тут появились какие-то слухи об очередной утечке базы данных юзеров Playstation Network, пока без подтверждения. но если что, то лучше все-таки активировать там 2FA, если еще не https://hotforsecurity.bitdefender.com/blog/sony-social-media-accounts-hijacked-as-hackers-claims-to-have-stolen-psn-database-18783.html#new_tab

кстати, о собирании данных и дальнейшей перепродаже их рекламодателям. Пока я был в отпуске, в этом действии засветился популярный VPN-сервис Hotspot Shield — на них подали жалобу в Федеральную Торговую Комиссию, которая должна расследовать поведение этого сервиса. Конечно же, руководство сервиса эти обвинения опровергает. https://www.grahamcluley.com/hotspot-shield-vpn-accused-logging-user-data-selling-advertisers/

несколько читателей уже прислали мне ссылку про интересную дыру в сервисе trello (которая вроде бы смахивает на фичу, но приводит к неприятным последствиям) — сервис оказался доступным через поиск в Google, что позволяет найти информацию о чужих проектах, которая не является общедоступной http://telegra.ph/Publichnye-doski-Trello-indeksiruyutsya-poiskovikami-08-23

И снова здравствуйте :) про вчерашнюю новость о Trello мне написали несколько человек, уточнив, что это всё-таки фича, а у досок есть опция приватности, поэтому просто надо быть внимательней при настройках. То есть как всегда виноват человеческий фактор

Мошенники рассылают письма с «билетами в США», распространяя таким образом троян Win32/PSW.Fareit для кражи паролей из браузеров и почтовых приложений.

Потенциальная жертва получает по электронной почте уведомление от лица авиакомпании Delta Air Lines. В письме сообщается, что билет в Вашингтон успешно оплачен и его можно скачать по ссылке.

Перейдя по ссылке, пользователь может загрузить документ Microsoft Office, содержащий вредоносный макрос. Если жертва игнорирует сообщение безопасности и включает макрос, стартует процесс заражения трояном PSW.Fareit.

Троян PSW.Fareit предназначен для кражи логинов и паролей, сохраненных в веб-браузерах Internet Explorer, Google Chrome, Mozilla Firefox и др., а также в приложениях для работы с электронной почтой Windows Live Mail и Mozilla Thunderbird. Различные версии этой вредоносной программы известны с 2012 года, но она по-прежнему активно используется кибермошенниками.

Троян отправляет украденные пароли на удаленный сервер атакующих, а затем удаляется из системы, стирая все следы активности. Далее эти пароли могут быть использованы для взлома веб-сервисов пользователя.

А вот это крутой фишинг. Обратите внимание на домен, https и сертификат

И только я хотел сегодня написать "хорошие новости — в мире инфосека особо ничего страшного не происходит", как сегодня troy hunt, автор сайта haveibeenpwned.com, на котором публикуются многие утечки пользовательских баз данных с паролями, опубликовал там базу на 711 миллионов уникальных имейлов, которые были обнаружены в базе каких-то спамеров. Так что если вы подписаны на сервис haveibeenpwned.com, и ваш имейл адрес есть в базе, то вы получите соответствующее уведомление. в принципе, можно и проверить самому тут https://haveibeenpwned.com — это всегда полезно знать, в каких базах была утечка ваших пользовательских данных (да, в этом сайте вводить имейл безопасно, Трой Хант — известный чувак). О самой базе и её содержимом можно почитать тут https://www.troyhunt.com/inside-the-massive-711-million-record-onliner-spambot-dump/

но, кстати, инфосек — это не только утечки пользовательских данных, но и возможность заработать денег! (и вполне законным путем). Производитель дронов DJI (дроны которого, кстати, недавно запретили использовать в армии США) объявил о программе бонусов за обнаруженные уязвимости в ПО дронов. Можно заработать до 30 тыс долларов, найдя и сообщив об информационной опасносте в софте, дерзайте! https://amp.ibtimes.co.uk/dji-offers-hackers-30000-find-security-flaws-its-drones-new-bug-bounty-programme-1637005

Немножко про VPN. Я уже писал как-то, что на популярный VPN-сервис HotSpod Shield подали жалобу за то, что они перенаправляли трафик пользователей своим партнерским рекламным компаниям. а вот, в отличие от них, другой популярный сервис — tunnelbear — хвастается тем, тем, что они прошли аудит и у них вообще все зашибись https://www.tunnelbear.com/blog/tunnelbear_public_security_audit/

не то, чтобы я говорю вам не пользоваться Hotspot Shield и рекламирую tunnelbear. Просто нужно помнить, что когда вы начинает пользоваться VPN-клиентом, то свои данные вы отдаете уже не интернет-провайдеру, а провайдеру VPN-сервиса. Поэтому вопрос доверия этому сервису — не менее важен, чем гигиена паролей, например. берегите там себя и свою информацию!

про Андроид все как я люблю. раз — Google удалила из Google Play 300 приложений, участвовавших в ботнете WireX, занимавшихся DDoS-аттаками https://blog.cloudflare.com/the-wirex-botnet/

и два — тысячи приложений с миллионными закачками в Google Play содержат в себе SDK, которые втихаря закачивают видео и смотрят рекламу, накручивая денежку создателям SDK (а юзерам достается сожранная батарейка и трафик) https://cdn2.hubspot.net/hubfs/2215919/Longform_Content/Anura%20Mobile%20App%20Fraud%20Final%207-10-17/anura-mobile-app-fraud-2_Final.pdf?t=1503687425079

те, кто читает этот канал давно, знают, как я люблю «умные» устройства. Хотя, наверно, «люблю» тоже надо писать в кавычках - читая о постоянных проблемах безопасности с ними, я совершенно осознанно стараюсь держаться от них подальше. Последняя новость - про кардиостимуляторы компании Abbot, в которых обнаружились программные уязвимости, позволяющие злоумышленникам удаленно контролировать устройство - например, искусственно разрядить батарейку или изменить темп стимуляции, что может привести к неприятным последствиям для пользователя. (Кардиостимулятор - это устройство, вживлённое под кожу пациента и подключенное к сердцу, и если темп сердцебиения снижается, то стимулятор помогает его ускорить, грубо говорят). Короче, Управление по контролю за продуктами питания и лекарственными средствами (FDA) выпустило предписание, что 465 тыс таких кардиостимуляторов нуждаются в обновлении прошивки для исправления обнаруженных уязвимостей (производитель говорит, что есть ещё 280 тыс устройств, которые надо обновить). А поскольку это важный медицинский прибор, то накатить новую прошивку, сидя дома, не получится - нужно идти к врачу, и там этот врач сможет, контролируя процесс, уже аккуратно поставить прошивку, и убедиться, что пациент не превратился в кирпич в процессе. https://www.fda.gov/MedicalDevices/Safety/AlertsandNotices/ucm573669.htm

Вот так и разрушаются мечты о будущем, в котором у нас есть возможность быть наполовину киборгами с искусственным органами и конечностями

привет! на выходных из интересного случился взлом инстаграм. правда, там в результате взлома аккаунты остались у владельцев, но информация о многих verified и даже не verified аккаунтах утекла в сеть. похоже, что в их инфраструктуре была бага, которая позволила злоумышленникам узнать телефонные номера и адреса электронной почты пользователей. Политики, спортсмены, актеры и актрисы — их контактная информация стала доступна в интернете и продается базой данных для всех желающих. Вот небольшая часть тех, чьи данные утекли:

актеры: Emma Watson, Emilia Clarke, Zac Efron, Leonardo DiCaprio, Channing Tatum.
музыканты: Harry Styles, Ellie Goulding, Victoria Beckham, Beyoncé, Lady Gaga and Rihanna, Taylor Swift, Katy Perry, Adele, Snoop Dogg, Britney Spears.
спортсмены: Floyd Mayweather, Zinedine Zidane, Neymar, David Beckham, Ronaldinho.

http://www.thedailybeast.com/hackers-make-searchable-database-to-dox-instagram-celebs

интересно, что Instagram не может сказать, сколько аккаунтов пострадало. http://blog.instagram.com/post/164871973302/170901-news

и опять утечка данных через AWS — в этот раз данные различных контракторов из частных компаний, специализирующихся на работе с наемниками http://www.zdnet.com/article/thousands-of-sensitive-mercenary-resumes-exposed-after-server-security-lapse/

а вот тоже из прекрасного, как я люблю. интернет-провайдет AT&T раздает своим пользователям модемы, логин и пароль к которым для доступа по SSH захардкожен в устройстве, что позволяет, используя известную уязвимость, получить рутовый доступ к устройству https://www.nomotion.net/blog/sharknatto/

большая и детальная презентация о взломе "умных" дверных замков https://conference.hitb.org/hitbsecconf2017ams/materials/D2T3%20-%20Slawomir%20Jasek%20-%20Blue%20Picking%20-%20Hacking%20Bluetooth%20Smart%20Locks.pdf

Наверняка же кто-то из Эстонии читает этот канал (как минимум, один человек, который мне уже прислал вопрос "что там с картами резидентов Эстониии — точно читает). Короче, там в национальных ID-картах, которые выдаются электронным резидентам страны (и которые, по сути, являются основным документом), обнаружена потенциальная уязвимость, которая может быть использована злоумышленниками для, как я понимаю, несанкционированного использования карт. Технических деталей о том, что за уязвимость, пока нет, но речь идет о почти 750 тыс картах, выданных с октября 2014 года. Местные политики начали призывать к тому, чтобы отложить местные выборы, назначенные на 16 октября, так как больше трети избирателей голосуют, используя эти ID-карты, но премьер-министр страны говорит о том, что, возможно, они просто запретят использование карт при голосовании. https://www.schneier.com/blog/archives/2017/09/security_flaw_i.html

ESET предупреждает о новой волне интернет-мошенничества. Злоумышленники рассылают фишинговые письма от имени платежной системы Mastercard и используют для кражи данных пользователей взломанный сайт правительства Мексики.

Сообщение спамеров начинается с неперсонализированного приветствия. В тексте письма говорится о блокировке учетной записи в платежной системе. Чтобы восстановить доступ к сервисам Mastercard, пользователю предлагают перейти по ссылке и обновить информацию.

Если жертву не смутит отсутствие личного обращения и адрес отправителя, не имеющий отношения к Mastercard, он перейдет на поддельный сайт. Там, согласно «законам жанра», его ожидает анкета для ввода персональных и платежных данных, включая номер, срок действия и CVV банковской карты.

Заполнив анкету и нажав кнопку «Ввод», пользователь отправит все данные злоумышленникам. Информация может быть использована для списания средств с карты.

Спам-атака могла бы показаться рядовой, если не одна особенность – фишинговая страница размещена на домене .gob.mx, который принадлежит правительству Мексики. Вероятно, злоумышленники получили доступ к учетной записи администратора домена или использовали уязвимость сервера. Специалисты ESET сообщили об инциденте в Центр реагирования на компьютерные угрозы Мексики (СERT-МХ).