3 мая 2018 года некоторые пользователи получили письмо от администрации портала GitHub, в котором сообщалось о необходимости смены пароля из-за ошибки, позволившей небольшому количеству сотрудников просматривать учетные данные посетителей сайта в незашифрованном виде.

«В ходе регулярного аудита GitHub мы обнаружили, что появившаяся недавно ошибка привела к раскрытию небольшого количества паролей пользователей в нашей внутренней системе регистрации», - следует из письма. Несколько сотрудников GitHub могли видеть пароли.

Злоумышленники могут с помощью функции macOS API тайно делать снимки экранов пользователей, а затем, используя технологию оптического распознавания символов, считывать с них текст.

Речь идет о функции CGWindowListCreateImage, используемой Mac-приложениями, делающими снимки экрана или обеспечивающими «живую» трансляцию видео. По словам исследователя Феликса Краузе, любое Mac-приложение может получить доступ к функции и незаметно для пользователя делать скриншоты. Злоумышленники могут воспользоваться этой лазейкой.

Пользователь портала Reddit под псевдонимом sickcodebruh420 опубликовал сообщение от компании Mixpannel, в котором она уведомила пользователей о том, что один из сервисов компании Autotrack собирает и хранит пароли пользователей.

Компания Mixpanel – разработчик одноименной аналитической системы, предоставляющей пользователям набор сервисов по управлению сайтом. Одним из таких сервисов является Autotrack, призванный помочь владельцам сайтов собирать данные о поведении пользователей. Однако, как выяснилось, сервис также собирает и хранит пользовательские пароли. 

Компания Ancestry.com заявила о приостановке работы своего сайта RootsWeb, позволяющего пользователям исследовать свое генеалогическое древо, из-за утечки на одном из серверов. В ходе утечки в открытом доступе в Сети оказались порядка 300 тыс. логинов, паролей и адресов электронной почты.

По словам представителей компании, файл, содержащий учетные данные пользователей, оказался в открытом доступе на сервере RootsWeb. Примерно 55 тыс. учетных записей использовались как на RootsWeb, так и на одном из сервисов Ancestry. 

Второй год подряд самым популярным паролем в мире является «123456». К такому выводу пришли эксперты калифорнийской компании SplashData (выпускает менеджеры паролей, в том числе TeamsID и Gpass) по итогам анализа миллионов паролей, оказавшихся в Сети в результате различных утечек.

«123456» является очень ненадежным паролем, но остальные в списке ста худших паролей 2017 года ничем не лучше. Большой популярностью пользуются спортивные термины (football, baseball, soccer, hockey, Lakers, jordan23, golfer, Rangers, Yankees), марки автомобилей (Mercedes, Corvette, Ferrari, Harley) и выражения (iloveyou, letmein, whatever, blahblah). 

Исследователи безопасности из компании Kromtech сообщили об утечке данных более 19 млн американских избирателей из штата Калифорния. Данные оказались в открытом доступе в Сети из-за некорректно настроенной базы MongoDB и впоследствии были похищены злоумышленниками.

Как пояснили исследователи, хакеры использовали автоматический скрипт для сканирования интернета на предмет незащищенных баз данных MongoDB, после чего удаляли их содержимое и требовали выкуп за восстановление данных. Сумма выкупа составляет 0,2 биткойна.

Исследователь безопасности из команды Google Project Zero Тэвис Орманди обнаружил в Windows 10 предустановленный сторонний менеджер паролей Keeper, позволяющий удаленно похищать хранящиеся в нем учетные данные.

Начиная с Windows 10 Anniversary Update, Microsoft добавила в свою ОС новую функцию под названием Content Delivery Manager. Функция автоматически устанавливает на компьютеры «предлагаемые приложения» без разрешения пользователей. Менеджер паролей Keeper был загружен на ПК Орманди с Microsoft Developer Network. 

Разработчик Леми Омар обнаружил в операционной системе Apple уязвимость, которая подвергает риску персональные данные пользователей.

Любой человек с физическим доступом к компьютеру Mac может просмотреть и изменить файлы в системе, не вводя логин и пароль от учетной записи администратора. Под угрозой находятся пользователи, включившие гостевой аккаунт или root (корневой аккаунт). Пока Apple не выпустила обновление с исправлением уязвимости, можно воспользоваться одним из следующих методов защиты.

Исследователи Флоридского университета и агентства Bloomberg тестируют систему на основе машинного зрения, которая позволяет предъявить личную вещь в качестве динамического 2FA-кода двухфакторной аутентификации.

Заменить USB-брелок вроде YubiKey и приходящий на телефон PIN-код сможет любой предмет, например ботинки или даже жевательная резинка. Система Pixie основана на операционной системе Android 3.2, библиотеке алгоритмов компьютерного зрения OpenCV 2.4.10 и Java-программе для машинного обучения Weka. 

Администратор реестра адресного пространства Азиатско-Тихоокеанского региона нечаянно слил закрытые данные из базы Whois, в том числе хешированные пароли, которые пришлось сбрасывать для затронутых объектов.

Согласно записи в блоге APNIC, утечка, причиной которой оказалась техническая ошибка, произошла в июне. Об этом инциденте организация узнала лишь 12 октября, получив сообщение исследователя из Red Team компании eBay — тот обнаружил на стороннем сайте приватные данные Whois, выложенные в общий доступ.