продолжая тему утечки данных клиентов Сбербанка (https://t.me/alexmakus/3080). Банк опубликовал информацию о том, что "разобрались как следует, наказали кого попало": мол, нашли виновного «28-летний сотрудник попытался осуществить хищение клиентской информации в корыстных целях», и что "утечка коснулась только 200 клиентов.".

https://www.sberbank.ru/ru/press_center/all/article?newsID=56d223ed-1b37-48db-9790-1257c9c96d08&blockID=1303&regionID=77&lang=ru&type=NEWS

а тем временем читатели канала присылают ссылки на информацию о том, что вроде как речь все же идет не только о 200 записях
https://t.me/dataleak/1299

сами решайте, кому верить. думаю, можно запастись попкорном.

тем временем, об утечке данных клиентов рассказала компания Билайн. Речь идет о базе данных клиентов проводного интернета, 8 миллионов записей. Якобы информация устарела — речь идет о базе 2017 года. Хотя непонятно, как именно она устарела — личные телефоны, контракты, фамилии, домашние и рабочие адреса — для многих пользователей сохранились (особенно имена и фамилии). Ссылки на саму базу давать не буду, найти её не сложно.

Ответы у Билайна смешные — то фейк ньюс, то вброс, то ссылки и база неактивны (гифка про ужа и сковородку)
https://ria.ru/20191004/1559440909.html

пока в России компании опровергают, подтверждают и борются с последствиями утечек пользовательских данных, в Омерице своя напасть. Генеральный прокурор продолжает настаивать, что сквозное шифрование не нужно. В этот раз в форме призыва к Фейсбук о том, что не надо вообще ничего там внедрять в плане E2E шифрования между приложениями Facebook/Instagram/Whatsapp. И что вообще бэкдоры всякие важны, бэкдоры всякие нужны.
https://www.buzzfeednews.com/article/ryanmac/bill-barr-facebook-letter-halt-encryption

интересные результаты исследования аудитории от поисковика DuckDuckGo. Интересная статистика: среди изученной аудитории пользователей интернета в США почти 80% подкрутили настройки приватности в социальных медиа или снизили уровень их использования. Почти четверть удалила или деактивировала свои учетные записи в социальных медиа. Кажется, люди начинают что-то понимать.

https://spreadprivacy.com/people-taking-action-on-privacy/

утечка данных «сети проституток Голландии». Я только не понял, то ли это социальная сеть у них такая специальная была,то ли просто регистрационная информация. 250 тыс человек — неплохо там у них на 17 млн человек

https://twitter.com/FlayersMind/status/1182181027051196417

никогда такого не было, и вот опять. Твиттер признался, что использовал для таргетинга рекламой номера телефонов, которые пользователи добавляли в профиль для двухфакторной аутентификации.
https://help.twitter.com/en/information-and-ads

Интересный zero-day

http://blog.morphisec.com/apple-zero-day-exploited-in-bitpaymer-campaign

Привет! Сорян, немного было не до обновлений, хотя новости на месте не стоят. например, уязвимость в sudo в Linux, позволяющая выполнять команды под root, даже если конфигурация запрещает доступ root
https://www.sudo.ws/alerts/minus_1_uid.html
https://thehackernews.com/2019/10/linux-sudo-run-as-root-flaw.html

уязвимость в компоненте по сбору аналитики на компьютерах HP, с эскалацией прав
https://safebreach.com/Post/HP-Touchpoint-Analytics-DLL-Search-Order-Hijacking-Potential-Abuses-CVE-2019-6333

вредоносное ПО для macOS, маскирующееся под Adobe Flash. Мне кажется, даже если это настоящий Adobe Flash, от него надо бежать как можно дальше
https://blog.confiant.com/osx-shlayer-new-shurprise-unveiling-osx-tarmac-f965a32de887

А в Китае вообще круто. The Washington Post пишет о том, что если поставить приложение Коммунистической Партии Китая на телефон с Android, оно получает права суперпользователя и доступ ко всем пользовательским данным на телефоне. Изначально в статье также шла речь об устройствах на iOS, но потом исправили
https://www.washingtonpost.com/world/asia_pacific/chinese-app-on-xis-ideology-allows-data-access-to-100-million-users-phones-report-says/2019/10/11/2d53bbae-eb4d-11e9-bafb-da248f8d5734_story.html

своего рода хорошие новости из мира информационных опасностей и безопасностей. В даркнете закрыли сайт, распространявший изображения с детской порнографией и сценами насилия над детьми. 8 ТБ данных, 337 человек арестовано, как минимум 23 ребенка вызволено. Информация она разная бывает


https://www.justice.gov/opa/pr/south-korean-national-and-hundreds-others-charged-worldwide-takedown-largest-darknet-child

История про Samsung и сканер отпечатка пальца в Galaxy S10, который можно обмануть, просто наклеив защитную пленку на экран, настолько невероятная, что я пока что не могу в это поверить. Но, судя по тому, что Samsung пообещал выпустить софтверный(!) апдейт для этого, это таки правда. Ультразвук, 3Д контуры, вот это все. Революционная технология!

https://www.bbc.com/news/technology-50080586

С Е К У Р И Т И

кстати про смартфоны и их разблокировку. Google на прошлой неделе анонсировала Pixel 4 с новой системой разблокировки экрана сканированием лица, только вот оказалось, что телефон разблокируется, даже если у пользователя закрыты глаза. Теперь же Гугл заявила, что эту фичу добавят софтверно в ближайшие несколько месяцев

We’ve been working on an option for users to require their eyes to be open to unlock the phone, which will be delivered in a software update in the coming months. In the meantime, if any Pixel 4 users are concerned that someone may take their phone and try to unlock it while their eyes are closed, they can activate a security feature that requires a pin, pattern or password for the next unlock. Pixel 4 face unlock meets the security requirements as a strong biometric, and can be used for payments and app authentication, including banking apps. It is resilient against invalid unlock attempts via other means, like with masks.

как только читаю "умное устройство", сразу думаю "уже взломали и еще нет"? Стоило Ватикану выпустить "умные четки" ($110 долларов!), как сразу же в приложении, к ним прилагающемуся, обнаружили уязвимость, позволяющую получить доступ к данным о зарегистрированном пользователе. Напоминания о молитвах и сами молитвы, приходящие на смартфон в приложение от Папы Римского — это, конечно, хорошо, и наверняка улучшает перспективы на безопасную загробную жизнь. но надо бы и про обычную безопасную жизнь сейчас думать. А если при регистрации отправлять открытым текстом PIN-код для регистрации, то это не очень хорошая практика.

https://www.cnet.com/g00/news/vaticans-wearable-rosary-gets-fix-for-app-flaw-allowing-easy-hacks/

https://twitter.com/fs0c131y

(осторожно с УРЛом, NSFW!) Но сложно пройти мимо новости, в которой рассказывается, что сайт любителей животных (и совсем не в том смысле, в котором вы могли подумать) взломали, а данные пользователей, включая адреса электронной почты, утекли наружу. С учетом того, что подобные предпочтения являются вне закона во многих странах, утечка может принести вполне ощутимые неприятности зарегистрировавшимся там пользователям

https://www.zooville.org/threads/security-incident-and-site-rebuild-september-2019.9/

предположительно подтверждается, что таки китайская группировка APT41 взломала TeamViewer в 2016 году. Считается, что тогда хакеры группировки могли получить доступ к огромному количеству компьютеров, на которых был установлен TeamViewer
https://www.securitynewspaper.com/2019/10/14/fireeye-confirms-that-apt14-group-hacked-teamviewer-attackers-would-have-accessed-billions-of-devices/