Ещё ссылка от читателя - Плагин stylish с января помимо своих основных функций ещё и передаёт историю браузера в SimilarWeb, вот тут подробности:

https://robertheaton.com/2018/07/02/stylish-browser-extension-steals-your-internet-history/

Это я тут посмотрел на Нетфликсе фильм Anon про общество, в котором приватности не существует (фильм художественный), и чето накатило

кому-то понадобился мой вордпресс-аккаунт

Ой какая прекрасная штука. Яндекс начал индексировать документы Google, а там такооооое... жми, чтобы узнать больше (via мдк)

https://yandex.ru/search/pad/?text=%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D0%B8&lr=213&site=docs.google.com&redircnt=1530734243.1

С публичными досками Трелло была та же история, я тут об этом писал неоднократно. Так что настройки приватности для документов лучше пересмотреть

АПД. Яндекс что-то там подкрутил и документы в результатах поиска больше не показываются
зато по-прежнему можно искать в Google
https://www.google.com/search?q=%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D0%B8+site%3Adocs.google.com&oq=%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D0%B8+site%3Adocs.google.com

АПД. Ну и чтобы два раза не вставать. это не уязвимость Google Docs, это их фича с 2009 года https://www.cnet.com/news/your-google-docs-soon-in-search-results/ 

а ведь яндекс говорил, что “найдется все”

Вы думали, что Гуглдокс в поиске яндекса - это круто? (Там, кстати, какая-то мутная история с происхождением этих данных у Яндекса, о котором мы, скорей всего, никогда не узнаем. Ну да ладно). Вот читатель прислал очень полезную ссылку с базой данных всяких полезных запросов в Google, которые позволяют найти различную открытую информацию в интернете, которая, возможно, и не должна быть открытой (и если это только были пароли)

https://www.exploit-db.com/google-hacking-database/

Заметка, которая будет интересна читателям канала из Украины. Сергей Петренко кратко и по сути изложил что не так с идеей народных избранников навести порядок в Украине (пользовательский сертификат для DPI, ммммм, вкусненько)
https://blognot.co/56730

Полезно в свете того, что многие открывают для себя интернет и индексирование контента в нем

​​Вчера появилась новость о том, что Яндекс стал индексировать файлы с доступом по ссылке. Это значит, что все ваши документы с таким доступом могут быть найдены кем-угодно в поиске Яндекса. Вот примеры того, что еще вчера можно было там найти.

Я задался вопросом «Как найти только те документы, у которых включен доступ по ссылке?» и увидел, что Netpeak уже подготовил статью о том, как закрыть такой доступ к своим файлам в Google Docs.

Я протестировал первый вараинт (код на R) — все работает. Единственное, советую 5 строку в коде:

all_files <- drive_find()

заменить на:

all_files <- drive_find(q = c("visibility = 'anyoneWithLink'"))

,чтобы автоматически менять права только тем документам, которые расшарены по ссылке и в которых email из поля «emailAddress» указан владельцем.

Не забудьте проверить и свои отчеты в Data Studio и Power BI — их тоже могут индексировать поисковые системы, если там указан доступ всем по ссылке.

via @webanalyst

Тему файлов в интернете можно, конечно, продолжать бесконечно. Вот, например, файлообменник со всякими интересными файлами, прям открыто без всяких яндексов и гуглов
http://fayloobmennik.cloud/files/list.html

Пишут ещё, что Яндекс вчера убрал из выдачи файлы Google Docs, а домен Google drive оставил, что позволило ещё накопать интересных файлов

Вот еще Гугл Россия ответили, примерно «пользователи сами виноваты»
https://russia.googleblog.com/2018/07/google_5.html

Привет. К счастью, можно сделать перерыв с темой поисковых движков и файлов с паролями в открытом доступе, и поговорить о чем-то более интересном. Например, вот отличная концепция малвари для Windows, которая мониторит буфер обмена на предмет наличия в нем адреса кошелька с криптовалютой (потому что помнить их не так просто, и многие юзеры просто делают copy-paste при каких-то транзакциях оплаты). Так вот, малварь просто подменяет адрес на “нужный”, чтобы деньги ушли на нужный адрес. Сама идея не нова, но тут обнаружили семпл с 2,3 млн адресов

https://www.bleepingcomputer.com/news/security/clipboard-hijacker-malware-monitors-23-million-bitcoin-addresses/

(вторая попытка - в первый раз запостил слишком рано. Товарищ майор все проверил и разрешил!)

но гораздо интересней исследование университета Northeastern, в котором они попытались подтвердить или опровергнуть популярный миф о том, что ваш телефон слушает ваши разговоры. Они проанализировали трафик более 17 тыс приложений, включая приложения Facebook, и (spoiler alert!) не нашли подтверждений этой теории.

однако, они обнаружили другую проблему с некоторыми приложениями — они записывали содержимое экрана пользователя (скриншоты, видео) и отправляли в какие-то аналитическое компании (Appsee).

вот подробный отчет об исследовании, чтобы можно было сложить представление об основательности подхода к исследованию. Правда, вряд ли это убедит тех, кто считает, что Фейсбук все равно все пишет. Только шапочки из фольги, только хардкор!
https://recon.meddle.mobi/papers/panoptispy18pets.pdf

кибератаки они такие, всегда внезапно. Хотя известно, что медицинское оборудование работает зачастую под управлением старых операционных систем, и не все разработчики делают апдейты для этого оборудования. А администраторы часто тоже не спешат устанавливать даже доступные обновления. Короче, все плохо, как обычно. Но хорошо, что в случае с этой конкретной операцией все хорошо.
https://snob.ru/news/162977

по своему веселая история о том, как сотрудник компании NSO, известной своими вредоносными приложениями для смартфонов (которые она продает правительственным организациям), решил предложить эти инструменты кому-то на сторону за 50 млн долларов. (бэкдоры - это безопасно, говорили они… они не утекут, говорили они…)
https://motherboard.vice.com/en_us/article/9km99z/nso-group-employee-stole-code-sell-dark-web-50-million

ну и про “умные устройства”, как я люблю. Я уже как-то давно писал про историю с американским производителем телевизоров Vizio, который сканировал, что показывается на экране телевизора, и таким образом собирал информацию о пользователях для последующей продажи рекламы. Вот в NYT пишут о том, что многие SmartTV (не только Vizio) настолько умные, что у них установлено ПО Samba TV, которое анализирует данные с 13,5 млн ТВ в США для лучшего понимания предпочтений пользователей и последующего таргетинга их рекламой.

https://mobile.nytimes.com/2018/07/05/business/media/tv-viewer-tracking.html

Телевизоры Sony, Sharp, Philips и тд — модели этих производителей не только следят за тем, что смотрят пользователи, но еще и собирают информацию о других устройствах, с которых пользователи в этой же сети выходят в интернет (вот тут маркетинговая страница о том, что умеет их софт
https://platform.samba.tv/technology/)

По сути, это тот же попиксельный анализ, что был в случае с Vizio и распознаванием контента (фильмы, сериалы, игры)
https://t.me/alexmakus/966

Компания утверждает, что такой сбор данных обязательно сопровождается открытым соглашением пользователя, но мы-то знаем, как обычно это маскируется для того, чтобы пользователь, не думая и не читая, кликнул “Я согласен”. (в статье есть скриншо). Сама Samba TV не продает пользовательские данные, но использует собранную информацию для последующего таргетинга рекламой на других устройствах пользователей. Удивительно, что этим занимаются производители дорогих телевизоров — Sony та же. Их Bravia стоят кучу денег, но, видимо, им не хватает.
Отдельная проблема, конечно, в том, что пользователи, даже покупая “смартТВ”, не очень представляют себе их возможности, и не догадываются, что тут может быть такая продвинутая тема со сбором данных. Как страшно жить и смотреть телевизор при этом.

Играете в Fornite и читите (читирите)? ай-ай-ай! Так нехорошо. И опасно — обнаружили вредоносное ПО в составе читерского для Fortnite, которое в процессе читов еще и в трафик рекламу вставляло (методом MITM)

на англ
https://blog.rainway.io/how-we-discovered-a-virus-infecting-tens-of-thousands-of-fortnite-players-e5dd6fe1ff55

на русс (за ссылку спасибо читателю канала)
https://tproger.ru/news/fortnite-https-malware/

Привет. в своё время я тут много писал всякого про сервис Strava, который на основе данных, собранных от пользователей, опубликовал некую карту поездок и забегов, что привело к неожиданному раскрытию различных секретных данных. С помощью поиска можно найти записи по этому поводу, я свою позицию описал тут (https://t.me/alexmakus/1726)

Почему я об этом вспомнил? Вчера появилась очень похожая новость про другой сервис c очень похожей проблемой (ссылку об этом прислали мне примерно все). Bellingcat, известный своими расследованиями, обнаружил, что компания Polar, производитель популярного монитора сердцебиения, также предлагает и социальную сеть для своих пользователей. Оказалось, что в этой социальной сети публикуется в общедоступном виде достаточно много данных (а вообще - слишком много). Сервис позволяет найти определенного пользователя, и предоставляет в том числе и исторические данные по тренировкам этого человека до 2014 года.
https://www.bellingcat.com/resources/articles/2018/07/08/strava-polar-revealing-homes-soldiers-spies/

То есть, например, зная место военной базы, можно обнаружить определенного военнослужащего (солдата, офицера), выяснить, когда и где он тренируется, причём не только на военной базе, но и дома. У Bellingcat есть большой список тех категорий пользователей, которых они обнаружили.

Более того, хуже то, что в настройках приватности у Polar, даже если поотключать всякие опции, все равно достаточно много информации остаётся публично доступной. И изменение настроек не влияет на исторические данные, что тоже очень неприятно. Там были и очень неприятные моменты, когда API позволяло выгребать данные даже по закрытым профилям. Короче, clusterfuck похуже Strava. Пока что Polar просто закрыл функцию своей публичной карты и опубликовал следующее сообщение
https://www.polar.com/en/legal/faq/public_and_private_training_data_statement

Можно долго спорить, что изначально виноваты пользователи, сами раздающие эту информацию (особенно если это солдаты на секретных базах), но подобные сервисы должны также думать больше о безопасности своих пользователях и потенциальных последствиях публикации таких данных. В общем, с момента истории со Стравой моя позиция по ссылке выше особо не поменялась. Берегите свои данные!

А еще выходные принесли историю про взлом сервиса TimeHop - сервиса, который показывал вам, что вы делали прошлым летом (в смысле, что вы там публиковали в этот день в прошедшие годы в социальных сетях).

Вот официальное заявление компании по этому поводу
https://www.timehop.com/security/

Кто-то залогинился в облачный сервис компании с админским логином(!) (2ФА - нет, не слышали), и после разведки (доступ был на протяжении 7 месяцев!) получили доступ к рабочей базе. Имена, адреса электронной почты, номера телефонов, и, что самое интересное - токены для доступа всех учетных записей 21 млн пользователей. Сервис утверждает, что сами данные пользователей (социальный контент) остался в неприкосновенности. Токены сбросили, так что при логине придётся пройти повторную авторизацию. Кроме этого, пере-подключить все социальные сервисы, которые вы захотите использовать с TimeHop. Короче, красиво у них там получилось обосраться