-
اخبار
تگزاس اقدام قانونی علیه PowerSchool به دلیل نقض امنیت دادهها آغاز کرد
Ken Paxton ، دادستان کل تگزاس، از شرکت نرمافزاری آموزشی PowerSchool به دلیل رخنه عظیم دادهای در دسامبر ۲۰۲۴ شکایت کرده است؛ رخنهای که اطلاعات شخصی ۶۲ میلیون دانشآموز از جمله بیش از ۸۸۰ هزار دانشآموز تگزاسی را افشا کرد. PowerSchool یک ارائهدهنده راهکارهای نرمافزاری cloud-based برای مدارس و مناطق آموزشی K-12 است که بیش از ۱۸ هزار مشتری داشته…
بیشتر بخوانید » -
Agility
سوءاستفاده هکرها از آسیبپذیری zero-day در Sitecore برای استقرار backdoor
هکرها از یک آسیبپذیری zero-day در استقرارهای قدیمی Sitecore سوءاستفاده کردهاند تا بدافزار شناسایی WeepSteel را مستقر کنند. این نقص که با شناسه CVE-2025-53690 ردیابی میشود، یک آسیبپذیری ViewState deserialization است که به دلیل درج یک sample ASP.NET machine key در مستندات Sitecore پیش از سال ۲۰۱۷ ایجاد شده است. برخی مشتریان این کلید نمونه را در محیط production استفاده…
بیشتر بخوانید » -
اخبار
افشای داده در شرکت Workiva در پی حملات مرتبط با Salesforce
شرکت Workiva، یکی از ارائهدهندگان پیشروی خدمات SaaS مبتنی بر cloud، به مشتریان خود اطلاع داد که مهاجمان با دسترسی به یک third-party CRM system موفق به سرقت بخشی از دادههای آنها شدهاند. نرمافزار cloud این شرکت به جمعآوری، اتصال و اشتراکگذاری دادهها برای گزارشهای مالی، تطبیق با الزامات و حسابرسی کمک میکند. Workiva در پایان سال گذشته ۶۳۰۵ مشتری…
بیشتر بخوانید » -
امنیت اطلاعات
۶ سناریوی حملهی Browser-Based که امنیت سازمانها را در ۲۰۲۵ به چالش میکشد
تیمهای امنیتی باید چه نکاتی را دربارهی تکنیکهای حملهی مبتنی بر مرورگر که عامل اصلی نقضهای امنیتی در سال ۲۰۲۵ هستند، بدانند؟ «مرورگر میدان نبرد جدید است.» «مرورگر نقطهی پایانی جدید است.» اینها جملاتی هستند که بارها و بارها هنگام مطالعهی مقالات در وبسایتهایی مشابه این با آنها مواجه میشوید. اما این عبارات از منظر امنیتی دقیقاً چه معنایی دارند؟…
بیشتر بخوانید » -
اخبار
سوءاستفاده سریع هکرها از آسیبپذیریهای n-day با ابزار جدید HexStrike-AI
هکرها بهطور فزایندهای از یک offensive security framework مبتنی بر هوش مصنوعی با نام HexStrike-AI در حملات واقعی برای اکسپلویت آسیبپذیریهای n-day که بهتازگی افشا شدهاند، استفاده میکنند. این فعالیت توسط CheckPoint Research گزارش شده است که افزایش قابل توجه بحثها پیرامون HexStrike-AI در دارکوب را مشاهده کرده است؛ ابزاری که با weaponization سریع آسیبپذیریهای جدید Citrix از جمله CVE-2025-7775،…
بیشتر بخوانید » -
اخبار
پاداش ۱۰ میلیون دلاری دولت آمریکا برای افشای اطلاعات هکرهای FSB
وزارت امور خارجه ایالات متحده جایزهای تا سقف ۱۰ میلیون دلار برای ارائه اطلاعات درباره سه افسر سرویس امنیت فدرال روسیه (FSB) که در حملات سایبری علیه سازمانهای زیرساخت حیاتی آمریکا به نمایندگی از دولت روسیه نقش داشتهاند، اعلام کرده است. این سه فرد شامل Marat Valeryevich Tyukov، Mikhail Mikhailovich Gavrilov و Pavel Aleksandrovich Akulov هستند که بخشی از مرکز…
بیشتر بخوانید » -
اخبار
سوءاستفاده مهاجمان سایبری از Grok AI در X برای توزیع لینکهای مخرب
مهاجمان سایبری در حال استفاده از Grok، دستیار هوش مصنوعی داخلی X، برای دور زدن محدودیتهای مربوط به ارسال لینک هستند؛ محدودیتهایی که این پلتفرم برای کاهش تبلیغات مخرب اعمال کرده است. طبق یافتههای Nati Tal، پژوهشگر Guardio Labs، تبلیغکنندگان مخرب معمولاً ویدئوهایی مشکوک با محتوای بزرگسالان بهعنوان طعمه منتشر میکنند و برای جلوگیری از مسدود شدن توسط X، از…
بیشتر بخوانید » -
اخبار
سرقت دادههای ۱۰,۰۰۰ نفر توسط گروه ransomware از توسعهدهنده MATLAB
MathWorks، توسعهدهنده پیشروی نرمافزارهای شبیهسازی ریاضی و محاسباتی، اعلام کرد که یک گروه ransomware پس از نفوذ به شبکه این شرکت در ماه آوریل، دادههای بیش از ۱۰,۰۰۰ نفر را سرقت کرده است. این شرکت در تاریخ ۲۷ می حمله را افشا کرد، زمانی که قطعیهای مداوم سرویس را به یک حادثه ransomware مرتبط دانست که دسترسی به برخی سامانههای…
بیشتر بخوانید » -
اخبار
پلیس سرورها و دامنههای بازار مدارک جعلی VerifTools را توقیف کرد
The FBI و پلیس هلند بازار آنلاین VerifTools را که در زمینه اسناد هویتی جعلی فعالیت داشت، پس از توقیف سرورهای میزبان آن در آمستردام تعطیل کردند. VerifTools یک پلتفرم شاخص بود که به تولید و واسطهگری خرید اسناد جعلی (مانند گواهینامه رانندگی و گذرنامه) میپرداخت. این اسناد برای دور زدن سیستمهای احراز هویت مختلف یا برای تصاحب یک هویت…
بیشتر بخوانید » -
اخبار
وصله فوری برای رفع آسیبپذیری auth bypass در Passwordstate منتشر شد
شرکت Click Studios، توسعهدهنده نرمافزار مدیریت گذرواژه سازمانی Passwordstate، به مشتریان خود هشدار داده است که برای رفع یک آسیبپذیری شدید از نوع authentication bypass هرچه سریعتر اقدام به نصب وصله امنیتی کنند. Passwordstate بهعنوان یک password vault ایمن عمل میکند که به سازمانها امکان ذخیرهسازی، سازماندهی و کنترل دسترسی به گذرواژهها، API keys، گواهیها و سایر اعتبارنامهها را از…
بیشتر بخوانید »
