сразу несколько читателей прислали ссылки на уязвимость в фиче чипсетов Intel для удаленного администрироваться — Management Engine. я об этом писал тут еще в мае https://t.me/alexmakus/1114, но тут подвезли новых багов и фиксов https://www.wired.com/story/intel-management-engine-vulnerabilities-pcs-servers-iot/

вот еще тоже интересная ссылка от читателя в его ТГ об обнаруженных уязвимостях в популярных микроконтроллерах STM32 https://t.me/EngineersNotes/52

Bloomberg пишет, что в 2016 году Uber подвергся хакерской атаке, в результате чего персональные данные 50 миллионов пользователей сервиса, включая имена, адреса почты и номера телефонов, оказались у хакеров. Кроме того, они украли данные 7 миллионов водителей, включая 600 тыс номеров водительских удостоверений. Компания заплатила злоумышленникам 100 тыс долларов за то, чтобы они удалили данные, и скрыла факт взлома. Теперь пришлось о нем рассказать
https://www.bloomberg.com/news/articles/2017-11-21/uber-concealed-cyberattack-that-exposed-57-million-people-s-data

Прекрасное

Это будет полезно абонентам связи в России

Если вдруг к вам оператор связи пристал: обновите свои персональные данные, обновите данные, подтвердите данные иначе связь отключим.
То вам должно быть понятно, откуда запрос поступил.
Это свежие изменения https://t.co/5RIla0fAST

Постановление Правительства Российской Федерации от 25 октября 2017 года №1295 "О внесении изменений в некоторые акты Правительства Российской Федерации по вопросам оказания услуг связи" — Российская газета
https://rg.ru/2017/10/27/pravitelstvo-post1295-site-dok.html

482 из 50000 самых популярных сайтов содержат в себе скрипты, которые позволяют сохранять все клавиатурные вводы, движения мышкой и прокрутку страниц пользователями даже если пользователь удалил затем введенные в поле данные или не засабмитил их на сайт https://freedom-to-tinker.com/2017/11/15/no-boundaries-exfiltration-of-personal-data-by-session-replay-scripts/

кстати, среди этих сайтов в том числе и Яндекс, например

а еще мне тут пишут, что этот механизм сохранения введенного текста и движений мышкой у Яндекса встроено прямо в я.метрику, и поэтому наверняка куча сайтов в России это делает.

мне тут пишут "но это же легальный сервис у Яндекса". речь-то как раз не столько о том, насколько легально или нелегально включение такой технологии в метрику, а о том, что сайты, сохраняющие данные пользователя, а) не сообщают пользователю об этом, а у юзеров ожидания, что пока он не нажал "submit", никаких данных сайт не собирает из форм, и б) сайты не раскрывают, что они с этой информацией делают. и в) все это сохраняется не просто в виде анонимной коллективной аналитики, а в виде session replay данных, как будто кто-то стоит у вас за спиной и наблюдает, что вы делаете на сайте. при желании сайты могут и идентифицировать вас лично, и связать эти воспроизведения сессий с вашей реальной личностью. как по мне, та еще крипота.

Ну, и список сайтов https://webtransparency.cs.princeton.edu/no_boundaries/session_replay_sites.html

Ожидаемо, но после новостей про взлом Убера пошли фишинговые атаки на эту тему. Берегите там себя!

Если вам вдруг было мало информации для паранойи о слежке, вот вам ещё - это мне тут пишут. Берегите себя!

Речь об этой структуре https://www.grcc.ru/product/platforma-pskov

и еще чhttps://www.grcc.ru/product/analiz-smi-i-socsetey

Если у вас была учетная запись на Imgur, то вы уже должны были получить письмо счастья от них. В 2014 году сайт компании взломали и украли примерно 1.7 миллиона пользовательских записей, включая имейлы и пароли. Так что если был аккаунт, то:
1. Сменить пароль на Imgur
2. Сменить пароль там, где использовалась такая же связка логин-пароль, так как база пользователей уже доступна в интернете.
https://blog.imgur.com/2017/11/24/notice-of-data-breach/

А красиво - на видео видно, как угонщики автомобиля с помощью некоего ретранслятор сигнала получают сигнал с ключа, который лежит дома, и открывают и угоняют машину http://www.bbc.com/news/av/uk-42132804/relay-crime-theft-caught-on-camera

Вьетнамские товарищи, продемонстрировавшие несколько недель назад, как они могут обманывать Face ID с помощью некой напечатанной на 3Д принтере маски, снова в новостях, и демонстрируют на видео маску второго поколения, которая тоже смогла обмануть Face ID. В этот раз видео немного более убедительно, на нем авторы завели новый Face ID и тут же разблокировали маской iPhone X. На этом видео мне странным показался момент, когда он подносил телефон к маске - там явно нужна некая точность для положения телефона, чтобы напечатанная маска сработала.

Ценность такого видео (и уровень доверия к нему) выросли бы существенно, если бы они продемонстрировали процедуру производства маски, чтобы понять реальный уровень опасности для пользователей Face ID. Но в целом нового мы узнали не очень много:
- то, что Face ID не даёт 100% гарантии по защите блокировки телефона (на данный момент)
- скорей всего, усилий по производству такой маски требуется немало, даже если создатели говорят, что «материалы стоят 200 долл»
- если у них уже есть ваш телефон и ваше высококачественное фото для производства маски, то надежность Face ID - не самая большая ваша проблема.
- опять же, 5 неудачных попыток с маской - и телефон попросит пароль. 48 часов (пока производится маска) и телефон попросит пароль.
- по-настоящему мотивированные злоумышленники могли снять отпечаток пальца и напечатать его так, чтобы обмануть Touch ID. Но мы почему-то не слышали о постоянных взломах устройств.

В общем, ничего нового и ничего ужасного, но, к сожалению, это не остановит множество журналистов, охотящихся за кликами, написать каких-нибудь клик-бейтов по этому поводу.

https://www.youtube.com/watch?v=rhiSBc061JU