кроме темы инфосека мне интересна еще тема велосипедов. Тот редкий случай, когда два в одном: хакеры взломали систему "умных" станков для велосипеда, и научились подменять данные, которые передаются со станка в систему. сидишь, ничего не делаешь, а тебе засчитывают киловатты жима педалей. красота.

https://www.bicycling.com/news/a28912281/zwift-hacking/

открытые MongoDB, являющиеся частью GootKit сети — банковского трояна. адреса имейлов, пароли, логины, все как обычно. забавно, что базу оставили открытой, видимо, как раз участники группы. https://securitydiscovery.com/banking-trojan-database-exposed-millions-of-users-at-risk/

а вот еще про открытые сервера. сотни серверов с фото рентгенов и МРТ, с простыми паролями или вообще без них. заходи кто хочешь, смотри что хочешь.

както кто-то из читателей спросил у меня "вот ты пишешь про эти все ужасы, а что с этим всем нам делать?". да вот хрен его знает. отвечать за все миллионы кривых рук админов, которые настраивают все эти системы, не думая вообще о том, что будет происходить с персональными данными — непонятно как. теоретически какой-нибудь GDPR мог бы применяться за подобную халатность, но в Штатах и его даже нет. нужно от всех требовать некую сертификацию, единый стандарт "безопасности хранения данных". Но это больше похоже на сизифов труд.

https://www.propublica.org/article/millions-of-americans-medical-images-and-data-are-available-on-the-internet

Я тут пару дней назад писал про SIM Jacker, возможную уязвимость в ПО SIM-карт, позволяющую заражать смартфоны вне зависимости от платформы.
https://t.me/alexmakus/3048

Пока технических деталей нет, но вот два интересных треда в твиттере, которые высказывают сомнения в том, что проблема имеет место быть, и в тех масштабах, о которых о ней говорят
тред 1 https://twitter.com/VessOnSecurity/status/1173625466894393344

тред 2 https://twitter.com/sawaba/status/1173828001848541186

если вы пользуетесь менеджером паролей LastPass, там надо бы до последней версии обновиться, где исправлена бага, позволявшая сайтам подцепить последний использованный пароль. LastPass 4.33.0 или более поздняя — ок.
https://bugs.chromium.org/p/project-zero/issues/detail?id=1930

ОГОГО. Короче, похоже, сотрудник Nokia Networks тут сильно лоханулся. Он подключил диск к компьютеру, а диск, в связи с неправильной конфигурацией, стал доступен в интернет без какой-либо аутентификации.

Один маленький нюанс: это был диск, на котором хранилась информация о том, как работает СОРМ у мобильного оператора МТС. На диске также была информация о том, как власти России получают доступ к звонкам, сообщениям и другой информации клиентов мобильного оператора. Эксперты получили доступ к диску, скачали с него информацию, а также проинформировали сотрудника Nokia Networks о том, что почти 2 ТБ данных торчат в интернет голой жопой.

Планы размещения коробочек СОРМ, фотографии самих устройств, информация о том, как устройства Malvin Systems перехватывают данные абонентов, всякие схемы подключения устройств, и много всего другого интересного. Красота.
https://www.upguard.com/breaches/mts-nokia-telecom-inventory-data-exposure#/security-lapse-russia/

целых три страницы рекламы Google о безопасности личных данных в сегодняшнем Washington Post. Наверно, это важно.

Без комментариев
https://news.yahoo.com/exclusive-russia-carried-out-a-stunning-breach-of-fbi-communications-system-escalating-the-spy-game-on-us-soil-090024212.html?soc_src=hl-viewer&soc_trk=tw

По материалам об утечке данных
https://t.me/alexmakus/3049

есть также опровержение (спасибо читателю канала)

https://www.kommersant.ru/amp/4095088

Оставлю вам на выходные большое исследование «британских ученых» различных IoT устройств. В рамках изучения исследователи посмотрели на десятки смарт-телевизоров, спикеров, видеозвонков от компаний Google, Roku, Amazon и других. Цель исследования —понять, какие данные собирают эти устройства о пользователях, и с кем разработчики этих систем делятся собранными данными. Результаты, как вы понимаете, неутешительные (иначе материала бы не было в этом канале): IP-адреса, информация об устройствах, паттерны использования, информация о геолокации и др. - все это попадает в руки создателей гаджетов и расползается по сторонним компаниям.
Традиционный вопрос: а что с этим всем знанием делать? как минимум, проводить изучение продуктов перед покупкой, выбирать устройства без обязательного подключения к интернету или требований создавать аккаунты. минимизировать покупку устройств с камерами и микрофонами. И,самое главное, НИКАКОГО ИНТЕРНЕТА!

https://moniotrlab.ccis.neu.edu/wp-content/uploads/2019/09/ren-imc19.pdf

кстати, несмотря на всякие там опровержения, тут опять пишут про очередную утечку у Дримкас, теперь уже на 76 млн записей (речь, как я понимаю, об информации о физических и юридических лицах, включая персональные данные, данные о покупках, и об уплаченных налогах). Я, правда, не нашел первоисточника, поэтому извините, если кого-то обидит ссылка на Известия
https://iz.ru/924297/2019-09-23/v-set-utekli-fiskalnye-dannye-eshche-76-mln-rossiian

Знаете, что полезно сделать с утра? пойти и поставить обновления Microsoft. пропатченые zero-day (RCE в IE) и denial of service в Windows Defender. от Win 7 до Win 10

https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1367

инфоопасносте везде. Например, принтеры HP отправляют на родину информацию о количестве напечатанных страниц, режимах печати, информацию о чернилах или тонере, о файлах, которые печатаются, о приложениях, из которых идет печать, время печати. Также информацию о самом устройстве, часовой пояс, какие-то UUID и другую техническую информацию. Все это описано в лицензионном соглашении, и отдельно указано, что сами распечатываемые данные в эту аналитику не попадают. Осадок, традиционно, остается.

https://robertheaton.com/2019/09/15/hp-printers-send-data-on-what-you-print-back-to-hp/

если вы мечтали позвламывать спутники, ваш час настал
https://www.nextgov.com/cybersecurity/2019/09/nsa-running-satellite-hacking-experiment/160057/

на прошлой неделе Apple выпустила апдейт iOS 13 для iPhone, на этой неделе уже вышел апдейт iOS 13.1 для iPhone и iPad, и все равно в релизы просочилась неприятная бага. Сторонние клавиатуры, как пишет Apple, в новых версиях системы могут получить "полный доступ" к iPhone, как пишет Apple в своем документе. Если я правильно понимаю, то "полный доступ" в этом случае означает возможность этим клавиатурам анализировать набираемый текст, даже если эти клавиатуры отключены в настройках. Так что если вы опасаетесь подслушивающих клавиатур, то временно их лучше удалить. Исправить это Apple обещает в следующем обновлении. (куда наверняка добавят еще каких-нибудь веселых багов, как же без них).

https://support.apple.com/en-us/HT210613?/en-us/advisory

вот интересный отчет об изучении российских APT-группировок.

практически цитата из отчета: "русские группировки, спонсируемые государством, редко делятся кодом друг с другом, а когда делятся, то это происходит в рамках групп, управляемых одним разведывательным ведомством".

https://research.checkpoint.com/russianaptecosystem/

еще там есть красивая визуализация карты
https://apt-ecosystem.com/russia/map/

образовательная картинка о государственных "ЯussiN ХackeЯs" в качестве бонуса