оператор VPN-сервиса NordVPN (который у меня давно вызывает отторжение своей рекламой по телевизору с фразами типа "military-grade security"), похоже, был немножко взломан. В марте 2018 года злоумышленники получили доступ к одному из серверов компании в Финляндии путем использования системы удаленного управления серверами, установленной провайдером датацентра. Компания утверждает, что не хранит никаких логов, и ничего не потеряно. Но ситуацию осложняет тот факт, что у компании утекли протухшие приватные ключи, что потенциально могло позволить кому-нибудь создать свой сервер, имитирующий NordVNP.

https://nordvpn.com/blog/official-response-datacenter-breach/
https://twitter.com/hexdefined/status/1186106695073726466?s=21
https://techcrunch.com/2019/10/21/nordvpn-confirms-it-was-hacked/

АПД тред в твиттере с разбором ситуации о NordVPN и почему ответ компании не очень честный
https://twitter.com/chronic/status/1186324353249492993

В далеком 2017 году была такая новость про приложение CCleaner, которое было "улучшено" вредосносным кодом после взлома инфраструктуры компании
https://t.me/alexmakus/1361

Интересно то, что компанию-разработчика CCleaner - Avast - взломали опять, но в этот раз заразить CCleaner не получилось.
https://www.helpnetsecurity.com/2019/10/21/avast-breach-2019/

пользователям Avast, AVG, Avira рекомендуется проапдейтиться для исправления критических уязвимостей
https://the-parallax.com/2019/10/22/safebreach-vulnerabilities-antivirus-avast-avg-avira/

СМИ рассказали о новой утечке данных клиентов Сбербанка. На этот раз в сети оказались данные 11,5 тысячах заёмщиках на миллион строк. Журналисты ознакомились с тестовым фрагментом базы и нашли там полные данные клиентов Сбербанка
https://tjournal.ru/tech/122615-smi-soobshchili-o-novoy-utechke-dannyh-klientov-sberbanka-v-seti-okazalas-baza-o-zaemshchikah-na-million-strok

Любите ли вы “умные” устройства так, как их люблю я?

Мда. Вот эти автоматические кормушки продаются по пять тыщ рублей минимум. Добротный девайс, надо сказать. Работает хорошо.

Сейчас я продолжала изучать их API и случайно получила доступ ко всем кормушкам этой модели в мире. У меня на экране бегают логи со всех существующих кормушек, я вижу данные о вайфай-сетях бедных китайцев, которые купили себе эти устройства. Могу парой кликов неожиданно накормить всех котиков и собачек, а могу наоборот лишить их еды, удалив расписания с устройств. Вижу, сколько у кого в миске корма сейчас лежит.

Не представляю сейчас, что с этим делать, это мой самый успешный (и неожиданный) взлом, так что я немного в ступоре. Не знаю даже, есть ли смысл писать что-то китайцам, денег все равно не дадут, если вообще поймут английский язык.

Данные они везде. И утекают тоже отовсюду

https://www.infosecurity-magazine.com/news/cashback-websites-double-breach/

фигассе утечка (вернее, её метод). у страховой компании Allianz в Нидерландах украли(!) диск(!) с бекапом данных(!) из сейфа(!!!). На диске содержалась информация о 260 тыс клиентах компании, проживающих в Нидерландах, включая имена, адреса, данные об автомобилях и тд. WTF вообще
https://www.security.nl/posting/628900/Verzekeraar+Allianz+informeert+klanten+over+datalek

приложения, которые делают не совсем то, что обещали делать, были обнаружены и вычищены из App Store. Adware, кликающее втихаря по рекламе, маскировалось под интернет-радио, поиск ресторанов и прочие полезные приложения от одного и того же разработчика. как такового вреда пользователям оно не наносило, за исключением пожирания трафика и батарейки, но через процесс ревью приложений Apple все равно прорвалось, так как использовало удаленный метод активации подобных действий. Эпол пообещала предусмотреть подобные хитрости в будущем.

https://www.wandera.com/mobile-security/ios-trojan-malware/

интересно про перехват сообщений в Blackberry Messenger, который считался безопасным. сообщения там шифруются, но они идут через сервер канадской компании, у которой был ключ расшифровки сообщений. и по требованию органов они его выдали для перехвата сообщений между наркоторговцами
https://www.forbes.com/sites/thomasbrewster/2019/10/25/exclusive-blackberry-wiretap-stops-a-cartel-shipping-25-million-in-cocaine-to-america/

Интересная смена тактики у хакеров, которые шифруют данные города: вместо угроз удалить все данные теперь угрожают все данные сделать публичными. Очередная жертва - Йоханнесбург https://www.zdnet.com/article/city-of-johannesburg-held-for-ransom-by-hacker-gang/

какая прелесть. я как-то пропустил на прошлой неделе историю о том, как приложения для Amazon Alexa и Google Home могут подслушивать разговоры пользователей. Разработчики из Security Research Labs разработали skills для Alexa и Google Home Actions, которые прошли проверки у Amazon и Google. Замаскированные под приложения-гороскопы, активирующиеся по ключевым фразам для запуска, приложения не выходили после запуска, и начинали слушать разговоры вокруг устройств производителей. вот не зря умные люди не верят в гороскопы!
https://srlabs.de/bites/smart-spies/

PHP-FPM, уязвимость, исполнение кода, вот это все, как вы любите: в парсинге fastcgi есть бинарный баг, позволяющий изменить FASTCGI переменные. В итоге это приводит к возможности указать опции php.ini — бум, к возможности выполнить код
http://cve.circl.lu/cve/CVE-2019-11043
https://bugs.php.net/bug.php?id=78599
эксплойт https://github.com/neex/phuip-fpizdam

вот так пойдешь делать хорошее дело — давать денег на борьбу с раком, а там в странице платежей сидит скиммер Magecart, ворующий данные карточек
https://sansec.io/labs/2019/10/25/american-cancer-society-magecart/?=october-27-2019

Австралия хочет использовать технологию распознавания лиц для проверки возраста при просмотре порнографии. Что может пойти не так?
https://www.zdnet.com/article/australian-house-committee-to-look-into-age-verification-for-porn/

Помните в фильмах каких-то, где персонажа заманивали в бар, поили чем-то, а потом с бокала снимали его отпечатки и открывали секретные сейфы?

Лаборатория внутри Tencent повторила это, но уже для разблокировки смартфона (причем, обошли все существующие способы считывания отпечатков). Вся процедура заняла 20 минут, а оборудование для взлома стоило 140$ – сначала специальное приложение на телефоне делает фото стекла где есть отпечатки, выдергивает оттуда нужные данные, а потом что-то печатает физический отпечаток который подходит. Помимо 3-х смартфонов, обошли еще 2 классических считывателя отпечатков пальцев.

Отдельно в Tencent отметили, что снять отпечаток с экрана телефона даже проще, чем со стакана.

Хорошая новость в копилку воюющих лагерей FaceID 🆚 Fingerprint

Тут подробнее:
https://www.scmp.com/tech/big-tech/article/3035218/hackers-use-fingerprints-drinking-glass-break-smartphones

сразу несколько новостей в одной. Reuters пишет о том, что WhatsApp был взломан инструментами компании NSO для слежки за высокопоставленными чиновниками, журналистами, активистами по борьбе за права человека и тд.
https://www.reuters.com/article/us-facebook-cyber-whatsapp-nsogroup/exclusive-whatsapp-hacked-to-spy-on-top-government-officials-at-u-s-allies-sources-idUSKBN1XA27H

поэтому WhatsApp и родительская компания Facebook подают иск против NSO по поводу использования программного обеспечения компании для взломов и слежки за этими людьми. Суть в том, что NSO всегда утверждала, что продает свое ПО только государственным разведывательным и правоохранительным органам для борьбы против терроризма и преступников.
https://www.reuters.com/article/us-facebook-cyber-whatsapp-nsogroup/facebook-sues-israels-nso-group-over-alleged-whatsapp-hack-idUSKBN1X82BE

Правда, например, контракт NSO с правительством Ганы не содержит никаких ограничений по использованию продуктов компании для борьбы с терроризмом
https://www.vice.com/en_us/article/bjwayq/nsos-spying-contract-doesnt-limit-use-of-its-hacking-tools-to-terrorism-and-crime

В качестве бонуса — руководство пользователя по применению шпионского ПО NSO Pegasus
https://assets.documentcloud.org/documents/4599753/NSO-Pegasus.pdf

а у Adobe, оказывается, недавно использовали уязвимость для получения доступа к, я так понимаю, staging-среде и там обнаружилась информация на 7,5 млн клиентов компании, включая адреса электронной почты
https://www.comparitech.com/blog/information-security/7-million-adobe-creative-cloud-accounts-exposed-to-the-public/
https://theblog.adobe.com/security-update/

Вы, может, не знаете, а оно вам и не надо, но есть такой чувак в Штатах — Рудольф Джулиани. Он сейчас адвокат Президента США Дональда Трампа, до этого был прокурором южного округа в Нью-Йорке, и мэром этого города, ну и вообще активен сейчас в политической жизни. но я немного о другом. В новостях появилась история про него о том, как он приходил в Apple Store с просьбой разблокировать свой айфон, потому что забыл пароль. смешная часть новости заключается в том, что предполагалось, что Джулиани будет отвечать в США за кибербезопасность и помогать Президенту наводить порядок в этой сфере. (кстати, совсем недавно оказалось, что Джулиани случайно набрал номер журналиста, и на голосовую почту записался разговор с некоторыми пикантными подробностями, компрометирующими Джулиани).
Грустная новость заключается в том, что какого хрена сотрудники магазина Apple, пусть даже бывшие, рассказывают конфиденциальные детали общения с другими клиентами?
https://www.nbcnews.com/news/us-news/rudy-giuliani-needed-apple-genius-help-unlock-his-iphone-after-n1074241

Вредоносное ПО для QNAP NAS. Получив доступ к устройству, это вредоносное ПО внедряет модификации в прошивку устройстве, для обеспечения постоянного присутствия на нем. Кроме этого, ПО может:

▪ вносить изменения в запланированные задачи;
▪ предотвращать обновления прошивки, меняя адреса сервера обновлений;
▪ Блокировать запуск приложения QNAP MalwareRemover;
▪ извлекать логины и пароли пользователей NAS.
помочь может только полный сброс настроек NAS.
https://www.kyberturvallisuuskeskus.fi/en/news/qsnatch-malware-designed-qnap-nas-devices
https://twitter.com/certbund/status/1189890405749460992