. Об этом инциденте организация узнала лишь 12 октября, получив сообщение исследователя из Red Team компании eBay — тот обнаружил на стороннем сайте приватные данные Whois, выложенные в общий доступ. 

Если вы когда-нибудь использовали iPhone или iPad, то наверняка знакомы с окошком ввода Apple ID. 

Обычно оно появляется при скачивании новых приложений из App Store, но иногда может активироваться каким-нибудь фоновым процессом. Как выяснил разработчик Феликс Краузе, злоумышленники способны подделать это окно и выманить у Вас Ваши данные. Автор любого приложения для iOS может с лёгкостью подделать всплывающее окно ввода Apple ID. Достаточно добавить менее 30 строк кода — приложение при этом без проблем пройдёт процесс проверки App Store. 

Компания Disqus, предоставляющая сервис комментирования для web-сайтов и блогов, сообщила, что стала жертвой взлома в июле 2012 года, в результате которого в руки хакеров попали данные более 17,5 млн пользователей.

Похищенная информация, хранившаяся в незашифрованном виде, включала адреса электронной почты, логины, сведения о датах регистрации и датах последней авторизации в сервисе. Злоумышленникам также удалось получить доступ к паролям порядка 30% пострадавших пользователей, зашифрованных с помощью алгоритма SHA-1. 

На сетевом ресурсе Pastebin оказались выложены заводские логины и пароли к тысячам устройств интернета вещей, а также IP-адреса конкретной техники. Публикацию обнаружили сразу несколько известных исследователей.

Всего в списке были перечислены предустановленные Telnet-логины и пароли более чем к 1700 моделям различных «умных» устройств, и более 33 тыс. IP-адресов. Исследовав список, глава компании GDI Foundation Виктор Джеверс обнаружил, что в действительности лишь 8233 IP-адреса были уникальными, остальное приходилось на дубликаты. 

В субботу, 24 июня, парламент Великобритании подвергся «продолжительной и целенаправленной» кибератаке.  Пресс-секретарь палаты общин подтвердила факт попытки неавторизованного доступа к учетным записям парламентариев.

Злоумышленники пытались определить слабые пароли для электронной почты. Палата общин британского парламента совместно с Национальным центром кибербезопасности усилила защиту парламентской сети и обезопасила все учетные записи и системы.

На одном из русскоязычных хакерских форумов предлагаются для продажи или обмена учетные данные от почтовых ящиков тысяч британских госслужащих, включая министров, послов и руководящих сотрудников полиции.

В числе тех, чьи данные попали в Сеть, оказались министр по делам бизнеса, энергетики и промышленной стратегии Грег Кларк и министр образования Джастин Грининг. Два обширных списка похищенных данных, доступных на сайте, включают сведения для авторизации в электронных почтовых ящиках.