Саша Плющев написал хороший и взвешенный текст о последних изменениях в политике конфиденциальности Телеграм, рекомендую почитать
https://t.me/F_S_C_P/25211

“зеркало” с 3Д камерами, которые сканируют тело. затем собираются все замеры, включая различные объемы и вес, а потом загружают данные в облако. Что может пойти не так?
https://nakedlabs.com

В это время в Канаде... Авиакомпания Air Canada сообщает о том, что произошёл взлом входа в систему со стороны мобильного приложения, и примерно 20 тысяч пользовательских записей, включая имена, адреса электронной почты и номера телефонов могли попасть к злоумышленникам. А если вдруг кто-то из пострадавших себе в профиль добавил паспортные данные и прочую личную информацию, то им тоже не повезло. Но данные кредитных карточек не затронуты, пишет компания
https://www.aircanada.com/ca/en/aco/home/book/travel-news-and-updates/2018/notice-air-canada-mobile-app-users.html

Вчера я писал про базу на 130млн пользователей - посетителей китайских отелей одной компании (https://t.me/alexmakus/2362). В статье в BBC говорится, что «базу случайно залили в интернет», в других источниках я видел, что базу залили на Гитхаб. Кто заливает случайно базу на 140ГБ на Гитхаб - я не очень понимаю.

https://www.bbc.com/news/technology-45349036

(Бонус - оцените иллюстрацию у ББС)

Опять же, еще похожая тема. На прошлой неделе я писал про сервер «мониторинга/слежки» за детьми и супругами, и как их информация стала публично доступной (https://t.me/alexmakus/2346). Точно так же отличился еще один похожий сервис Family Orbit. 281 гигабайт фотографий и видео пользователей оказались доступными хакеру, получившему доступ к системе.

https://motherboard.vice.com/en_us/article/ywk8gy/spyware-family-orbit-children-photos-data-breach

Так что если решите подписываться на подобный сервис, помните, что документы, фотографии и прочая информация, которую вы доверите подобному сервису, могут оказаться доступны не только вам (говорят, что некоторые хакеры устроили персональную вендетту против таких сервисов, считая их неэтичными)

Межведомственная комиссия, в состав которой вошли представители ФСБ, Роскомнадзора, Министерства цифрового развития, связи и массовых коммуникаций, с 6 августа проводит лабораторные испытания российских систем анализа и фильтрации трафика на сети Ростелекома в городе Реутов, говорится в протоколе заседания комиссии.

https://ru.reuters.com/article/topNews/idRUKCN1LF201-ORUTP

Я бы спросил читателей из Реутова, как там у них с Телеграмом, но они, наверно, как раз и не смогут прочитать :)

АПД пока что из Реутова пишут, что через прокси все работает

(PS кстати, добавлю отсебятины. Я приезжал на прошлой неделе в Москву и поразился тому, насколько часто был необходим VPN для нормального доступа к многим ресурсам. VPN - это не роскошь, а необходимость)

Привет!

Читатель прислал интересную ссылку. О том, что Ркн внедряет в реестр IPv6, была новость. Вот и рекомендации уже выложили с IPv6.

http://vigruzki.rkn.gov.ru/docs/description_for_operators_actual.pdf
(У меня издалека сайт не грузится, но есть файлик)

Я тут неоднократно писал о том, как рекламные площадки типа Фейсбука или Гугл (да и многие другие) пытаются следить за пользователями везде, где только можно. Межустройственная слежка - это прям эльдорадо для этих компаний, а слежка за пользователями в оффлайне - вообще сказка. Вот тут Блумберг рассказывает о том, что Google в США покупает у MasterCard данные о транзакциях по картам, что позволяет Google, используя алгоритмы компании, скрещивать данные об онлайн-показах рекламы и оффлайн-покупках. Понятное дело, что обычные пользователи ни сном, ни духом о подобной слежке, да и возможности отказаться от такого наблюдения тоже у пользователей нет. Так-то, конечно, все говорят, что данные о транзакциях анонимизированы, но с тем количеством данных о пользователях, которые есть у Гугл, скрестить и вычислить конкретных индивидуальных пользователей компании не составит труда. Такая вот крипота.

https://www.bloomberg.com/news/articles/2018-08-30/google-and-mastercard-cut-a-secret-ad-deal-to-track-retail-sales

Интересный отчёт о сканировании открытых git-репозиториев в интернете: из 230 млн доменов обнаружено 390 тысяч открытых .git директорий

https://lynt.cz/blog/global-scan-exposed-git

а кто помнит скандал с публикацией фотографий обнаженных знаменитостей в далеком 2014 году? Скандал, который подарил нам ню-фото Дженнифел Лоурен, Кирстен Данст и других знаменитостей? Я пару раз писал об этом:
https://t.me/alexmakus/448
https://t.me/alexmakus/774

А вспомнил я об этом сейчас потом, что на этой неделе еще один фигурант этого дела получил 8 месяцев тюрьмы за это преступление. Другие участники этой истории тоже получили сроки от 9 до 18 месяцев в тюрьме

https://www.theguardian.com/technology/2018/aug/29/nude-photo-hacker-prison-sentence-jennifer-lawrence-victims

И, как всегда, очень интересное исследование от компании Элкомсофт, которая специализируется по добыванию информации с компьютеров и смартфонов. В этот раз они решили покопаться в транзакциях Apple Pay, хранящихся в телефоне, и обнаружили... да, в общем-то, не так много они и обнаружили. Хорошие новости (для пользователей) заключаются в том, что данные не попадают ни в локальный бекап, ни в бекап в iCloud. Транзакции, проведённые часами, не попадают в телефон, и не хранятся в бекапе часов. Но в целом, применив один из инструментов Элкомсофт, кое-какую информацию с телефона получить всё-таки можно (что пригодится, например, правоохранительным органам в их расследованиях)

https://blog.elcomsoft.com/2018/08/analysing-apple-pay-transactions/

Ещё небольшой анонс. На следующей неделе я попробую поэкспериментировать с ботом @CyberSecusBot. Он будет делать сюда репосты из блога, где будут изначально появляться новости, а затем уже будут ретранслироваться сюда. Я предполагаю, что формат не должен измениться, зато у контента добавится читателей: а) те, у кого нет Телеграма, б) те, кто хочет читать по RSS, как мне написали несколько читателей, и в) на случай, если Телеграм в России все-таки заблокируют. Так что не удивляйтесь, если тут будет что-то нестандартное на время экспериментов, или что-то вдруг пойдёт не так (а что-то обязательно пойдёт не так, подсказывает мне опыт)

Веселая история о том, как сотрудник Google обнаружил уязвимость в программном обеспечении для системы, обеспечивающей пропускной режим и открытие двери в здания Google. а все потому, что он нашел захардкоженный ключ для шифрования команд, и таким образом смог сам отправлять команды, в том числе и на открытие двери, а также на блокировку входа других пользователей. Причем делать это он мог со своего рабочего места, что вызвало еще один вопрос об операционной безопасности разделения сетевых сегментов в компании. Но поскольку он был сотрудником google, он сообщил об обнаруженной проблеме, и компания, обеспечивающая работу двери, проблему починила. Но там обнаружился другой подвох: переход на шифрование TLS потребовал замены аппаратной части, так как первоначальной системе не хватало памяти для работы с TLS. Так что сколько еще таких клиентов компании (Software House) по миру, использующих уязвимую систему — знает только сама компания.
https://www.forbes.com/sites/thomasbrewster/2018/09/03/googles-doors-hacked-wide-open-by-own-employee/

Если тут есть игроки в Mortal Online (популярной MMORPG), то вам лучше сменить пароль в сервисе. В июле злоумышленники добрались до базы пользователей и вынесли около 570 тысяч записей, включая логины и пароли в MD5, которые потенциально вполне можно расшифровать.

https://www.bleepingcomputer.com/news/security/cracked-logins-of-570-000-mortal-online-players-sold-on-forums/

А правительства все не успокаиваются против бэкдоров. На прошлой неделе группа из правительств пяти стран (США, Австралия, Великобритания, Канада и Новая Зеландия) повстречались, обсудили и решили, что надо призвать крупные технологические компании к сотрудничеству и обеспечению бэкдоров в их устройствах и сервисах, а не то им придется столкнуться с юридическими последствиями отказов от такого сотрудничества. Так то, конечно, утверждают правительства, бэкдоры смогут обеспечить необходимую приватность и права пользователей, и будут использоваться только для уголовных расследований и вопросов, связанных с национальной безопасностью. Когда-то, когда Apple спорила с ФБР по поводу бекдора для iPhone, я написал, возможно, немного сгущающий и несколько романтический пост на эту тему, но по сути ничего не поменялось. Правда, с тех пор стало известно о различных и многочисленных утечках информации и инструментов из Агентства Национальной Безопасности США (NSA), и Центрального Разведывательного Управления (ЦРУ), но, видимо, представители этих "Пяти Глаз" живут в параллельной вселенной, в которой ничего этого не было, а бэкдоры существуют в полной безопасности и надежно хранятся от посторонних глаз. А также они хотят выиграть гонку против математики и стараются провернуть фарш назад. Эх...

Ссылка на заявление

Сразу пара читателей прислали мне ссылку на историю с приложением в App Store, обманным путем пытающимся подписать пользователей на регулярную подписку стоимостью в 100 долларов в неделю. Приложение маскируется названием под популярный сервис для поиска дальних родственников Ancestry, но в процессе заведения аккаунта просит пользователя приложить палец к сканеру Touch ID, чтобы "начать поиск", а затем немедленно подставляет диалог для авторизации платежа за подписку



Как только приложение начали обсуждать на Reddit, его выпилили из App Store, но все равно непонятно, куда смотрели принимающие ревьюверы Apple, часто цепляющиеся к совершенно ненужным мелочам в приложении, и пропустившие такой явный скам (вот сюда смотрели https://t.me/brodetsky/1302). Короче, осторожней прикладывайте свои пальчики :)


https://twitter.com/3raxton/status/1035802674778624001?s=21

В связи с десятилетием браузера Google Chrome компания анонсировала новый редизайн браузера, и о деталях этого редизайна можно почитать вот здесь (https://www.tomsguide.com/us/get-chrome-69-material-design-update,news-27969.html). Но интересующимся темой инфобезопасности будет интересно узнать, что в новую версию Chrome вошел также и обновленный встроенный менеджер паролей, который теперь более проактивно предлагает сложные пароли, что должно помочь в борьбе против повторного использования паролей пользователями (известная головная боль)

Тоже хороший тред в Твиттере о том, как два предприимчивых молодых человека увели 30 тысяч долларов у клиентов чешского Vodafone, у многих из которых был пароль 1234 (в целом там было требование на 4-6 значный пароль, и есть версия, что для многих клиентов пароль 1234 устанавливался автоматически). Злоумышленники рандомно пробовали логин и пароль, и логинились в личные кабинеты клиентов, а затем переводили деньги на свои счета

https://twitter.com/spazef0rze/status/1037106596113989632

Статья (на чешском)
https://zpravy.idnes.cz/vodafone-kradez-penez-heslo-1234-internetova-samoobsluha-mobil-pud-/domaci.aspx?c=A180903_213827_domaci_zaz

Кстати, о Хроме. Тут вот среди официальных расширений для браузера обнаружили, что официальное расширение MEGA скомпрометировали и оно занималось всяким непотребством, включая воровство паролей и приватных ключей для кошельков с криптовалютой. Расширение пересылало все собранные данные на сервер в Украине. Если вы устанавливали расширения в Chrome и не помните какие — самое время пересмотреть их список и удалить лишние, которыми вы не пользуетесь. Если же у вас оказалось расширение MEGA.nz (уже выпиленное из Chrome Web Store и заблокированное Google), то лучше сменить пароли на всяких важных сервисах (Amazon, Google, Microsoft, GitHub, the MyEtherWallet и MyMonero)

https://www.zdnet.com/article/mega-nz-chrome-extension-caught-stealing-passwords-cryptocurrency-private-keys/