кстати, о приватных данных, доступных публично. Рособрнадзор и данные на 14 млн выпускников: 5ГБ данных, среди которых — серия и номер диплома, год поступления и окончания, (СНИЛС, ИНН — апд. в базе не оказалось), дату рождения, имена, фамилии и отчества, а также национальность выпускников. Рассказ человека, который случайно это все обнаружил.

https://habrahabr.ru/post/347760/

тут, конечно, вряд ли есть кто-то из Африки (а тем более из Эфиопии), но просто интересная история в тему информационной опасносте — Китай построил для организации Африканского Союза здание, и бесплатно его передал. а потом оказалось, что здание напичкано микрофонами, которые записывали происходящее в здании. А затем сервера, которые удаленно управлялись китайскими администраторами через специально оставленный бэкдор, передавали записанное кому надо. Какой-то прям сюр.
https://www.moroccoworldnews.com/2018/01/239343/african-union-china-spies-addis-ababa/

Хочу внести некую ясность в мою позицию касательно истории с сервисом Strava и публикацией им данных, которые позволили выявить военные и прочие секретные объекты и перемещения персонала в них. Безусловно, в этом случае вина в основном лежит на этих организациях, не обеспечивших достаточный инструктаж и контроль персонала по обеспечению соответствующих мер информационной безопасности. Можно только предположить, что еще там у этих пользователей может быть установлено на телефонах и компьютерах, и что куда передается. Так что да, основная проблема — это именно операционная безопасность таких организаций и объектов, и сам сервис Strava тут ни при чем.

Но есть и вторая часть этой проблемы (которая состоит на самом деле из двух частей). Первая — это не самые простые и очевидные настройки приватности учетной записи в Strava, которые приводят к тому, что многие пользователи, не разобравшись, оставляют включенными настройки по умолчанию. Вторая половина — это такая смелая публикация сервисом Strava полученных данных, которая позволяет не только увидеть объекты с большим количеством активности (а когда это объект посреди пустыни в воюющей стране, то сразу возникает логичное подозрение). Та же Google, например, особо секретные объекты на Google Maps прячет. Ну и не добавляет спокойствия возможность при желании взять эти сегменты “обезличенных” данных и совместить их с другими публично доступными данными, и вычислить уже конкретного пользователя сервиса.

Да, это все вроде как фичи сервиса — все-таки типа социальная сеть, но лично мне от этого немножко крипово. Я, конечно, тот еще параноик, и сразу был не очень в восторге от того, что я отдаю Страве слишком много информации, а тут под шумок всей этой истории я решил, что именно социальный аспект мне в итоге не сильно-то и нужен, а без него я могу и встроенным трекером активности в часах пользоваться. Благо, Apple к личным данным пользователей (даже обезличенным) относится более ответственно, и лучше понимает риски публикации слишком больших объемов накопившейся информации. А о популярных местах для катания на велосипеде в моем регионе я и в интернете могу узнать, благо, информации об этом достаточно. А частная приватность — это тот случай, я уверен, когда лучше перебдеть, чем эцсамое. Но каждый пользователь — сам кузнец своей приватности. Извините, был напуган.

Несколько дней назад я писал тут про пароли и давал ссылку на статью с некоторыми советами о гигиене пароля. А тут вот читатель канала прислал свою статью с рекомендациями о паролях, которая мне показалась весьма интересной
https://theseventyeight.nl/blog/the-little-things-of-life/sotsialnaya-inzheneriya/

Тоже красота https://vc.ru/32459-roskomnadzor-i-fsb-predlozhili-hranit-v-bazah-dannyh-nikneymy-polzovateley

информация находится опасносте практически в любой форме. Например, в Канберре, Австралия, мебельный магазин продал с большой скидкой два шкафа, потому что шкафы были закрыты, и от них ни у кого не было ключей. Когда покупатель рассверлил замки, внутри шкафов он обнаружил кучу секретных правительственных документов. Потому что шкафы принадлежали кабинету министров Австралии, и во время какой-то очередной замены мебели от них избавились, не проверив содержимое. Очевидно, покупатель, поняв, что к нему попало в руки, обратился в СМИ, и телеканал радостно на протяжении нескольких недель публиковал на основе этих документов всякие новости из прошлого , которые были весьма неприятными для правительства Австралии. Красота, в общем.
https://apnews.com/2897f5d8449c413796efe03b9202a1ca

а вот еще из мира необычных новостей. На видео показывают, как анализируя едва заметные вибрации от окружающего звука листьев растения, можно воспроизвести звук. всё вокруг нас — микрофоны!
https://www.youtube.com/watch?v=FKXOucXB4a8

Внезапно Telegram пропал из App Store

по поводу Телеграма за ночь дуров уже успел дать какое-то опровержение в твиттере (которое потом удалил), после чего подтвердил о каком-то несоответствующем контенте в приложение, за который оно было удалено из App Store
https://twitter.com/durov/status/958990254396059648

интересно, что удалили только мобильное приложение, а в Mac App Store приложения остались. Бардак там у Apple, вот что

из рубрики "забавные новости" — в Oxford English Dictionary (по сути, такой официальный словарь анлийского языка) добавили слово ransomware (это про вирусы-вымогатели). С чем вас и поздравляю!

хакерство как средство получения выгоды. хакер обнаружил уязвимости в системе каршаринга и пользовался автомобилями бесплатно, используя данные других пользователей
https://www.hackread.com/hacker-compromised-user-data-illegally-used-car-sharing-service/

а всякие сайты на Вордпрессе (более 2 тысяч) по-прежнему собирают кейлоги с пользователей
https://arstechnica.com/information-technology/2018/01/more-than-2000-wordpress-websites-are-infected-with-a-keylogger/

Телеграм снова в App Store, теперь банановый и без порно :)

Добро пожаловать в IoD - internet of dildos. Интернет, в котором разработчик «умного» вибратора допускает утечку пользовательских данных, админский интерфейс торчит голой жопой наружу, соединение по Блютусу идёт без какой либо авторизации, пароли хранятся открытым текстом, а уязвимости в бэк-энде позволяют незнакомым людям управлять вашим вибратором удаленно! Все как я люблю!

https://www.sec-consult.com/en/blog/2018/02/internet-of-dildos-a-long-way-to-a-vibrant-future-from-iot-to-iod/index.html

Техническая информация
http://seclists.org/fulldisclosure/2018/Feb/0

из рубрики "никогда такого не было, и вот опять" — критическая уязвимость в Adobe Flash (божечки, но зачем в 2018 году его еще использовать???)
https://helpx.adobe.com/security/products/flash-player/apsa18-01.html

проблема не столько в самой уязвимости (хотя по количеству уязвимостей Flash однозначно поставил какой-то рекорд), а в том, что а) для нее нет фикса (есть только методы mitigation — то есть уменьшения рисков), и б) её уже активно эксплуатируют. Затронуты все платформы — Win, Mac, Linux. Распространяется через файлы Microsoft Office со встроенным контентом Flash (НО ЗАЧЕМ????)

Привет (особенно читателям из РФ). Правозащитная организация «Агора» выпустила доклад «Свобода интернета 2017: ползучая криминализация», посвященный ограничениям интернета в России.

По подсчетам «Агоры», в 2017 году ежедневно блокировались 244 интернет-страницы, каждые восемь дней за размещенную в интернете информацию суд приговаривал человека к лишению свободы, а каждые шесть дней пользователи подвергались нападению. Все эти цифры увеличились по сравнению с 2016 годом.

Как отмечается в докладе, 2017 год также стал рекордным по числу законодательных инициатив, направленных на усиление контроля над коммуникациями и распространением информации в сети. Авторы исследования также обращают внимание, что функции контроля над интернетом постепенно продолжают переходить от Роскомнадзора к различным силовым ведомствам, прежде всего ФСБ.

В общей сложности, в 2017 году были зафиксированы 115706 отдельных фактов ограничения свободы интернета в России. Подавляющее большинство (более 110 тысяч) из них связано с блокировкой и фильтрацией контента, а также запретом информации по различным основаниям.

Полная версия отчета — по ссылке https://meduza.io/static/0001/Agora_Internet_Freedom_2017_RU.pdf

Вчера в Америке прошел Супербоул, в котором, кстати, победила команда, ни разу до этого в Супербоуле не побеждавшая — Eagles из Филадельфии (ура!). Но надо же и об опасносте! Короче, организаторы Супербоула — NFL — проводили имитацию вирусной атаки (но не компьютерного вируса, а вируса сибирской язывы). Затем министерство национальной безопасности пересматривало результаты этой имитации, и давало свои заключения и рекомендации. Документы имели служебный гриф и относились к важным для национальной безопасности. Так вот, кто-то оставил этот отчет в спинке кресла на самолете, где его и обнаружили журналисты CNN. А вы говорите "хакеры, взломы, вот это все". Достаточно одной бестолковой бестолочи
https://www.cnn.com/2018/02/05/us/dhs-super-bowl-national-security-documents-left-on-plane-invs/index.html

вы ведь все помните NotPetya и WannaCry, которые использовали уязвимость EternalBlue, утекшую из закромов NSA. Теперь три новые уязвимости из того же источника — EternalSynergy, EternalRomance и EternalChampion — добавлены в качестве модулей в популярное ПО для поиска уязвимостей и пентестов Metasploit. Эти уязвимости работают немного по-другому, чем EternalBlue, и могут быть эффективными против тех, кто еще не проапдейтился
https://github.com/rapid7/metasploit-framework/pull/9473