Why You Must Check Your Password Manager Immediately | THREAT WIRE

Hak5

1 May 202606:36

Summary

TLDRНа этой неделе в Threatwire Али Даймонд обсуждает важные события в сфере кибербезопасности: атаку на Bitwarden через npm с целью кражи разработческих учетных данных, уязвимость уведомлений iOS, исправленную Apple, и крупную утечку данных в приложении Lovable. Также рассматриваются слухи о несанкционированном доступе к AI-моделям Mythos, утечка данных французских граждан и перебои в работе GitHub. В финале – возможность админам удалять Microsoft Copilot с корпоративных устройств. Ведущая подчеркивает важность образования разработчиков и внимательного обращения с данными, призывая подписываться и следить за ежедневными новостями кибербезопасности.

Takeaways

🔐 22 апреля 2026 года Bit Warden подвергся атаке на цепочку поставок через npm, затронувшей только определённую версию ПО.
💻 Атака Bit Warden длилась примерно полтора часа и была направлена на кражу учетных данных разработчиков и CI-сред.
🛠 Целью злоумышленников были токены GitHub и npm, SSH-ключи, история shell, секреты AWS, GCP и Azure, а также конфигурации AI-инструментов.
📣 Разработчикам рекомендуется не устанавливать пакеты без проверки и не загружать учетные данные в продакшн.
📱 Уязвимость в системе уведомлений iOS (CVE 2026-28950) позволяла сохранять удалённые уведомления, потенциально раскрывая сообщения Signal.
🛡 Apple быстро выпустила патч, исправивший проблему, за что Signal публично поблагодарил компанию.
💾 Компания Lovable допустила утечку данных, позволив исследователю получить доступ к исходному коду и данным пользователей через уязвимость API.
🔍 Regression в Lovable повторно открыла доступ к существующим проектам, исправление было применено только к новым проектам до отчёта об ошибке.
-
🤖 Слухи о несанкционированном доступе к облачной AI-платформе Mythos через Discord и сторонних сотрудников Anthropic расследуются, подтверждений нет.
-
🇫🇷 Взлом французского правительства привёл к утечке 19 миллионов записей с идентификаторами граждан.
-
🐙 GitHub сталкивается с перебоями работы, включая проблемы с merge queues и некорректными squash и rebase коммитами.
-
💼 Microsoft теперь позволяет администраторам удалять Copilot с корпоративных устройств.
-
📢 Важность обучения разработчиков кибербезопасности и соблюдения лучших практик при работе с ПО и облачными сервисами подчеркнута на всех примерах.

Q & A

Что случилось с BitWarden в апреле 2026 года?
-В апреле 2026 года BitWarden стал жертвой атаки на цепочку поставок программного обеспечения. Атака длилась около полутора часов и затронула только ту версию BitWarden, которая распространялась через npm. Атакующие использовали уязвимость в инструменте командной строки (CLI), что привело к краже секретных данных разработчиков и конфиденциальной информации, такой как токены GitHub, AWS и GCP.
Какая уязвимость была связана с уведомлениями iOS, о которой сообщила FBI?
-FBI сообщила, что использовала систему уведомлений iOS для получения сообщений из Signal. Эта уязвимость была связана с тем, что уведомления, помеченные для удаления, могли сохраняться на устройстве, что позволяло злоумышленникам получить доступ к чувствительной информации. Apple выпустила патч, устраняющий эту проблему, под CVE-2026-28950.
Как была раскрыта уязвимость в приложении Lovable?
-Уязвимость в приложении Lovable была раскрыта исследователем Weezer Osent, который смог получить доступ к исходному коду, данным базы данных и другим конфиденциальным данным пользователей через бесплатный аккаунт. Это произошло из-за недостаточной безопасности, где старые проекты не были защищены после исправления уязвимости для новых проектов.
Что такое регрессия на сервере Lovable и как она привела к утечке данных?
-Регрессия на сервере Lovable в феврале 2026 года снова открыла публичный доступ к истории чатов и исходному коду публичных проектов. Это произошло из-за ошибки в бэкэнде, который случайно восстановил функциональность, ранее отключенную в марте 2025 года, что привело к утечке данных.
Какие меры были предприняты компанией Lovable после утечки данных?
-Компания Lovable признала проблему и выпустила публичное заявление. Они начали внедрять необходимые изменения и активно коммуницируют с потенциально пострадавшими пользователями, чтобы предотвратить дальнейшую утечку данных.
Что известно о слухах, касающихся несанкционированного доступа к облачным сервисам Mythos?
-По слухам, несанкционированные пользователи получили доступ к облачным сервисам Mythos, используя сотрудников Anthropic и инструменты для обхода системы безопасности. Anthropic не подтвердила эти слухи, но заявила, что расследует ситуацию.
Что стало известно о 19 миллионах записей, полученных из утечки данных французского правительства?
-Недавняя утечка данных из французского правительства привела к краже 19 миллионов записей, содержащих идентификаторы граждан. Эта утечка была раскрыта через пост на популярном хакерском форуме.
Какова была причина недавних проблем с GitHub, в частности с мержами и коммитами?
-GitHub столкнулся с проблемами из-за сбоев в системе слияния (merge), которые привели к созданию коммитов с неправильным базовым состоянием. Это вызвало некоторые проблемы с кодом и заставило пользователей столкнуться с несанкционированными изменениями в своих репозиториях.
Что нового в Microsoft Copilot для корпоративных пользователей?
-Microsoft теперь позволила администраторам удалять Microsoft Copilot с корпоративных устройств, решив проблему, которая возникала с внедрением этого инструмента в рабочие процессы компании.
Какой был основной посыл для разработчиков в контексте безопасности в этом выпуске Threatwire?
-Основной посыл заключался в том, что разработчики должны быть более осведомлены о проблемах кибербезопасности, особенно об атаках на цепочку поставок и других уязвимостях. Также подчеркнута важность не оставлять секретные данные в производственной среде и необходимости обучения сотрудников безопасности.