уязвимость в WhatsApp, приводившая к RCE в приложении после получения специального MP4-файла. Эксплойта вроде нет, но апдейт не помешает.
https://www.facebook.com/security/advisories/cve-2019-11931
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11931
https://www.facebook.com/security/advisories/cve-2019-11931
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11931
cve.mitre.org
CVE -
CVE-2019-11931
CVE-2019-11931
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
а вот тут новости про новый хак оффшорного банка — Cayman National Bank, в результате которого из банка "уехали" данные на множество клиентов. интересно, что хакер предлагает просто выкупить у него данные за 100 тыс долл
https://unicornriot.ninja/2019/massive-hack-strikes-offshore-cayman-national-bank-and-trust/
https://www.vice.com/en_us/article/ne8p9b/offshore-bank-targeted-phineas-fisher-confirms-hack-cayman-national-bank
https://unicornriot.ninja/2019/massive-hack-strikes-offshore-cayman-national-bank-and-trust/
https://www.vice.com/en_us/article/ne8p9b/offshore-bank-targeted-phineas-fisher-confirms-hack-cayman-national-bank
UNICORN RIOT
Massive Hack Strikes Offshore Cayman National Bank and Trust - UNICORN RIOT
Isle of Man, UK – A blast of sunshine has hit a secretive banking network used by global ultra-wealthy figures following a massive hack by “Phineas Fisher“, a notorious self-described “hacktivist”, of Cayman National Bank and Trust, which serves nearly 1…
Тем временем Huawei запустил bug bounty программу для своих смартфонов, и это возможность для тех, кто может, заработать до 220 тыс долларов путем обнаружения уязвимостей в моделях Mate, P, Nova, Y9 и Honor. Для получения максимального приза нужно продемонстрировать удаленный доступ к устройству без необходимости жертве производить какие-либо действия. Речь идет об уязвимостях в смартфонах с Android, а вот в случае с HarmonyOS пока что такой программы нет. Huawei обещает приглашать в программу самых достойных хакеров
https://www.forbes.com/sites/thomasbrewster/2019/11/18/huawei-beats-google-in-offering-220000-to-hackers-who-find-android-backdoors/
https://www.forbes.com/sites/thomasbrewster/2019/11/18/huawei-beats-google-in-offering-220000-to-hackers-who-find-android-backdoors/
Forbes
Huawei Beats Google—Offers $220,000 For ‘Zero-Click’ Android Phone Hacks
Huawei offers $20,000 more than Google for a hack of its smartphones.
======РЕКЛАМА======
А помните, как недавно 22% представителей служб безопасности заявили, что для защиты компании от утечек им не хватает продвинутых технических систем? Чтобы снизить количество таких заявлений и сделать обмен документами безопасным, ребята из EveryTag разработали виртуальную комнату данных с функцией защиты чувствительной информации от утек - EveryTag VDR
Механизм работы прост и не требует отдельного обучения, так как напоминает принцип работы Google.Drive или Яндекс.Диск. В системе можно работать с любыми форматами документов, устанавливая необходимый уровень доступа к ним. При этом интерфейс адаптируется под любое устройство вне зависимости от местоположения.
Чтобы контролировать документы после их открытия и распечатки, в основе работы VDR лежит запатентованный алгоритм защиты, позволяющий обнаружить виновника утечки по фото, скриншоту или небольшому фрагменту бумажного документа, что другие системы еще не делают.
Алгоритм преобразовывает каждый загруженный в систему документ в новую маркированную копию, с которой в итоге работает пользователь. Изменения визуально незаметны, при этом для одной страницы можно создать почти бесконечно количество уникальный копий. Также в VDR сохраняется информация о том, кто открыл документ, когда и с какого устройства, поэтому все работающие с файлами знают, что в случае утечки, система сможет определить виновника со 100% вероятностью, что минимизирует риски «слива» данных.
Для того, чтобы оценить качество разработки, в течение ноября на сайте EveryTag VDR для всех желающих действует бесплатный текст-драйв системы.
======РЕКЛАМА======
А помните, как недавно 22% представителей служб безопасности заявили, что для защиты компании от утечек им не хватает продвинутых технических систем? Чтобы снизить количество таких заявлений и сделать обмен документами безопасным, ребята из EveryTag разработали виртуальную комнату данных с функцией защиты чувствительной информации от утек - EveryTag VDR
Механизм работы прост и не требует отдельного обучения, так как напоминает принцип работы Google.Drive или Яндекс.Диск. В системе можно работать с любыми форматами документов, устанавливая необходимый уровень доступа к ним. При этом интерфейс адаптируется под любое устройство вне зависимости от местоположения.
Чтобы контролировать документы после их открытия и распечатки, в основе работы VDR лежит запатентованный алгоритм защиты, позволяющий обнаружить виновника утечки по фото, скриншоту или небольшому фрагменту бумажного документа, что другие системы еще не делают.
Алгоритм преобразовывает каждый загруженный в систему документ в новую маркированную копию, с которой в итоге работает пользователь. Изменения визуально незаметны, при этом для одной страницы можно создать почти бесконечно количество уникальный копий. Также в VDR сохраняется информация о том, кто открыл документ, когда и с какого устройства, поэтому все работающие с файлами знают, что в случае утечки, система сможет определить виновника со 100% вероятностью, что минимизирует риски «слива» данных.
Для того, чтобы оценить качество разработки, в течение ноября на сайте EveryTag VDR для всех желающих действует бесплатный текст-драйв системы.
======РЕКЛАМА======
американский ритейлер Macy's рассказал о взломе сайта 7 октября. Злоумышленники смогли установить скиммер Magecart и на протяжении 8 дней, до 15 октября, похищали данные клиентов компании: имя, адрес, номер телефона, адрес электронной почты, данные банковских карт, включая CVV код и дату окончания срока действия
https://www.documentcloud.org/documents/6552530-MACY-S-NOTICE-OF-DATA-BREACH.html
Это второй раз за два года, когда сайт Macy's подвергается взлому. Это один из крупнейших ритейлеров в США, и сайт у них, соотвественно, тоже весьма популярный. Канал писал об этом в прошлом году
https://t.me/alexmakus/2227
https://www.documentcloud.org/documents/6552530-MACY-S-NOTICE-OF-DATA-BREACH.html
Это второй раз за два года, когда сайт Macy's подвергается взлому. Это один из крупнейших ритейлеров в США, и сайт у них, соотвественно, тоже весьма популярный. Канал писал об этом в прошлом году
https://t.me/alexmakus/2227
www.documentcloud.org
MACY'S NOTICE OF DATA BREACH
Ладно, хрен с этим Macy's, тут вот СОТНИ МИЛЛИОНОВ ПОЛЬЗОВАТЕЛЕЙ ANDROID ОПАСНОСТЕ!!! (так, по крайней мере, пишут в СМИ для привлечения кликов). уязвимость CVE-2019-2234, позволяющая злоумышленникам получить контроль над приложениями для камер на устройствах (например, Google Camera, Samsung Camera, и тд), и снимать фото, видео, записывать звуки. Все это может происходить в бэкграунде, без ведома пользователей. Google была проинформирована еще в июле, и тогда же установила высокий приоритет для этой уязвимости. Вендоры были уведомлены о ней в августе. Патч для Google Camera в Google Play выкатили гдето в июле. Теоретически, если у вас все апдейты, волноваться не стоит, но разные ОЕМы могут с разной скоростью выкатывать эти фиксы
https://www.checkmarx.com/blog/how-attackers-could-hijack-your-android-camera
https://sensorstechforum.com/cve-2019-2234-hijacks-samsung-camera-app/
https://www.checkmarx.com/blog/how-attackers-could-hijack-your-android-camera
https://sensorstechforum.com/cve-2019-2234-hijacks-samsung-camera-app/
Checkmarx.com
How Attackers Could Hijack Your Android Camera to Spy on You
Android Camera Hack: How Attackers Spy on You! Discover their tricks & secure your device with Checkmarx tips.
немножко иронии. Сайт криптовалюты Monero был взломан, и пользователям, которые скачивали ПО для кошельков, загружалось вредоносное ПО для воровства кошельков пользователей и последующей передачи средств на сервера хакеров. Молодцы какие, да
Monero Security Warning:
CLI binaries available on getmonero.org may have been compromised at some point during the last 24h. Investigations ongoing.
Always check the integrity of the binaries you download!
If you downloaded binaries in the last 24h, and did not check the integrity of the files, do it immediately. If the hashes do not match, do NOT run what you downloaded. If you have already run them, transfer the funds out of all wallets that you opened with the (probably malicious) executables immediately, using a safe version of the Monero wallet (the one online as we speak is safe -- but check the hashes).
More information: www.reddit.com/r/Monero/comments/dyfozs/security_warning_cli_binaries_available_on/
анализ библиотеки https://bartblaze.blogspot.com/2019/11/monero-project-compromised.html
можно даже скачать эту софтинку (на свой страх и риск!) https://anonfile.com/bbq8h9Bdn7/monero-wallet-cli
Monero Security Warning:
CLI binaries available on getmonero.org may have been compromised at some point during the last 24h. Investigations ongoing.
Always check the integrity of the binaries you download!
If you downloaded binaries in the last 24h, and did not check the integrity of the files, do it immediately. If the hashes do not match, do NOT run what you downloaded. If you have already run them, transfer the funds out of all wallets that you opened with the (probably malicious) executables immediately, using a safe version of the Monero wallet (the one online as we speak is safe -- but check the hashes).
More information: www.reddit.com/r/Monero/comments/dyfozs/security_warning_cli_binaries_available_on/
анализ библиотеки https://bartblaze.blogspot.com/2019/11/monero-project-compromised.html
можно даже скачать эту софтинку (на свой страх и риск!) https://anonfile.com/bbq8h9Bdn7/monero-wallet-cli
Reddit
From the Monero community on Reddit: Security Warning: CLI binaries available on getmonero.org may have been compromised at some…
Explore this post and more from the Monero community
Если сделать поиск по слову WhatsApp в этом канале, вы обнаружите неоднократное упоминание этого мессенджера в новостях опасносте. (впрочем, в этих новостях можно вообще что угодно обнаружить). но вот Павел Дуров, о котором вы, возможно, слышали, борьбу против WhatsApp сделал своим крестовым походом. и в своем посте призывает отказаться от WhatsApp и перейти на Telegram (что не удивительно). Но, может, вам просто будет интересно почитать, что именно Павел имеет сказать по этому поводу
https://t.me/durov/109
https://t.me/durov/109
Telegram
Du Rove's Channel
In May, I predicted that backdoors in WhatsApp would keep getting discovered, and one serious security issue would follow another, as it did in the past [1]. This week a new backdoor was quietly found in WhatsApp [2]. Just like the previous WhatsApp backdoor…
я тут пару дней назад писал о том, как прокуратура в Лос Анжелесе рекомендовала не подключать свои смартфоны куда попало
https://t.me/alexmakus/3140
Теперь еще NYT продолжает хайпить эту тему
https://www.nytimes.com/2019/11/18/technology/personaltech/usb-warning-juice-jacking.html
Осторожность, конечно, не помешает, но важно понимать, что тут очень много именно хайпа и сенсационности, а реальных эксплойтов, так что бы оно было массово рассовано по публичным розеткам - ничего такого нет, и прям избегать их совсем необязательно. Если ваш смартфон показывает какой-нибудь алерт, предлагая доверить или не доверить USB разъёму, просто нажмите кнопку «изыди, демон», и все будет хорошо
https://t.me/alexmakus/3140
Теперь еще NYT продолжает хайпить эту тему
https://www.nytimes.com/2019/11/18/technology/personaltech/usb-warning-juice-jacking.html
Осторожность, конечно, не помешает, но важно понимать, что тут очень много именно хайпа и сенсационности, а реальных эксплойтов, так что бы оно было массово рассовано по публичным розеткам - ничего такого нет, и прям избегать их совсем необязательно. Если ваш смартфон показывает какой-нибудь алерт, предлагая доверить или не доверить USB разъёму, просто нажмите кнопку «изыди, демон», и все будет хорошо
Telegram
Информация опасносте
а в Лос Анжелесе вот рекомендуют не подключать свои телефоны к публичным USB-розетам, потому что там могут встречаться вредоносные приложения. Возите с собой, мол, свои зарядки и свои шнурки, берегите себя
http://da.lacounty.gov/about/inside-LADA/juice-jacking…
http://da.lacounty.gov/about/inside-LADA/juice-jacking…
оператор T-mobile подтвердил взлом систем компании "с доступом к некоторой персональной информации".
https://www.t-mobile.com/customers/6305378822
Правда, никаких дат, ни информации о том, кого это затрагивает, ни сколько пользователей затронуло, ни как это произошло. мастера disclosure, блин.
когда мне прислали эту ссылку, я испытал чувство дежавю, и не зря:
https://t.me/alexmakus/2358
https://www.t-mobile.com/customers/6305378822
Правда, никаких дат, ни информации о том, кого это затрагивает, ни сколько пользователей затронуло, ни как это произошло. мастера disclosure, блин.
когда мне прислали эту ссылку, я испытал чувство дежавю, и не зря:
https://t.me/alexmakus/2358
Telegram
Информация опасносте
на прошлой неделе я писал о том, что мобильный оператор T-Mobile сообщил о взломе их системы, что привело к утечке пользовательских данных 2 миллионов человек. В первоначальном сообщении говорилось, что злоумышленники не получили доступа к паролям пользователей…
Разработчики, обновляйте сторонние компоненты в своих приложениях, не будьте как Facebook!
"Эксперты компании Check Point обнаружили, что многие популярные приложения из Google Play Store, включая Facebook, Instagram и WeChat, по-прежнему уязвимы перед старыми проблемами. Дело в том, что разработчики зачастую не обновляют сторонние компоненты своих продуктов.
Исследователи Check Point Research провели перекрестный анализ последних версий популярнейших приложений на наличие трех известных RCE-уязвимостей (удаленное выполнение кода), датированных 2014, 2015 и 2016 годами. Все эти баги были выявлены в широко используемых сторонних библиотеках, и давно исправлены. Проблема заключается в том, что разработчики часто используют в работе фрагменты опенсорсных проектов и опенсорсные решения, однако потом не утруждают себя их регулярным обновлением."
https://research.checkpoint.com/2019/long-known-vulnerabilities-in-high-profile-android-applications/
https://xakep.ru/2019/11/22/android-apps-problems/
"Эксперты компании Check Point обнаружили, что многие популярные приложения из Google Play Store, включая Facebook, Instagram и WeChat, по-прежнему уязвимы перед старыми проблемами. Дело в том, что разработчики зачастую не обновляют сторонние компоненты своих продуктов.
Исследователи Check Point Research провели перекрестный анализ последних версий популярнейших приложений на наличие трех известных RCE-уязвимостей (удаленное выполнение кода), датированных 2014, 2015 и 2016 годами. Все эти баги были выявлены в широко используемых сторонних библиотеках, и давно исправлены. Проблема заключается в том, что разработчики часто используют в работе фрагменты опенсорсных проектов и опенсорсные решения, однако потом не утруждают себя их регулярным обновлением."
https://research.checkpoint.com/2019/long-known-vulnerabilities-in-high-profile-android-applications/
https://xakep.ru/2019/11/22/android-apps-problems/
Check Point Research
Long-known Vulnerabilities in High-Profile Android Applications - Check Point Research
Research by: Slava Makkaveev Introduction Most mobile users understandably worry about known vulnerabilities in the core operating system of their devices, which can give an attacker complete control over their mobile phones, and about zero-day vulnerabilities…
Google поднимает ставки в bug bounty программе. за persistent RCE на устройствах с чипом Titan M Google обещает до 1,5 млн долларов.
https://security.googleblog.com/2019/11/expanding-android-security-rewards.html
https://security.googleblog.com/2019/11/expanding-android-security-rewards.html
Google Online Security Blog
Expanding the Android Security Rewards Program
Posted by Jessica Lin, Android Security Team The Android Security Rewards (ASR) program was created in 2015 to reward researchers who fi...
каждый раз, подавая свои данные куда-то там онлайн, помните, что компании на той стороне, скорей всего, наплевать на вашу информацию, её безопасность и сохранность. Как минимум, лучше исходить из таких предпосылок. VistaPrint, популярный сервис печати визиток, открыток и проч, держала в открытом доступе информацию на 51 тыс своих клиентов, включая имена, адреса и проч
https://twitter.com/olihough86/status/1197462053516173312
https://techcrunch.com/2019/11/25/vistaprint-security-lapse/
https://twitter.com/olihough86/status/1197462053516173312
https://techcrunch.com/2019/11/25/vistaprint-security-lapse/
Twitter
Oliver Hough
Hey @Vistaprint do you have a bug bounty program? or a security contact I can talk to. Got something here that your security team will want to look at ASAP my DM's are open
впрочем, ладно визитки. тут вот миллиарды рентген-снимков и прочие КТ-МРТ валяются где попало
https://www.helpnetsecurity.com/2019/11/20/confidential-medical-images/
https://www.helpnetsecurity.com/2019/11/20/confidential-medical-images/
Help Net Security
1.19 billion confidential medical images available on the internet - Help Net Security
1.19 billion confidential medical images are now freely available on the internet, according to the Greenbone's research in to the security of PACS servers.
4 млрд аккаунтов, 4ТБ данных на 1,2 млрд человек, и все это на открытом Elasticsearch сервере в интернете. Имена, имейлы, аккаунты в ФБ, Линкдин, и проч. Агрегаторы данных такие агрегаторы (чуваки, которые, получив какой-то кусок информации на пользователя, постепенно дополняют его данными из других источников).
https://www.dataviper.io/blog/2019/pdl-data-exposure-billion-people/
https://www.dataviper.io/blog/2019/pdl-data-exposure-billion-people/
Night Lion Security
Ransomware Negotiation & Dark Web Investigation Services | Night Lion
Leaders in dark web threat intelligence research, ransomware and extortion negotiation, digital investigations, security assessments
но не все новости о взломах — действительно о взломах. Меня уже несколько раз пинговали о "взломе" Disney+ — популярного стримингового сервиса, который компания Disney запустила в ноябре. там суть заключалась в том, что сразу после старта сервиса в интернете появились данные об аккаунтах пользователей, которые можно было купить. Но, похоже, взлома как такового не было, а речь идет о credentials stuffing — подборе уже имеющихся комбинаций логинов и паролей на базе других утечек. Не будьте как они, используйте уникальные пароли!
Forwarded from Denis Sexy IT 🤖
Вы наверное помните, у Китая довольно большие проблему с Уйгурами — Китай всячески их притесняет, не так давно стало известно, что существуют «лагеря задержания», а регион где все это происходит оснащен максимальным количеством всевозможных устройств сбора данных.
На той неделе по цепи уйгуров в сеть утекла информация (CNN, BBC) для внутреннего пользования полиции Синьцзяна от 2017 года. В том числе секретные брифинги, которые показывают, как эта полиция получает приказы от огромного «кибернетического мозга», известного как IJOP, который помечает целые категории людей для расследования и задержания.
Утечка документов включает в себя:
• Руководство по эксплуатации для администрации лагерей задержания.
• Четыре коротких брифинга на китайском языке, известные как «бюллетени», в которых даются рекомендации по ежедневному использованию «Интегрированной платформы совместных операций» (IJOP), инструменты массового наблюдения и прогностической полицейской деятельности, которая анализирует данные из Синьцзяна.
В документах буквально идет речь о том, что некий алгоритм внутри IJOP, обученный на огромном количестве данных (от группы крови до показателей счетчиков электричества, IJOP приложения для полиции, в документе перечислены очень много параметров), способен решать, как задерживать и реагировать на потенциальных преступников, до факта преступления — это принято называть «предиктивная полицейская деятельность».
Например, в «Бюллетене № 14» содержится инструкция о том, как проводить массовые расследования и задержания после того, как IJOP сформировал длинный список подозреваемых. В документе сказано, что за 17 дней в июне 2017 года полицейские задержали 15 683 жителей Синьцзяна, помеченных IJOP, и поместили их в лагеря для интернированных
Это все выглядит как какой-то фильм или книга, где алгоритм решает как жить людям, но я склонен верить, что скорее всего так и есть, утечка подверждена множеством экспертов, включая лингвистический анализ. Страшно подумать, как за 3 года IJOP поумнел.
Правительство Китая утверждает, что все эти документы — фейк.
Весь лонгрид на тему слитых документов можно почитать тут.
На той неделе по цепи уйгуров в сеть утекла информация (CNN, BBC) для внутреннего пользования полиции Синьцзяна от 2017 года. В том числе секретные брифинги, которые показывают, как эта полиция получает приказы от огромного «кибернетического мозга», известного как IJOP, который помечает целые категории людей для расследования и задержания.
Утечка документов включает в себя:
• Руководство по эксплуатации для администрации лагерей задержания.
• Четыре коротких брифинга на китайском языке, известные как «бюллетени», в которых даются рекомендации по ежедневному использованию «Интегрированной платформы совместных операций» (IJOP), инструменты массового наблюдения и прогностической полицейской деятельности, которая анализирует данные из Синьцзяна.
В документах буквально идет речь о том, что некий алгоритм внутри IJOP, обученный на огромном количестве данных (от группы крови до показателей счетчиков электричества, IJOP приложения для полиции, в документе перечислены очень много параметров), способен решать, как задерживать и реагировать на потенциальных преступников, до факта преступления — это принято называть «предиктивная полицейская деятельность».
Например, в «Бюллетене № 14» содержится инструкция о том, как проводить массовые расследования и задержания после того, как IJOP сформировал длинный список подозреваемых. В документе сказано, что за 17 дней в июне 2017 года полицейские задержали 15 683 жителей Синьцзяна, помеченных IJOP, и поместили их в лагеря для интернированных
Это все выглядит как какой-то фильм или книга, где алгоритм решает как жить людям, но я склонен верить, что скорее всего так и есть, утечка подверждена множеством экспертов, включая лингвистический анализ. Страшно подумать, как за 3 года IJOP поумнел.
Правительство Китая утверждает, что все эти документы — фейк.
Весь лонгрид на тему слитых документов можно почитать тут.
я тут пару дней назад писал про очередной Elasticsearch сервер, пойманный с спущенными штанами (в смысле, с открытым доступом). почему это не последний раз, когда такое происходит:
• Total Elasticsearch Servers Open To Public: 299,540
• Total Open Elasticsearch Servers With Data: 57,296
• Total Size Of Publicly Accessible Data: 462 TB
• Total Document Count Of Publicly Accessible Data: 621,362,063,812
https://blog.dehashed.com/the-state-of-internet-security-in-2019/
• Total Elasticsearch Servers Open To Public: 299,540
• Total Open Elasticsearch Servers With Data: 57,296
• Total Size Of Publicly Accessible Data: 462 TB
• Total Document Count Of Publicly Accessible Data: 621,362,063,812
https://blog.dehashed.com/the-state-of-internet-security-in-2019/