Некоторые имена вполне знакомы

утечка 18 миллионов пользовательских записей https://blog.8tracks.com/2017/06/27/password-security-alert/

И снова здравствуйте! Пока у вас там не наступила ночь, парочка интересных ссылок из мира информационных опасностей! На прошлой неделе в твиттере несколько раз встретил упоминание про скрипт для майнинга криптовалюты в favicon.ico файле (вот новость типа этой https://vc.ru/33544-skrytyy-mayner-nashli-na-sayte-v-fayle-favicon-ico)
Так вот, там исследование показало, что просто все ресурсы сайта были заражены этим скриптом, так что ко всем УРЛам он добавлялся. Поэтому это не то, что "в килобайтный фавикон засунули майнера, не такого будущего мы хотели!!!"
Но в одном статья права — майнинг нынче везде и надо проявлять осторожность

не уязвимость, но информация все равно опасносте! тут обнаружили багу в реализации APFS (это такая новая модная файловая система на Маках) для дисковых образов. Короче, при неудачном стечение обстоятельств можно потерять все данные. Как-то даже не поворачивается язык назвать это "мелочью", когда речь идет о потере данных https://bombich.com/blog/2018/02/15/macos-may-lose-data-on-apfs-formatted-disk-images

а вот тут Google обнаружила багу в браузере Microsoft Edge, и дала Microsoft три месяца на её исправление (нормальная практика, кстати). А потом дала еще 14 дней на то, чтобы исправление попало в февральский security patch. Но Microsoft сказала, что исправление этого бага оказалось сложнее, чем изначально предполагалось, и пока что фикса не сделали. а Google решила не дожидаться фикса — мол, время отведенное прошло, а бага не смертельная, а всего лишь средней тяжести, и зарелизила информацию об уязвимости в Edge. Подозреваю, после этого в Microsoft кому-то придется убирать обгорелые обломки кресла и покупать новое
https://bugs.chromium.org/p/project-zero/issues/detail?id=1435

если вам кажется, что в последнее время с уязвимостями и проч становится хуже, у меня для вас хорошие новости — ВАМ НЕ КАЖЕТСЯ. Вот отчет, из которого следует, что в 2017 году был поставлен грустный рекорд по количеству раскрытых уязвимостей (правда, возможно, что обнаружены они были и раньше, а информация о них только стала доступна в в 2017 году, но тем не менее)...

Топ 10 продуктов с самыми критическими уязвимостями уровня 9 и 10:
Google Pixel/Nexus devices (354 issues)
Ubuntu (285)
SilentOS (257)
Red Had Enterprise Linux (253)
Firefox (246)
SUSE Linux Enterprise Desktop (226)
Samsung Mobile Devices (226)
SUSE Linux Enterprise Server (197)
OpenSUSE Leap (196)
FreeFlow Print Server (191).

Отчет (PDF) https://pages.riskbasedsecurity.com/hubfs/Reports/2017/2017%20Year%20End%20Vulnerability%20QuickView%20Report.pdf

майнеры — это какая-то эпидемия, чессслово https://research.checkpoint.com/jenkins-miner-one-biggest-mining-operations-ever-discovered/ (за ссылку спасибо читателю)

Хотя вот эта история мне нравится больше! Модуль к авиасимулятору устанавливает вредоносное ПО, которое ворует из Хрома логины и пароли, если обнаруживает пиратскую версию игры.
Экстремальный DRM. Интересно, что они собирались делать с украденными данными

https://motherboard.vice.com/en_us/article/pamzqk/fs-labs-flight-simulator-password-malware-drm

полезная инфа из ФБ (я запощу сюда текст целиком, если кто-то не хочет в ФБ ходить)

Друзья, а вот у меня вся лента забита очередным тестом "как бы ты выглядел, если бы был бабой/мужиком". Вы все люди технически грамотные, наверняка перед использованием сервиса ознакомились с политикой конфиденциальности компании Yoto Media Group LTD., согласно которой сайт Kueez.com в процессе использования с вашего полного одобрения:
- узнаёт ваше местоположение
- собирает любой принадлежащий пользователю контент, передаваемый через сервис, причём пользователь отказывается от любых ожиданий о приватности этого контента (то есть сервис может пользоваться вашими загруженными фото по своему усмотрению: вы же сами ему их отдали)
- делает это не только при помощи куки, но и трекинговых программ и скриптов
- знает ваше имя, картинку в профиле, ID вашего аккаунта в фейсбуке, видит все ваши фотографии, списки друзей, контактные данные
- а также тип, модель, серийный номер вашего устройства, операционную систему, браузер, его настройки и историю посещений, ваши IP и MAC-адреса, ваш пол, группы, участником которых вы являетесь, ваши интересы, URL, с которого вы пришли на сайт сервиса и сколько времени там провели и сколько кликов сделали — впрочем, это все персональной информацией по соглашению не является, так что и беспокоиться вам не о чём
- но всей этой информацией сервис может поделиться со своими партнёрами во имя улучшения качества услуг
- сервис принимает все возможные меры для обеспечения сохранности ваших данных, но гарантировать её не может, так что делитесь вы своими данными с сервисом на свой страх и риск
- тем более если сервис попросят поделиться вашими данными по решению суда любой страны, согласно законам или указам этой страны, тут уж ничего не попишешь
- если вы вдруг захотите удалить свои данные с сайта сервиса, вы можете попробовать, но сервис не гарантирует, что они оттуда всё-таки исчезнут
- претензии не принимаются, но если они всё-таки возникнут, разрешаться споры будут по законам Государства Израиль в суде г. Тель-Авив.
Но вы же всё это знали, раз согласились с условиями использования этого сервиса — а вы с ними согласились — ведь правда, друзья?

https://www.facebook.com/kovalever/posts/10156178549739570

как облачная инфраструктура Tesla криптовалюту майнила: сначала через консоль Kubernetes вошли в систему, где получили доступ к учетной записи AWS Теслы (в процессе также вроде как получили доступ и к данным телеметрии автомобилей)

https://blog.redlock.io/cryptojacking-tesla

Полный отчет о популярности криптомайнинга тут (PDF)
https://cdn2.hubspot.net/hubfs/2254955/WebsiteResources/RL_CSI_report_Feb2018.pdf

мне сразу несколько читателей прислали ссылку на историю с "универсальным мобильным банком" — приложение в Google Play, которому доверились около 10 тыс человек в Украине (АПД пострадавших меньше — 
Количество зараженных устройств: 6566
Количество скомпрометированных данных держателей карт: 1200+
Количество скомпрометированных паролей: 5486),
рассчитывая получить одно приложение сразу для всех банков. А оказалось, что получили такой красивый развод
https://cys-centrum.com/ru/news/universal_mobile_banking

Привет! Канал уверенными темпами подбирается к 10 тыс читателей, что, честно говоря, меня шокирует — тема-то достаточно специфическая, не мемы с котиками. Энивей, это круто, вот что, спасибо, что читаете!
В качестве новости у меня для вас история про uTorrent — популярный клиент для торрентов, которым, я подозреваю, пользуются многие. В версии для Windows (и веб версии) обнаружили несколько уязвимостей, которые благодаря манипуляциям с DNS позволяют резолвить домен на локальный хост, что в последствии может быть использовано для исполнения вредоносного кода. Вот несколько примеров того, как это работает:
- для веб-клиента https://lock.cmpxchg8b.com/Moer0kae.html
- для десктопного клиента
https://lock.cmpxchg8b.com/utorrent-crash-test.html
https://lock.cmpxchg8b.com/Ahg8Aesh.html

уже есть версия с исправлением (http://www.utorrent.com/downloads/complete/track/beta/os/win) и скоро её добавят в механизм обновления клиента (ну, или скачайте сами)

(кстати, похожая фигня была обнаружена и для клиента Transmission https://lock.cmpxchg8b.com/rebinder.html — там тоже вышел апдейт для приложения)

Любите пользоваться Tinder? Любите и терять доступ к аккаунту! (на самом деле нет, уязвимость уже исправили, но все равно — была в Facebook AccountKit дыра, позволяющая получить доступ к учетной записи Tinder, если знать номер телефона жертвы). Детали по ссылке
https://medium.com/@appsecure/hacking-tinder-accounts-using-facebook-accountkit-d5cc813340d1

и о паролях (шутку лучше поймут те, кто может на английской мове)

какая красота — полностью написанное на Питоне средство удаленного управления Маком после удачного взлома. Модульное, умеет выкачивать пароли из Хрома, токены iCloid, делать фото камерой, качать историю из браузера, пытается получить рута, и тд.
https://github.com/Marten4n6/EvilOSX

какое-то время назад известный сервис Have I been pwned, позволяющий проверить, не утекла ли ваша учетная запись где-нибудь во время очередного взлома, запустил похожий сервис, позволяющий проверить пароль на предмет утечек. У сервиса скопилась достаточно большая база не только учетных записей, но и паролей, так что есть против чего проверять. Конечно, у настоящих параноиков возникнет подозрение, что этот сервис используется для дальнейшего сбора паролей, поэтому они не рискнут туда вводить свои данные. Но если вы не носите шапочку из фольги 24 часа в сутки, то вам сюда
https://haveibeenpwned.com/Passwords

А вот по этой ссылке как раз описано, как сервис обеспечивает безопасность тех паролей, которые вводятся в поле поиска
https://www.troyhunt.com/ive-just-launched-pwned-passwords-version-2#cloudflareprivacyandkanonymity

Кстати, в качестве бонуса есть такие вот проекты типа этого (https://gist.github.com/sebkinne/c26064b27d26c44e8d13ed9e6582550c), который использует API have i been pwnd, и его можно подключить к своему сервису или приложению, и советовать пользователям не пользоваться уже утекшими паролями, например. Короче, сплошная польза

Я как-то тут уже писал про internet of dildos (https://t.me/alexmakus/1739), где “умные” вибраторы оказываются совсем не умными и легко взламываются. Но не вибраторами едиными — еще вот детские мониторы, например, над которыми злоумышленники могут получить полный контроль. Так там еще и невозможно связаться с производителем этого монитора, а 52 тыс пользовательских учетных записей уже вполне рискуют.
https://www.sec-consult.com/en/blog/2018/02/internet-of-babies-when-baby-monitors-fail-to-be-smart/index.html

еще парочка бонусных ссылок, прежде чем у вас там начнутся длинные выходные:
- лажа с правами в Linux после последнего апдейта nmp
https://github.com/npm/npm/issues/19883

- статья про то, как прокачивают скиллы хакеры Северной Кореи
https://www.scmagazine.com/north-koreas-apt37-hacking-group-expands-its-reach-and-ups-its-game-warns-researchers/article/745473/

- история про то, как фермер обнаружил на своей ферме камеру наблюдения пограничной службы США, как служба начала требовать камеру обратно, а фермер подал на нее в суд
https://arstechnica.com/tech-policy/2018/02/rancher-finds-creepy-and-un-american-spy-cam-tied-to-his-tree-sues-feds/

Я вчера писал о сервисе проверки утёкших паролей, который позволяет проверить, стоит ли использовать ваши пароли или они уже вовсю циркулируют в интернете (https://t.me/alexmakus/1794). А вот сервис 1Password, выпускающий одноименный менеджер паролей, уже прикрутил себе проверку этих паролей по API, чтобы, так сказать, далеко не ходить. Очевидно, их вполне устраивает то, как там обеспечивается сокрытие проверяемых паролей.

https://blog.agilebits.com/2018/02/22/finding-pwned-passwords-with-1password/

и снова про твиттер и мошенничество с криптовалютами (по мотивам вот этой темы, где в твиттере популярных пользователей ответами обещают озолотить тех, кто пришлет немножко криптовалюты) https://t.me/alexmakus/1758

Тут читатель канала Тимур прислал ссылочку на то, как этот развод вышел на новый уровень. Мошенники воруют верифицированные аккаунты, переименовывают их в тот аккаунт, под который они хотят мимикрировать, а дальше по проверенной схеме: ответ на популярный твит с предложением прислать немного криптовалюты, чтобы получить много в ответ, форсинг ботами ответа, чтобы он был вверху, и дальше ожидание жертвы 🙂

https://twitter.com/geoffgolberg/status/967969322319732736