А вторая “забавная” штука связана со скандалом, с которого начался мой новый приступ увлечения infosec — это схватка двух якодзун Apple и ФБР два года назад. Там ФБР, утверждая (на выступлении в Конгрессе), что испробовала все методы разблокировки iPhone террориста, требовала от Apple сделать backdoor в iOS для того, чтобы можно было достать данные с телефона. Но тут, два года спустя, обнаружилось, что подразделение ФБР Operational Technology Division на самом деле могло разблокировать тот телефон, но в связи с каким-то там внутренним конфликтом и наплевательским отношением не сообщило об этом начальству. Что, в итоге, привело к утверждениям в Конгрессе, которые не соответствовали действительности. Бардак там у них, не понимаю, как они вообще там с таким бардаком должны ловить всемогущих русских хакеров.

По ссылке — отчет Министерства Юстиции США по этому вопросу, если кому-то вдруг будет интересно https://oig.justice.gov/reports/2018/o1803.pdf

Сегодня были проблемы у Телеграма, а сразу под твитом Дурова об этом - криптовалютный жулик (взял у Паши pqorama)

Привет!

Компания GetContact уведомила Роскомнадзор о том, что будет хранить персональные данные граждан России на серверах внутри страны, говорится в сообщении ведомства.

Компания является разработчиком одноименного мобильного приложения, с помощью которого можно узнать, под каким именем номер телефона пользователя записан у людей из его списка контактов, которые также установили GetContact. Приложение позиционируется разработчиками как сервис для блокировки ненужных и маркетинговых звонков.

О решении локализовать хранение данных пользователей из РФ на серверах внутри страны GetContact сообщила в официальном письме заместителю руководителя Роскомнадзора Александру Панкову, пояснили в ведомстве.

http://www.interfax.ru/russia/605937

Вот к скриншоту с криптовалютным жуликом у твита @durov — вы думаете “хаха, неужели кто-то ведется на это?”. А вот ведутся — читатель прислал инфу про кошелек, а туда уже набросали денег за последние 2 часа. 97 эфиров на почти 40 тыс долларов. “дура дурой, а свою тыщонку в день имею”, как говорилось в одном анекдоте

и про VPN. мало того, что многие из них, как я писал вчера, сохраняют логи, хотя обещают этого не делать. Так еще и у некоторых из них (четверть) IP пользователей утекает через WebRTC (за ссылку спасибо читателю)
https://voidsec.com/vpn-leak/

А второму читателю спасибо за дополнение:
https://ipleak.net

вот тут хороший тест vpn да и просто можно чекнуть какая инфа о тебе уходит владельцам сайта

Читатели канала - лучшие. Вот интересная статья об уязвимостях Телеграма от читателя канала. Не все уязвимости одинаково полезны!
https://habrahabr.ru/post/347910/

MyFitnessPal - популярное приложение-сервис для фитнеса и здорового питания - было взломано в феврале этого года. 150 миллионов записей о пользователях, включая имена, имейлы и пароли в зашифрованном виде, уехали к злоумышленникам. Если у вас был/есть аккаунт на этом сервисе - самое время его сменить. Если вы использовали такой же пароль с логином где-то ещё - то ай-ай-ай!
https://content.myfitnesspal.com/security-information/notice.html

Кстати, пару дней уже забываю. Если у вас есть с сайт с Drupal, то вам будет полезно почитать это - критическая уязвимость, срочно апдейтиться, вот это все
https://www.drupal.org/sa-core-2018-002

Вчера Apple выложила обновления всех своих операционных систем. Всегда интересно просматривать информацию не только о новых фидах обновлений, но и о новых исправлениях безопасности:

iOS 11.3 https://support.apple.com/en-us/HT208693
macOS 10.13.4 https://support.apple.com/kb/HT208692 (тут же и информация о фиксах для 10.11 и 10.12)
watchOS 4.3 https://support.apple.com/kb/HT208696
tvOS 11.3 https://support.apple.com/kb/HT208698

Фиксы в Сафари https://support.apple.com/kb/HT208695
И даже фиксы в iTunes для Windows https://support.apple.com/kb/HT208694

А вот в Иране собрались заблокировать Телеграм и заменить его на свой православный... (зачеркнуто) кошерный... (зачеркнуто) халяльный! мессенджер Soroush
https://en.mehrnews.com/news/133064/Telegram-to-be-replaced-with-Iranian-app-within-weeks

И снова здравствуйте! Наступают трудо выебудни, а вместе с ними и новые новости об опасностях для информации. Например, стало известно, что магазины Saks Fifth Avenue/Lord&Taylor - популярные премиальные рителейлеры в США - стали жертвами злоумышленников, которые взломали платежную систему магазинов и собрали около 5 миллионов данных банковских карт клиентов этих магазинов. А это очень качественный улов, поскольку в этих магазинах шоппятся весьма состоятельные покупатели. Так что, технически, жертвами стали, конечно, покупатели, а не сами магазины. Детальной информации о технологии взлома нет, зато понятен период - с мая 2017 года. Пока что доступны к продаже 125 тыс карт, но говорят, о 5 миллионах, так что улов хороший. По ссылке немножко больше деталей
https://geminiadvisory.io/fin7-syndicate-hacks-saks-fifth-avenue-and-lord-taylor/

Временно езжу на Инфинити, и на каждом старте она меня приветствует предупреждением о передаче разных данных производителю. Причём отключить всё нельзя, можно только частично ограничить

Это я к тому, что можно сколько угодно говорить про очевидные сервисы типа ФБ или Гугл, собирающие о нас информацию, но таких “собирателей” при дальнейшей “оцифровке” нашей жизни будет все больше и больше. Нужен глаз да глаз

Вчера все воспринимали это за первоапрельскую шутку, но это не шутка
https://blog.cloudflare.com/announcing-1111/

закрытый альбом во ВК? Не вопрос http://agora.legal/news/2018.04.03/V-Krasnoyarske-15-goda-kolonii-poseleniya-prosit-prokuror-po-delu-ob-ekstremizme/696

Привет. Чтобы не утомлять вас уведомлениями о множественных сообщениях, сегодня выпуск в виде дайджеста со ссылками:

1. В Саудовской Аравии(!) законодательно запретили следить за супругами с помощью шпионского программного обеспечения на смартфонах. Запрет относится как к мужьям, так и к жёнам. Наказание - до года заключения и/или штраф до 133 тыс долларов. Потому что информация опасносте!
http://www.gdnonline.com/Details/345138/Saudi-law-punishes-spousal-spying-on-mobile-phones

2. Как Panera Bread (популярная в США сеть модного, типа здорового фастфуда) сливала данные покупателей, которые заводили аккаунты для заказа еды в онлайне. Данные включали в себя имена, имейл, адрес, и последние 4 цифры номера банковской карты
https://krebsonsecurity.com/2018/04/panerabread-com-leaks-millions-of-customer-records/

3. А вы знали, что Chrome сканирует ваши файлы на компьютере и проверяет их на наличие вредоносного ПО? Вот и многие другие пользователи и эксперты не знали, что в браузер встроены базовые антивирусные функции. Вроде никакого вреда от этой функции нет, но Гугл бы не помешало лучше такие нововведения коммуницировать
https://motherboard.vice.com/en_us/article/wj7x9w/google-chrome-scans-files-on-your-windows-computer-chrome-cleanup-tool

4. А Facebook продолжает банить русских ботов в своей социальной сети. Можно сказать, что борьба со свободой слова ботов!
https://newsroom.fb.com/news/2018/04/authenticity-matters/

Хотел об этом написать, но ребята из Завтракаста уже написали, причём в гораздо более приличных выражениях, чем собирался я