Рубрика "никогда такого не было, и вот опять". В очередном бакете AWS обнаружили данные на 123 миллиона домохозяйств США, включая адрес, контактную информацию, наличие ипотеки, и проч. финансовую информацию. Информация была доступна любому пользователю с аккаунтом AWS
https://www.scmagazine.com/open-aws-s3-bucket-exposes-sensitive-experian-and-census-info-on-123-million-us-households/article/720067/

В рамках пятницы хорошая шутка с игрой слов (на английском)

"My password is "Snow White and the Seven Dwarfs"

This is to ensure its 8 characters."

Атака на сайты WordPress с целью подбора брутфорсом админских логина-пароля, чтобы установить майнер криптовалют на сайте. Так что проверьте там, чтобы у вас был пароль посложней
https://www.bleepingcomputer.com/news/security/massive-brute-force-attack-infects-wordpress-sites-with-monero-miners/

вообще злодеи, распространяющие вредоносное ПО, начинают переключаться с возможности вымогать деньги у пользователя за выкуп доступа к данным на майнинг криптовалюты, что, видимо, выгодней
https://threatpost.com/crooks-switch-from-ransomware-to-cryptocurrency-mining/129229/

вот и Симантек пишет о том же
https://www.symantec.com/blogs/threat-intelligence/browser-mining-cryptocurrency

Расскажу историю из личного опыта, в кои-то веки — как на меня лично повлияло то, о чем я пишу в этом канале. Помните же историю про Equifax, у которого украли данные на 145 млн американских пользователей, включая адреса, номера социального страхования, и много чего другого. (https://t.me/alexmakus/1352). Доступ этой информации кому не надо чреват тем, что, имея её, можно открыть на себя кредитные карты, взять ипотеку, открыть фирму и тд, а должен останется тот, чьи данные для этого использовали. Так вот, какое-то время назад я начал получать странные письма от банка, из серии "мы не можем вам дать ипотеку, так как у вас уже есть одна". WTF, подумал я, и даже спросил это у банка, но они только развели руками. А получение кредитов в США работает следующим образом:
- человек подает заявку на кредит в какую-нибудь кредитную организацию (банк и тд)
- кредитная организация подает запрос на получение информации о кредитной истории этого человека — в одно из трех агентств, которые такую информацию предоставляют. То есть все тот же Equifax, TransUnion, или Experian.
- Агенство дает ответ — можно дать человеку кредит или нет.
Каждый такой запрос снижает кредитный рейтинг человека, поскольку алгоритмы решают "ага, он нищеброд и ему нужны кредиты, значит, повышены риски!"
Так что, похоже, что в моем случае кто-то действительно получил мои данные и пробовал получить ипотеку с моими данными. Хорошо, что банк прислал мне письма с ответом на мой адрес.

Защититься от всей этой истории с утечкой данных и возможностью взять кредит за другого человека можно единственным методом — "заморозить кредитные запросы". То есть надо пойти в эти кредитные агентства и попросить их на все запросы о кредите отвечать "нельзя" — естественно, заплатив им за это денег.
Я после этих подозрительных писем из банка это сделал, конечно, но сегодня обнаружил, что мой кредитный рейтинг существенно просел, и одна из причин — это "большое количество запросов на кредит в последние 12 месяцев". Вот таким образом я лично пострадал от утечки данных Equifax, и, похоже, это теперь на всю жизнь.

забавная история про то, как сломать банкомат Сбербанка с Windows XP, пять раз нажав кнопку Shift. Денег из банкомата не намутишь таким образом, но все равно весело
https://habrahabr.ru/post/345038/.com

классификация современных технологических гигантов и приватность вашей информации

Выход из контейнера Докера в хостовую ОС (ой) https://www.twistlock.com/2017/12/27/escaping-docker-container-using-waitid-cve-2017-5123/

Расширение для Chrome, доступное в официальном магазине и установленное у сотни тысяч пользователей, подгружает Джаваскрипт для майнинга криптовалюты https://www.bleepingcomputer.com/news/security/chrome-extension-with-100-000-users-caught-pushing-cryptocurrency-miner/

Интересная презентация про исследования бесконтактных транзакций в Apple Pay и Android Pay https://media.ccc.de/v/34c3-8965-decoding_contactless_card_payments

Вот ещё полезная презентация оттуда же (спасибо читателю) о реверс-инжиниринге микрокода x86 https://media.ccc.de/v/34c3-9058-everything_you_want_to_know_about_x86_microcode_but_might_have_been_afraid_to_ask

И ещё одна ссылка от читателя об уязвимостях в Deep Packet Inspection тройки мобильных операторов России, которые позволяют сайтам узнавать ваш номер телефона, например. Вот, вам понравится:

«Билайн «прикрыл» уязвимость только в конце октября — сделал так, чтобы ее нельзя было эксплуатировать через веб-браузер, но любая программа, установленная на телефоне, может до сих пор получить доступ в личный кабинет, узнать номер телефона, сменить тариф, подключить опции.

МТС до сих пор не закрыл уязвимость. Любой сайт может узнать ваш номер телефона.

Мегафон ответил на первые два сообщения, но в дальнейшем не получал ответа от них.

Единственный, кто меня порадовал — представители Теле2. Отвечали быстро и четко, предложили денежное вознаграждение»

https://habrahabr.ru/post/345852/

Анализ транзакций Apple Pay - теперь в виде статьи https://salmg.net/2017/12/29/analyzing-an-apple-pay-transaction-with-proxmark3/

Пользуетесь менеджером паролей? У меня для вас плохие новости. (По крайней мере, это относится не ко всем менеджерам паролей, говорят, что 1Password и LastPass от этого защищаются). Короче, фишка в том,что некоторые сайты используют специальные скрытые поля, и когда вы используете автозаполнение на сайте, они из менеджера паролей вытаскивают какие-то данные, которые позволяют следить за вами. В этом замечены всякие рекламные сети. Детали тут https://freedom-to-tinker.com/2017/12/27/no-boundaries-for-user-identities-web-trackers-exploit-browser-login-managers/

В Новый год с новыми уязвимостями. Теперь - уязвимость в macOS, в подсистеме IOHIDFamily, позволяющая получить права на чтение и запись в ядре, отключить SIP любому пользователю https://siguza.github.io/IOHIDeous/

В конце прошлого года я писал про то, как хитрожопые рекламные агентства вставляют в страницы скрытые поля, которые автозаполняются из менеджеров паролей, и таким образом позволяют рекламщикам идентифицировать пользователей (https://t.me/alexmakus/1563). Так вот, я внимательней почитал статью по ссылке и понял, что есть плохие новости для Мак-юзеров, которые используют автозаполнение в Safari — браузер тоже радостно раздает данные в такие скрытые поля. Так что осторожно там!

ну и в рамках выходных — реальный заголовок из журнала: "HACKED SEX ROBOTS COULD MURDER PEOPLE, SECURITY EXPERT WARNS". Поэтому берегите там своих секс-роботов!

PS (если вам действительно интересно — то заголовок отсюда http://www.newsweek.com/hacked-sex-robots-could-murder-people-767386, там в статье ссылка ведет сюда https://www.dailystar.co.uk/news/latest-news/643302/sex-robots-hackers-killer-cyborgs-technology-elon-musk-artificial-intelligence-world-war-3.)

Иллюстрации там тоже ОКЕЙ

когда видишь словосочетание "A fundamental design flaw in Intel's processor chips", понимаешь, что все действительно ОЧЕНЬ плохо
https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/