Какая красота, кабель с WiFi адаптером, позволяющий удаленно контролировать его. Компьютер видит кабель как клавиатуру и мышь, и можно удаленно вводить команды в устройство. Избегайте чужих кабелей (что, впрочем, не новый совет).
https://www.bleepingcomputer.com/news/security/new-offensive-usb-cable-allows-remote-attacks-over-wifi/
https://www.bleepingcomputer.com/news/security/new-offensive-usb-cable-allows-remote-attacks-over-wifi/
BleepingComputer
New Offensive USB Cable Allows Remote Attacks over WiFi
Like a scene from a James Bond or Mission Impossible movie, a new offensive USB cable plugged into a computer could allow attackers to execute commands over WiFi as if they were using the computer's keyboard.
Исследователи компании Wandera обнаружили, что системы электронных билетов некоторых авиакомпаний (AirFrance, KLM) зачастую шлют пассажирам ссылки для регистрации без шифрования персональных данных (там прямо в УРЛ имя, фамилия, номер подтверждения регистрации). В некоторых случаях, пишут исследователи, можно, получив такой УРЛ, изменить данные в билете.
http://www.wandera.com/mobile-security/airline-check-in-risk/
http://www.wandera.com/mobile-security/airline-check-in-risk/
Wandera
Are airlines putting your data at risk?
Wandera’s threat research team has discovered a vulnerability affecting a number of airlines' e-ticketing systems that can expose passengers' personally identifiable information (PII).
Я тут топлю за 2FA всячески. Но, похоже, её не все так же любят, как я. В частности, в США некий Джей Бродски подал в суд на Apple, за то, что компания форсит пользователей пользоваться двухфакторной аутентификацией, а это длинный процесс с паролями, логинами, доверием устройствам, и тд. И вообще весь процесс может занимать 2 до 5 минут, что недопустимо долго. Apple нанесла непоправимый и невозможный к вычислению урон тем, что не дала возможности истцу выбрать свой собственный уровень необходимой безопасности.
https://www.scribd.com/document/399265266/Brodsky-versus-Apple-alleging-that-two-factor-authentication-is-abusive-to-users
https://www.scribd.com/document/399265266/Brodsky-versus-Apple-alleging-that-two-factor-authentication-is-abusive-to-users
Scribd
Brodsky versus Apple, alleging that two-factor authentication is abusive to users
Plaintiff Jay Brodsky (“Plaintiff Brodsky”), by and through his counsel, brings this Class Action Complaint against Defendant Apple, Inc. (“Apple” or “Defendant”), on behalf of himself and all others similarly situated, alleges that Apple's two-factor authentication…
Электрические скутеры — это хорошо? Ну, в целом, да, для города это вполне удобный способ передвижения. Многие сервисы по предоставлению скутеров используют скутеры Xiaomi M365. Так вот, эксперты компании Zimperium продемонстрировали концепцию ПО, которое позволяет злоумышленнику подключиться по Bluetooth к скутеру, и без использования пароля отправлять на скутер различные команды, в том числе для того, чтобы резко ускорить или остановить определенный скутер, на котором в данный момент едет человек. Xiaomi подтвердила, что такая проблема в скутерах действительно присутствует, но пока что исправленной прошивки для скутеров нет. Осторожней там!
https://blog.zimperium.com/dont-give-me-a-brake-xiaomi-scooter-hack-enables-dangerous-accelerations-and-stops-for-unsuspecting-riders/
https://blog.zimperium.com/dont-give-me-a-brake-xiaomi-scooter-hack-enables-dangerous-accelerations-and-stops-for-unsuspecting-riders/
Zimperium
Don't Give Me a Brake - Xiaomi Scooter Hack Enables Dangerous Accelerations and Stops for Unsuspecting Riders - Zimperium
This proof-of-concept (PoC) is released for educational purposes and evaluation by researchers, and should not be used in any unintended way. Furthermore,
Ссылка от читателя на статью с хорошим списком замечаний о законопроекте об автономности российской части интернета. И правильно, потому что “все корневые… вот это всё корневое, не знаю, как это называется… ”
https://vc.ru/legal/58336-osnovnye-voprosy-k-zakonoproektu-ob-avtonomnosti-runeta-posle-ego-prinyatiya-v-pervom-chtenii
https://vc.ru/legal/58336-osnovnye-voprosy-k-zakonoproektu-ob-avtonomnosti-runeta-posle-ego-prinyatiya-v-pervom-chtenii
vc.ru
Основные вопросы к законопроекту об автономности рунета после его принятия в первом чтении — Право на vc.ru
16 пунктов о том, что не так с документом, — и рассуждения о его необходимости.
Смешная история о том, как у журналистки украли iPhone, а затем она подружилась по переписке с подростком, которому в итоге достался этот айфон (журналистка в Лондоне, подросток в Индии).
https://thenextweb.com/syndication/2019/02/14/how-i-became-pen-pals-with-the-kid-whole-stole-my-iphone/
https://thenextweb.com/syndication/2019/02/14/how-i-became-pen-pals-with-the-kid-whole-stole-my-iphone/
The Next Web
How I became pen pals with the kid who stole my iPhone
I’d always wanted to go to India. So I was pretty outraged when, in 2011, my iPhone went without me. I think it’s only fair to place around 5 percent of the blame on my friend Blair. A group of us were in a London wine bar pretending to be grown-ups, searching…
Не менее смешная история о том, как ямайский телефонный мошенник позвонил человеку в США и, пытаясь развести его на деньги, рассказывал о том, что жертва выиграла 72 млн долларов в лотерею, но чтобы получить деньги, ему надо перевести 50 тыс долл. Схема, я так понимаю, даже иногда работает, раз ею продолжают промышлять. Только в этом случае мошенник попал на человека, который в прошлом был директором ЦРУ и ФБР (Уильям Вебстер, единственный человек в истории США, занимавший эти две должности). В общем, закончилось все плохо для мошенника.
https://www.washingtonpost.com/crime-law/2019/02/12/william-webster-ex-fbi-cia-director-helps-feds-nab-jamaican-phone-scammer/
https://www.washingtonpost.com/crime-law/2019/02/12/william-webster-ex-fbi-cia-director-helps-feds-nab-jamaican-phone-scammer/
Совсем недавно выходил пост про набор из 620 млн паролей, в котором некоторые компании обнаружили для себя новость, что, оказывается, они стали жертвами взлома. Так вот, тот же хакер объявил, что у него “завалялось” еще 127 миллионов пользовательских записей, включая:
18 млн с сайта Ixigo
40 млн с видео-стримингового сервиса YouNow
57 с сайта Houzz
1,8млн с Ge.tt
4 млн с Roll20
5 млн с Stronghold Kingdoms
1 млн с PetFlow
450 тыс с Coinmama
Некоторые сайты использовали для хранения паролей алгоритм хеширования MD5, что чревато расшифровкой. 6 из 16 сайтов, попавших в эту утечку, использовали базу PostgreSQL, которую никто не патчил от известных уязвимостей.
https://techcrunch.com/2019/02/14/hacker-strikes-again/
18 млн с сайта Ixigo
40 млн с видео-стримингового сервиса YouNow
57 с сайта Houzz
1,8млн с Ge.tt
4 млн с Roll20
5 млн с Stronghold Kingdoms
1 млн с PetFlow
450 тыс с Coinmama
Некоторые сайты использовали для хранения паролей алгоритм хеширования MD5, что чревато расшифровкой. 6 из 16 сайтов, попавших в эту утечку, использовали базу PostgreSQL, которую никто не патчил от известных уязвимостей.
https://techcrunch.com/2019/02/14/hacker-strikes-again/
TechCrunch
Hacker who stole 620 million records strikes again, stealing 127 million more
A hacker who stole close to 620 million user records from 16 websites has stolen another 127 million records from eight more websites, TechCrunch has
Статья о том, как компания Ring (принадлежит Amazon), производящая “умные” звонки с камерами для дома, предоставила доступ к порталу с видео со звонков для полиции, без всяких ордеров суда.
https://theintercept.com/2019/02/14/amazon-ring-police-surveillance/
https://theintercept.com/2019/02/14/amazon-ring-police-surveillance/
The Intercept
Amazon’s Home Surveillance Chief Declared War on “Dirtbag Criminals” as Company Got Closer to Police
Video and internal emails show how Amazon’s Ring has blurred the line between private innovation and public law enforcement.
Сначала была коллекция на 620 млн пользовательских записей… Потом появились еще 127 млн записей. Теперь появились еще 91 млн записей, что в сумме дает нам… (считает, загибая пальцы) почти 840 млн пользовательских записей, которые включают в себя логины и хешированные пароли.
В списке малознакомые мне Legendas.tv, OneBip, Storybird, Jobandtalent (какой-какой талант???), Gfycat, ClassPass, Pizap и StreetEasy. Не используйте повторные пароли, хотя бы в самых критичных местах типа вашей основной почты, на которую завязаны остальные аккаунты.
https://techcrunch.com/2019/02/16/classpass-gfycat-streeteasy-hacks/
В списке малознакомые мне Legendas.tv, OneBip, Storybird, Jobandtalent (какой-какой талант???), Gfycat, ClassPass, Pizap и StreetEasy. Не используйте повторные пароли, хотя бы в самых критичных местах типа вашей основной почты, на которую завязаны остальные аккаунты.
https://techcrunch.com/2019/02/16/classpass-gfycat-streeteasy-hacks/
Большая утечка данных в Швеции — записи звонков 2,7млн шведов на линию медицинской поддержки оказались доступными в интернете без какой-либо защиты и шифрования. 170 тысяч часов записей с весьма конфиденциальными данными, включая информацию для многих файлов о номере телефона, с которого осуществлялся звонок
https://computersweden.idg.se/2.2683/1.714790/117
https://computersweden.idg.se/2.2683/1.714790/117
Computer Sweden
Värsta svenska integritetshaveriet i mannaminne
Omfattningen av haveriet är nästan ofattbart. Nu måste 1177-läckan utredas grundligt, skriver Computer Swedens chefredaktör Marcus Jerräng.
Twitter сохранял переписку пользователей не только в том случае, если пользователи удаляли эту переписку, но и даже для тех пользователей, учетные записи которых были удалены.
https://techcrunch.com/2019/02/15/twitter-direct-messages/
https://techcrunch.com/2019/02/15/twitter-direct-messages/
TechCrunch
Even years later, Twitter doesn't delete your direct messages | TechCrunch
When does "delete" really mean delete? Not always, or even at all, if you're Twitter.
Кто-то из Твиттера обнаружил в мультимедия-системе Сингапурских Авиалиний встроенную камеру:
https://twitter.com/vkamluk/status/1097008518685573120
Авиакомпания ответила, что камера есть в некоторых устройствах, но она отключена:
https://twitter.com/SingaporeAir/status/1097124432848527361
https://twitter.com/SingaporeAir/status/1097124503178616832
Подозреваю, компания закупала какие-то планшеты для использования в системе, а практически все планшеты сегодня сразу идут со встроенными камерами. Но осадочек остался, конечно. Столько вариантов можно нагенерить по использованию камер. например, если не смотришь инструкцию по безопасности, на обед не получишь десерт.
Еще интересная статья о том, как мультимедийная система в самолетах может следить за пользователями
https://paxex.aero/2017/10/ife-system-biometrics-panasonic-tascent/
https://twitter.com/vkamluk/status/1097008518685573120
Авиакомпания ответила, что камера есть в некоторых устройствах, но она отключена:
https://twitter.com/SingaporeAir/status/1097124432848527361
https://twitter.com/SingaporeAir/status/1097124503178616832
Подозреваю, компания закупала какие-то планшеты для использования в системе, а практически все планшеты сегодня сразу идут со встроенными камерами. Но осадочек остался, конечно. Столько вариантов можно нагенерить по использованию камер. например, если не смотришь инструкцию по безопасности, на обед не получишь десерт.
Еще интересная статья о том, как мультимедийная система в самолетах может следить за пользователями
https://paxex.aero/2017/10/ife-system-biometrics-panasonic-tascent/
Twitter
Vitaly Kamluk
Just found this interesting sensor looking at me from the seat back on board of Singapore Airlines. Any expert opinion of whether this a camera? Perhaps @SingaporeAir could clarify how it is used?
Исследование надежности менеджеров паролей в ситуации, если компьютер попал в руки злоумышленников. Изучались 5 популярных менеджеров паролей на платформе Windows: 1Password 7, 1Password 4, Dashlane, KeePass и LastPass. Из выводов:
– если менеджеры паролей не запущены, практически любой из них будет крайне сложно взломать Брут-форсом.
– Не все менеджеры паролей хорошо подчищают за собой содержимое в памяти, но это можно улучшить.
Важно не воспринимать это исследование как призыв не использовать менеджеры паролей, для большинства обычных пользователей подобные атаки не характерны.
https://www.securityevaluators.com/casestudies/password-manager-hacking/
– если менеджеры паролей не запущены, практически любой из них будет крайне сложно взломать Брут-форсом.
– Не все менеджеры паролей хорошо подчищают за собой содержимое в памяти, но это можно улучшить.
Важно не воспринимать это исследование как призыв не использовать менеджеры паролей, для большинства обычных пользователей подобные атаки не характерны.
https://www.securityevaluators.com/casestudies/password-manager-hacking/
Independent Security Evaluators
Password Managers: Under the Hood of Secrets Management - Independent Security Evaluators
Password managers allow the storage and retrieval of sensitive information from an encrypted database. Users rely on them to provide better security guarantees against trivial exfiltration than alternative ways of storing passwords, such as an unsecured flat…
Австралийское правительство, активно внедряющее у себя в стране тему с бэкдорами в программном обеспечении и устройствах, оказалось жертвой компьютерного взлома. Пострадали сервера не только самого правительства, но и политических партий, а в качестве основного подозреваемого фигурирует Китай. К сожалению, дополнительных данных о взломе нет пока что.
https://www.bbc.com/news/world-australia-47274663
https://www.bbc.com/news/world-australia-47274663
BBC News
Australian political parties hit by 'state actor' hack, PM says
The "sophisticated" activity follows an intrusion on parliamentary servers, PM Scott Morrison says.
Статья для общего развития о том, зачем различные приложения, позволяющие следить за здоровьем, собирают себе вашу информацию о здоровье (спойлер-алерт: совсем необязательно, чтобы улучшать ваше здоровье). На самом деле никаких пруфов в статье нет, но говорится о том, что данные о здоровье в целом стоят больше, чем просто обычные персональные данные. Взломы и утечка, и плюс, конечно, потенциально продажа данных страховым компаниям, что может иметь неприятные последствия для уровня страховых премиумов в будущем.
https://theoutline.com/post/7039/there-is-a-reason-apps-make-it-so-fun-to-track-your-health
https://theoutline.com/post/7039/there-is-a-reason-apps-make-it-so-fun-to-track-your-health
The Outline
There is a reason apps make it so fun to track your health
Health data is valuable: Your employer wants it, your insurers want it, and you're only too happy to give it away to apps for free.
У Google есть такой продукт — Nest Secure, система сигнализации для дома (база плюс набор датчиков). В феврале Google анонсировала, что Nest Secure сможет стать самостоятельным устройством для Google Assistant — интеллектуального помощника, с которым можно взаимодействовать с помощью голосовых команд. Так-так, прекрасно. Ой, погодите, что? У устройства есть микрофон? Только вот юзерам, которые уже второй год покупали Nest Secure, о том, что в их устройство встроен микрофон, никто не сказал. Этого также не было в документации по продукту. Google утверждает, что это ошибка (видимо, микрофон сам случайно упал в устройство при сборке, и так десятки тысяч раз), и вообще до этого апдейта микрофон был неактивен. Надо ли удивляться тому, что потом пользователи не доверяют компаниям, подозревая их в незаконной прослушке и подглядыванию за пользователями? А сколько таких устройств со скрытыми микрофонами могут насобирать компании под всемирно известным брендом Noname, и ничего не подозревающие пользователи купят их себе домой?
https://www.csoonline.com/article/3336227/security/nest-secure-had-a-secret-microphone-can-now-be-a-google-assistant.html
https://www.csoonline.com/article/3336227/security/nest-secure-had-a-secret-microphone-can-now-be-a-google-assistant.html
CSO
Nest Secure had a secret microphone, can now be a Google Assistant
The Nest Secure system had secret microphone that can now make the Nest Guard security hub double as Google Assistant device.
У WordPress 5.0.0 обнаружилась уязвимость, позволяющая получить контроль над сайтом. Кто не проапдейтился на 5.0.3, сам виноват!
https://blog.ripstech.com/2019/wordpress-image-remote-code-execution/
https://blog.ripstech.com/2019/wordpress-image-remote-code-execution/
Статья у MIT о том, как прошла целая череда взломов блокчейнов, которые типа должны были быть невзламываемыми. Хмммм….
https://www.technologyreview.com/s/612974/once-hailed-as-unhackable-blockchains-are-now-getting-hacked/
https://www.technologyreview.com/s/612974/once-hailed-as-unhackable-blockchains-are-now-getting-hacked/
MIT Technology Review
Once hailed as unhackable, blockchains are now getting hacked
Early last month, the security team at Coinbase noticed something strange going on in Ethereum Classic, one of the cryptocurrencies people can buy and sell using Coinbase’s popular exchange platform. Its blockchain, the history of all its transactions, was…
Большой отчет правительства Великобритании о Facebook и его практиках по слежке за пользователями и конкурентами (в том числе с использованием многократно упоминавшейся тут программы Onavo). Зажимание Vine, белые списки для разных приложений по доступу к пользовательским данным, вот это все. Но все, что мы слышим от Facebook — “мы не продаем данные пользователей рекламодателям”. Конечно, не продают, они её сдают в аренду.
https://www.parliament.uk/business/committees/committees-a-z/commons-select/digital-culture-media-and-sport-committee/news/fake-news-report-published-17-19/
https://www.parliament.uk/business/committees/committees-a-z/commons-select/digital-culture-media-and-sport-committee/news/fake-news-report-published-17-19/
UK Parliament
Disinformation and ‘fake news': Final Report published
The Digital, Culture, Media and Sport Committee has published its final report on Disinformation and ‘fake news'.