Пакинстанский хакер взломал игрушку Words with Friends компании Zynga и получил доступ к базе данных пользователей на 218 млн записей. Там оказались имена, адреса электронной почты, логины и засолено-захешированные пароли, номера телефонов и Facebook ID, если пользователи подключали свой профиль к игре.

https://zyngasupport.helpshift.com/a/zynga/?p=all&l=en&s=announcements&f=player-security-announcement

отдельно хочется отметить вступление Zynga по поводу взлома:

Cyber attacks are one of the unfortunate realities of doing business today.

это гораздо менее анфорчунейт, если подходить к этому вопросу серьезно.

Эксперт по миниатюризации, продемонстрировавший летом (https://t.me/alexmakus/2992) кабель Lightning, который выглядит идентично натуральному, а на самом деле содержит в себе возможность удаленного доступа к компьютеру, куда этот кабель воткнут, пообещал наладить серийное производство этих кабелей. Записываю: “к чужим кабелям не прикасаться”.

https://www.vice.com/en_us/article/3kx5nk/fake-apple-lightning-cable-hacks-your-computer-omg-cable-mass-produced-sold

Про “бэкдор в WhatsApp” пишет издание Bloomberg (которое, напомню, опубликовало отчет о якобы китайских чипах в серверах компаний Apple, Amazon и других неназванных, который опровергли все, потребовали доказательств, но Bloomberg их так и не предоставило, и статью не отозвало).

https://www.bloomberg.com/news/articles/2019-09-28/facebook-whatsapp-will-have-to-share-messages-with-u-k-police

Речь идет о том, что британское правительство утверждает, что Facebook “и его команда” должны будут делиться с полицией зашифрованными сообщениями пользователей, и тут же понеслось “БЭКДОР В ВОЦАППЕ КОНФИРМЕД!!!”. Речь идет о CLOUD Act executive agreement, в рамках которого упрощается процедура запроса информации к компании, которая этой информацией владеет. Если же у компании нет доступа к этой информации (она зашифрована), но запрос точно также остается без ответа, как и раньше.

Примерно 100500 человек написали мне, что про утечки из игрушки не так интересно, как про утечку из Сбербанка. И они правы, безусловно

https://www.kommersant.ru/doc/4111863

По неподтвержденным данным, в утёкшие данные входит информация по клиентам банка:

ФИО
Паспорт
Номер карты
ОСБ
Филиал
Лимит кредита
Недоисп. лимит
Ссуда всего
Ссуда текущая
Ссуда к погашению
Превышение лимита
Просроченная ссуда
%% текущие бал.
%% льготные бал.
%% текущие внебал.
%% льготные внебал.
%% к пог. бал.
%% к пог. внебал.
%% просроч. бал.
%% просроч. внебал.
Инсайдер
Портфель
Адрес работы
Дата опердня
N договора WAY4
Место работы
Дата созд. дог-ра в WAY4
Дата активиз. д-ра
Дата закр. д-ра
Признак закр. д-ра
Остаток собств. ср-в
Комис. за обсл.
Расчетная неустойка
Срок действ. карты
Сост. карты по WAY4
Сост. дог-ра по WAY4
Номер счета карты
Дата обр. просроч. по осн. дол.
Дата обр. просроч. по проц.
Кат. кач-ва ссуды
Дата блокирования закрытой карты
Дата рождения держателя
Проц. ставка за кредит
Комиссии за обсл. к погашению
Дата предстоящего платежа
Сумма минимального платежа
Кредитная фабрика
Тип клиента для учета продаж
Код кол-ва просрочек (АС СД)
Почт.индекс (р)
Регион (р)
Район (р)
Город (р)
Насел.пункт (р)
Улица (р)
Дом (р)
Строение (р)
Корпус (р)
Офис (р)
Квартира (р)
Код продукта Way4
Канал продаж
Агент по прямым продажам
Уровень загрузки списка
W4 телефон
W4 телефон домашний
W4 телефон мобильный
СПООБК телефон по месту регистрации
СПООБК телефон по месту жительства
СПООБК телефон мобильный
СПООБК телефон по месту работы
Признак пользования кредитной линией
Дата нач. мониторинга задолж. для закр. счета
Реквизиты перечисления остатка при закр.
Признак инд.резервирования
Дата перевода на инд.рез.
Признак перевода в ГОС безнад.
Дата перевода в ГОС безнад.
Кто перевел на спец. резервирование
Атрибуты резевирования
Дата заявления на закрытие д-ра

Немножко лол. Лаборатория Касперского вычислила кибер-разведку Узбекистана, потому что они использовали продукты ЛК для тестирования своих вредоносных продуктов и не отключили опцию отправки отчетов в ЛК

https://www.vice.com/en_us/article/3kx5y3/uzbekistan-hacking-operations-uncovered-due-to-spectacularly-bad-opsec

Google Project Zero нашли zero day уязвимость в android, которая затрагивает смартфоны Pixel, Galaxy, Huawei. Уязвимость позволяет получить полный контроль над устройством, и фикс потребовался срочный, потому что есть уже инструменты для эксплуатации этой уязвимости. Достаточно установить вредоносное приложение или же зайти на вебсайт, который может объединить эту уязвимость с другой. Апдейт для Pixel-устройств выйдет в октябре, остальные партнеры проинформированы, и за апдейтами нужно ходить к ним.

полный список затронутых устройств:
• Pixel 1
• Pixel 1 XL
• Pixel 2
• Pixel 2 XL
• Huawei P20
• Xiaomi Redmi 5A
• Xiaomi Redmi Note 5
• Xiaomi A1
• Oppo A3
• Moto Z3
• Android Oreo LG phones
• Samsung Galaxy S7
• Samsung Galaxy S8
• Samsung Galaxy S9

Интересно, что баг был исправлен в декабре 2017 года, но почему-то снова оказался в системе.

https://bugs.chromium.org/p/project-zero/issues/detail?id=1942
https://www.zdnet.com/article/google-finds-android-zero-day-impacting-pixel-samsung-huawei-xiaomi-devices/

ZenDesk подтвердили взлом и утечку данных, которая произошла в 2016 году (они только узнали о ней). При взломе произошел доступ к небольшому количеству пользовательских аккаунтов
https://www.zendesk.com/blog/security-update-2019/

продолжая тему утечки данных клиентов Сбербанка (https://t.me/alexmakus/3080). Банк опубликовал информацию о том, что "разобрались как следует, наказали кого попало": мол, нашли виновного «28-летний сотрудник попытался осуществить хищение клиентской информации в корыстных целях», и что "утечка коснулась только 200 клиентов.".

https://www.sberbank.ru/ru/press_center/all/article?newsID=56d223ed-1b37-48db-9790-1257c9c96d08&blockID=1303&regionID=77&lang=ru&type=NEWS

а тем временем читатели канала присылают ссылки на информацию о том, что вроде как речь все же идет не только о 200 записях
https://t.me/dataleak/1299

сами решайте, кому верить. думаю, можно запастись попкорном.

тем временем, об утечке данных клиентов рассказала компания Билайн. Речь идет о базе данных клиентов проводного интернета, 8 миллионов записей. Якобы информация устарела — речь идет о базе 2017 года. Хотя непонятно, как именно она устарела — личные телефоны, контракты, фамилии, домашние и рабочие адреса — для многих пользователей сохранились (особенно имена и фамилии). Ссылки на саму базу давать не буду, найти её не сложно.

Ответы у Билайна смешные — то фейк ньюс, то вброс, то ссылки и база неактивны (гифка про ужа и сковородку)
https://ria.ru/20191004/1559440909.html

пока в России компании опровергают, подтверждают и борются с последствиями утечек пользовательских данных, в Омерице своя напасть. Генеральный прокурор продолжает настаивать, что сквозное шифрование не нужно. В этот раз в форме призыва к Фейсбук о том, что не надо вообще ничего там внедрять в плане E2E шифрования между приложениями Facebook/Instagram/Whatsapp. И что вообще бэкдоры всякие важны, бэкдоры всякие нужны.
https://www.buzzfeednews.com/article/ryanmac/bill-barr-facebook-letter-halt-encryption

интересные результаты исследования аудитории от поисковика DuckDuckGo. Интересная статистика: среди изученной аудитории пользователей интернета в США почти 80% подкрутили настройки приватности в социальных медиа или снизили уровень их использования. Почти четверть удалила или деактивировала свои учетные записи в социальных медиа. Кажется, люди начинают что-то понимать.

https://spreadprivacy.com/people-taking-action-on-privacy/

утечка данных «сети проституток Голландии». Я только не понял, то ли это социальная сеть у них такая специальная была,то ли просто регистрационная информация. 250 тыс человек — неплохо там у них на 17 млн человек

https://twitter.com/FlayersMind/status/1182181027051196417

никогда такого не было, и вот опять. Твиттер признался, что использовал для таргетинга рекламой номера телефонов, которые пользователи добавляли в профиль для двухфакторной аутентификации.
https://help.twitter.com/en/information-and-ads

Интересный zero-day

http://blog.morphisec.com/apple-zero-day-exploited-in-bitpaymer-campaign

Привет! Сорян, немного было не до обновлений, хотя новости на месте не стоят. например, уязвимость в sudo в Linux, позволяющая выполнять команды под root, даже если конфигурация запрещает доступ root
https://www.sudo.ws/alerts/minus_1_uid.html
https://thehackernews.com/2019/10/linux-sudo-run-as-root-flaw.html

уязвимость в компоненте по сбору аналитики на компьютерах HP, с эскалацией прав
https://safebreach.com/Post/HP-Touchpoint-Analytics-DLL-Search-Order-Hijacking-Potential-Abuses-CVE-2019-6333

вредоносное ПО для macOS, маскирующееся под Adobe Flash. Мне кажется, даже если это настоящий Adobe Flash, от него надо бежать как можно дальше
https://blog.confiant.com/osx-shlayer-new-shurprise-unveiling-osx-tarmac-f965a32de887