Google сняла лимит в 90 дней на исправление уязвимостей

Google увеличила срок на устранение брешей безопасности

Корпорация Google увеличила срок устранения уязвимостей в софте. Изначально специалистам предоставляли 90 дней на латание брешей, однако после критики такого подхода политику компании изменили.

Если на создание патча уйдёт больше трёх месяцев, эксперты получат дополнительные 14 дней. Пока работа кипит, компания обязалась не предавать уязвимости огласке. Google также согласилась перенести конечный срок выполнения патчей на будние дни, если он выпадает на выходные или национальные праздники. В экстремальных условиях сроки можно свободно переносить.

Политика компании в области безопасности изменилась после критики со стороны Microsoft в январе 2015 года. Корпорации не понравилась публикация информации об уязвимости ОС Windows 8.1, которую должны были исправить через несколько дней. В Microsoft считали, что такой подход навредит её клиентам. В интервью Engadget представители Google защищали 90-дневный срок устранения брешей.

Нельзя сказать, что Google – самая требовательная компания по вопросам обнаружения уязвимостей первого дня. В корпорации называют данный срок умеренным, если сравнить его с требованиями других организаций. Например, в рамках программы Zero Day Initiative исследователям предоставляется 120 дней на исправление ошибок. Компьютерная группа реагирования на чрезвычайные ситуации Университета Карнеги — Меллона даёт всего 45 дней перед тем, как рассказать о найденных уязвимостях.

Команду Project Zero сформировали в прошлом году для улучшения защиты Интернет-безопасности. В отряде инженеры Google обнаруживают уязвимости нулевого дня в софте и сервисах. Это ранее не известные бреши безопасности, которые разработчики не успели устранить.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В 1 квартале 2025 года хакеры усилили DDoS-атаки на API российских компаний

В первом квартале 2025 года хакеры стали заметно активнее атаковать российские компании с помощью DDoS-атак на API. По данным StormWall, число таких атак выросло на 135% по сравнению с аналогичным периодом прошлого года и на 78% по сравнению с четвёртым кварталом 2024-го.

Особенно сильно пострадали компании из ретейла, телеком и финансов. В ретейле количество атак увеличилось сразу на 162%, в телекоммуникациях — на 128%, а в финансовом секторе — на 114%. Логистика и развлекательная сфера также попали под удар, но рост там был менее резким — 37% и 21% соответственно.

Почему хакеры атакуют API

Основная цель таких атак — вымогательство. Злоумышленники перегружают серверы, которые обрабатывают запросы к API, из-за чего сервисы становятся недоступны для пользователей. Это приводит к сбоям, потерям клиентов, плохому пользовательскому опыту и, конечно, убыткам.

API становятся удобной мишенью — всё больше компаний строят свои сервисы по принципу API First, где вся логика взаимодействия завязана именно на API-интерфейсах. Но при этом не все успевают обеспечить должную защиту.

Особенно тяжело пришлось ретейлу

На долю ретейла пришлось 42% всех DDoS-атак на API в первом квартале. Это совпало с периодом активных праздников — 23 февраля и 8 марта, когда интернет-магазины работали на пике. В это время атаки наносили особенно серьёзный ущерб — приводили к сбоям и потерям прибыли в самый загруженный сезон.

«В настоящее время атаки на API являются наиболее серьезной угрозой для ряда ключевых отраслей российской экономики. Мы видим, что подобных атак с каждым днем становится все больше, и их число будет расти. Для хакеров атаки на API являются новым способом быстро заработать, и с его помощью они будут стремиться получить максимальный результат», — отметил Рамиль Хантимиров, CEO и сооснователь StormWall.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru