Утечка данных в популярном сервисе Mixcloud, куда диджеи заливают свои миксы, а пользователи потом могут стримить их для прослушивания. Интересно, что компания сама не была в курсе взлома, пока пользовательские данные не оказались в даркнете на продажу. 21 миллион пользовательских аккаунтов, включая логины, имейл и хешированные пароли, всего за полбиткойна. Компания расследует, что же именно случилось
https://blog.mixcloud.com/2019/11/30/mixcloud-security-notice/?=mixcloud-statement
https://blog.mixcloud.com/2019/11/30/mixcloud-security-notice/?=mixcloud-statement
тут пишут про какието ужасы в андроидных телефонах, когда вредоносное ПО, маскирующееся под легитимные приложения, могут работать на полностью пропатченном андроиде и подслушивать микрофон, снимать фото, записывать телефонные разговоры и тд. Проблема в первую очередь заключается в том, что в рамках функциональности многозадачности вредоносные приложения могут рисовать свой контент поверх легитимных приложений, и прикидываться ими. А приложения, эту уязвимость использующие, уже были в Google Play, и после информирования, Google их выпилила. Сами вредоносные приложения в GP не водятся, но могут быть подгружены на телефон какими-то приложениями, которые доступны в GP. Уязвимость пока не исправлена Google
https://promon.co/security-news/strandhogg/
https://promon.co/security-news/strandhogg/
Promon
StrandHogg 2.0 - New serious Android vulnerability
Promon researchers have discovered a new elevation of privilege vulnerability in Android that allows hackers to gain access to almost all apps.
Такие дни, что некогда объяснять!
1. похоже, что айфон отсылает (НЕ ОТСЫЛАЕТ, а собирает в устройстве) в Apple некоторую информацию о местоположении ближайших баз WiFi и станций мобильной связи, даже если выключить это в настройках. Этим занимается системный сервис, отправляет данные в анонимном и зашифрованном виде, поэтому Эпол считает, что "это норма", но осадочек же остается
https://krebsonsecurity.com/2019/12/the-iphone-11-pros-location-data-puzzler/
в качестве бонуса — страница Apple о конфиденциальности
https://www.apple.com/ru/privacy/
1. похоже, что айфон отсылает (НЕ ОТСЫЛАЕТ, а собирает в устройстве) в Apple некоторую информацию о местоположении ближайших баз WiFi и станций мобильной связи, даже если выключить это в настройках. Этим занимается системный сервис, отправляет данные в анонимном и зашифрованном виде, поэтому Эпол считает, что "это норма", но осадочек же остается
https://krebsonsecurity.com/2019/12/the-iphone-11-pros-location-data-puzzler/
в качестве бонуса — страница Apple о конфиденциальности
https://www.apple.com/ru/privacy/
Apple
Официальная служба поддержки Apple
Служба поддержки Apple всегда готова прийти на помощь. Узнайте больше о популярных темах и найдите ресурсы, посвященные любым продуктам Apple.
Безопасность СмартТВ — дело важное, даже ФБР рассказывает, что нужно делать по этому поводу и как обезопаситься от этого гаджета, и встроенных в телевизоры микрофонов, камер и проч.
https://www.fbi.gov/contact-us/field-offices/portland/news/press-releases/tech-tuesdaysmart-tvs/layout_view
https://www.fbi.gov/contact-us/field-offices/portland/news/press-releases/tech-tuesdaysmart-tvs/layout_view
www.fbi.gov
Oregon FBI Tech Tuesday: Securing Smart TVs — FBI
In this week's FBI Tech Tuesday segment, we look at ways to protect your smart TV from being accessed by bad cyber actors.
И опять ФБР! Помните приложение FaceApp, результаты "состаревания" на фото из которого все постили пару месяцев назад? ФБР назвала это приложение потенциальной разведывательной угрозой для безопасности, во как. а все в связи с тем, как и какую информацию собирает сервис, и кто может иметь к этой информации доступ. такие дела
https://www.nydailynews.com/news/politics/ny-fbi-faceapp-counterintelligence-threat-russia-elections-20191202-t2kyyceuuzgzbhjoo5njx5vxnm-story.html
https://www.nydailynews.com/news/politics/ny-fbi-faceapp-counterintelligence-threat-russia-elections-20191202-t2kyyceuuzgzbhjoo5njx5vxnm-story.html
Ломай банки, живи красиво - история русских (каких же еще!) хакеров
https://www.nationalcrimeagency.gov.uk/news/international-law-enforcement-operation-exposes-the-world-s-most-harmful-cyber-crime-group
https://www.vice.com/en_us/article/mbmmgx/uk-government-releases-photos-of-russian-hackers-whose-lives-look-awesome
https://www.nationalcrimeagency.gov.uk/news/international-law-enforcement-operation-exposes-the-world-s-most-harmful-cyber-crime-group
https://www.vice.com/en_us/article/mbmmgx/uk-government-releases-photos-of-russian-hackers-whose-lives-look-awesome
Интересный ответ Apple на вчерашнюю историю про геолокацию в айфонах, даже если пытаться её отключить. Там, напомню, выяснилось, что в iOS есть некий системный сервис, который опрашивает информацию о местоположении, даже если это отключить для всех приложений и системных сервисов.
https://t.me/alexmakus/3166
“Ultra wideband technology is an industry standard technology and is subject to international regulatory requirements that require it to be turned off in certain locations. iOS uses Location Services to help determine if iPhone is in these prohibited locations in order to disable ultra wideband and comply with regulations. The management of ultra wideband compliance and its use of location data is done entirely on the device and Apple is not collecting user location data."
То есть информация а) никуда не передается, б) все работает в рамках стандарта UWB, который требует блокировки технологии UWB в определенных местах. Apple пообещала также добавить возможность отключения этой фичи в будущих апдейтах iOS, но, я так понимаю, в таком случае будет отключаться вся поддержка UWB. Apple могла бы избежать всего этого скандала, если бы сразу ответила нормально на вопрос "зачем", когда только появилась информация о запросе геолокации при отключенных настройках.
Сам чип для UWB появился в iPhone 11 в этом году, и его точное предназначение пока что не раскрывается. Предполагается, что Apple планирует запустить сервис по обнаружению предметов с метками, и это может быть чип для этого. Также, возможно, в будущем метки и прочее может быть использовано для дополненной реальности на базе айфонов.
https://techcrunch.com/2019/12/05/apple-ultra-wideband-newer-iphones-location/
https://t.me/alexmakus/3166
“Ultra wideband technology is an industry standard technology and is subject to international regulatory requirements that require it to be turned off in certain locations. iOS uses Location Services to help determine if iPhone is in these prohibited locations in order to disable ultra wideband and comply with regulations. The management of ultra wideband compliance and its use of location data is done entirely on the device and Apple is not collecting user location data."
То есть информация а) никуда не передается, б) все работает в рамках стандарта UWB, который требует блокировки технологии UWB в определенных местах. Apple пообещала также добавить возможность отключения этой фичи в будущих апдейтах iOS, но, я так понимаю, в таком случае будет отключаться вся поддержка UWB. Apple могла бы избежать всего этого скандала, если бы сразу ответила нормально на вопрос "зачем", когда только появилась информация о запросе геолокации при отключенных настройках.
Сам чип для UWB появился в iPhone 11 в этом году, и его точное предназначение пока что не раскрывается. Предполагается, что Apple планирует запустить сервис по обнаружению предметов с метками, и это может быть чип для этого. Также, возможно, в будущем метки и прочее может быть использовано для дополненной реальности на базе айфонов.
https://techcrunch.com/2019/12/05/apple-ultra-wideband-newer-iphones-location/
Telegram
Информация опасносте
Такие дни, что некогда объяснять!
1. похоже, что айфон отсылает (НЕ ОТСЫЛАЕТ, а собирает в устройстве) в Apple некоторую информацию о местоположении ближайших баз WiFi и станций мобильной связи, даже если выключить это в настройках. Этим занимается системный…
1. похоже, что айфон отсылает (НЕ ОТСЫЛАЕТ, а собирает в устройстве) в Apple некоторую информацию о местоположении ближайших баз WiFi и станций мобильной связи, даже если выключить это в настройках. Этим занимается системный…
Про смарт-ТВ и то, как они собирают информацию о пользователях, я писал тут неоднократно. Вот из последнего предупреждения ФБР об этом
https://t.me/alexmakus/3167
или открытое признание технического директора одной из компаний, производящих телевизоры, что это их способ снизить цены на телевизоры — собирать и продавать данные пользователей
https://t.me/alexmakus/2589
или замечательная история многих других производителей
https://t.me/alexmakus/2218
Так и материал на Хабре, присланный читателем, написан по материалам The Washington Post (https://www.washingtonpost.com/technology/2019/09/18/you-watch-tv-your-tv-watches-back/) и другим источникам о том, как смарт-ТВ анализируют контент на телевизоре и собирают информацию для последующего таргетинга рекламой и прочих улучшений экспириенса. Ваши данные нужны всем.
https://habr.com/ru/post/479022/
PS интернет смарт-телевизору ни к чему
https://t.me/alexmakus/3167
или открытое признание технического директора одной из компаний, производящих телевизоры, что это их способ снизить цены на телевизоры — собирать и продавать данные пользователей
https://t.me/alexmakus/2589
или замечательная история многих других производителей
https://t.me/alexmakus/2218
Так и материал на Хабре, присланный читателем, написан по материалам The Washington Post (https://www.washingtonpost.com/technology/2019/09/18/you-watch-tv-your-tv-watches-back/) и другим источникам о том, как смарт-ТВ анализируют контент на телевизоре и собирают информацию для последующего таргетинга рекламой и прочих улучшений экспириенса. Ваши данные нужны всем.
https://habr.com/ru/post/479022/
PS интернет смарт-телевизору ни к чему
Telegram
Информация опасносте
Безопасность СмартТВ — дело важное, даже ФБР рассказывает, что нужно делать по этому поводу и как обезопаситься от этого гаджета, и встроенных в телевизоры микрофонов, камер и проч.
https://www.fbi.gov/contact-us/field-offices/portland/news/press-releases/tech…
https://www.fbi.gov/contact-us/field-offices/portland/news/press-releases/tech…
йе, Мак-пользователи могут гордиться тем, что Северная Корея не забывает о них. Бесфайловое (ну почти) заражение с исполнением в памяти, без сохранения на диск — демон, живущий памяти, исполняемый под root, и выживающий после рестартов, а потом загружающий с сервера код для исполнения. Авторство указывает на группу Lazarus, которая считается северокорейской группировкой. Вирус маскируется под приложение для торговли криптовалютой, да и обычному пользователю особо опасаться нечего — Макос предупредит о неподписанном ПО. Подозреваю, что все это делается для воровства криптовалют. Хотя сам факт прогресса таких вирусов под Маком — это интересно.
подробный отчет по ссылке
https://objective-see.com/blog/blog_0x51.html
подробный отчет по ссылке
https://objective-see.com/blog/blog_0x51.html
objective-see.org
Lazarus Group Goes 'Fileless'
an implant w/ remote download & in-memory execution
Тоже интересный материал по анализу сервиса TikTok и сайта компании. Бесконечная слежка за пользователями и их действиями, фингерпринтинг устройств, использование ПО без надлежащей лицензии, хранение данных неизвестно где. Хороший сервис, не зря его в Штатах пытаются расследовать в рамках угрозы национальной безопасности
https://rufposten.de/blog/2019/12/05/privacy-analysis-of-tiktoks-app-and-website/
https://rufposten.de/blog/2019/12/05/privacy-analysis-of-tiktoks-app-and-website/
rufposten.de
Privacy Analysis of Tiktok’s App and Website
I did a detailed privacy check of the app TikTok and its corresponding website. Multiple law infringements, trust, transparency and data protection breaches were found.I provide all technical an
кстати, о пользовательских данных. Avast, разработчик антивирусных решений, собирает информацию о пользователях и поведении в браузерах для последующей продажи. Они утверждают, что вся информация анонимизирована и не может быть прослежена до индивидуального пользователя. Анонимизацией и продажей занимается компания Jumpshot, которая рекламирует свои услуги как доступ к информации о поведении 100 млн человек, с возможностью просмотра взаимодействий с брендами, продуктами. И сортировкой по категориям, странам и доменам.
https://www.forbes.com/sites/thomasbrewster/2019/12/09/are-you-one-of-avasts-400-million-users-this-is-why-it-collects-and-sells-your-web-habits/
Более того, сам факт такого сбора и продажи информации особо не афишировался. не зря Мозилла тут, как пару дней назад присылал мне читатель, выперла из их своего каталога расширений. Дело за Google.
https://xakep.ru/2019/12/04/avast-vs-mozilla/
https://www.forbes.com/sites/thomasbrewster/2019/12/09/are-you-one-of-avasts-400-million-users-this-is-why-it-collects-and-sells-your-web-habits/
Более того, сам факт такого сбора и продажи информации особо не афишировался. не зря Мозилла тут, как пару дней назад присылал мне читатель, выперла из их своего каталога расширений. Дело за Google.
https://xakep.ru/2019/12/04/avast-vs-mozilla/
Forbes
Are You One Of Avast’s 400 Million Users? This Is Why It Collects And Sells Your Web Habits.
Avast sells user data but says there's no privacy risk, according to the newly appointed CEO.
Microsoft тут пишет, что среди пользователей Azure AD и Microsoft Services Accounts 44 миллиона пользователей повторно используют комбинации логинов и паролей. Не будьте как эти 44 миллиона пользователей!
https://www.microsoft.com/securityinsights/identity
ну и вообще интересный отчет о трендах в мире киберсека
https://www.microsoft.com/en-us/security/operations/security-intelligence-report
https://www.microsoft.com/securityinsights/identity
ну и вообще интересный отчет о трендах в мире киберсека
https://www.microsoft.com/en-us/security/operations/security-intelligence-report
Microsoft
Get the latest Microsoft Security Intelligence Report
Learn about the latest threats and cybersecurity trends to pay attention to from our research. Get recommendations to protect your organization.
https://plundervolt.com — еще одна атака на процессоры Intel, но к этому моменту кого это уже волнует
PoC будет тут https://github.com/KitMurdock/plundervolt
PoC будет тут https://github.com/KitMurdock/plundervolt
GitHub
GitHub - KitMurdock/plundervolt
Contribute to KitMurdock/plundervolt development by creating an account on GitHub.
Если вам кажется, что в мире происходят сплошные взломы, утечки и хакерские атаки, то вам не кажется. Вот список худших инцидентов в 2019 году, и там все плохо. А будет ещё хуже.
https://www.zdnet.com/article/these-are-the-worst-hacks-cyberattacks-and-data-breaches-of-2019/
https://www.zdnet.com/article/these-are-the-worst-hacks-cyberattacks-and-data-breaches-of-2019/
ZDNET
These are the worst hacks, cyberattacks, and data breaches of 2019
A slew of hacks, data breaches, and attacks tainted the cybersecurity landscape in 2019.
Котаны, тут такое дело. Если вы в Штатах (список поддерживаемых стран в комментарии) и у вас пока нет хардварных ключей безопасности, то вам крупно повезло
https://store.google.com/config/titan_security_key
С кодом B-TITAN35OFF можно получить скидку 35 долларов и купить набор ключиков, например. Не реклама, когда код перестанет действовать - не знаю, enjoy while it lasts! Я вот себе по случаю usb-c ключик прикупил. Несите добро!
АПД пишут, что уже закончились ключики.
https://store.google.com/config/titan_security_key
С кодом B-TITAN35OFF можно получить скидку 35 долларов и купить набор ключиков, например. Не реклама, когда код перестанет действовать - не знаю, enjoy while it lasts! Я вот себе по случаю usb-c ключик прикупил. Несите добро!
АПД пишут, что уже закончились ключики.
Владельцам айфонов будет полезно узнать, что:
а) вчера выкатили апдейт iOS 13.3, в котором исправили баг в AirDrop. Эксплуатация бага (когда можно было слать на устройство неограниченное количество файлов) приводила, по сути к блокировке работы на устройстве, куда слались файлы). Поскольку информация о баге теперь известна, то шутники могут взять его на вооружение, так что лучше поставить апдейтик (ну или убегать из радиуса действия такого шутника)
https://techcrunch.com/2019/12/10/ios-airdrop-lock-up-iphones/
б) различных уязвимостей в новом апдейте исправили приличное количество
https://support.apple.com/en-nz/HT210785
в) в этом релизе также добавили полноценную поддержку аппаратных ключей безопасности в Safari (вот таких, что у Гугл была распродажа вчера, кстати). теперь есть нативная поддержка USB-C и NFC-ключей на уровне системы
короче, нет повода не обновиться.
а) вчера выкатили апдейт iOS 13.3, в котором исправили баг в AirDrop. Эксплуатация бага (когда можно было слать на устройство неограниченное количество файлов) приводила, по сути к блокировке работы на устройстве, куда слались файлы). Поскольку информация о баге теперь известна, то шутники могут взять его на вооружение, так что лучше поставить апдейтик (ну или убегать из радиуса действия такого шутника)
https://techcrunch.com/2019/12/10/ios-airdrop-lock-up-iphones/
б) различных уязвимостей в новом апдейте исправили приличное количество
https://support.apple.com/en-nz/HT210785
в) в этом релизе также добавили полноценную поддержку аппаратных ключей безопасности в Safari (вот таких, что у Гугл была распродажа вчера, кстати). теперь есть нативная поддержка USB-C и NFC-ключей на уровне системы
короче, нет повода не обновиться.
TechCrunch
An iOS bug in AirDrop let anyone temporarily lock-up nearby iPhones
Apple fixed the bug in iOS 13.3.
интересное расследование Медузы об участниках группировки EvilCorp
https://meduza.io/feature/2019/12/11/ruchnye-hakery-ekstravagantnye-millionery
о них я писал тут
https://t.me/alexmakus/3169
https://meduza.io/feature/2019/12/11/ruchnye-hakery-ekstravagantnye-millionery
о них я писал тут
https://t.me/alexmakus/3169
Meduza
Ручные хакеры, экстравагантные миллионеры
5 декабря США выдвинули официальные обвинения против российской хакерской группировки Evil Corp. Ее называют «самой вредоносной в мире»: ущерб от атак Evil Corp против банков оценивается в сотни миллионов долларов. Организатором группировки американский Минюст…
камеры Ring (компания принадлежит Amazon) в этом канале фигурируют, наверно, не реже, чем Фейсбук со всеми своими факапами. В основном по поводу того, как они дружат с полицией, и предоставляют без каких либо ордеров возможность полиции просматривать видео с камер, причем без уведомления владельцев камер. А была еще история про то, как сотрудники компании (с офисом в Украине) просматривали видео и идентифицировали объекты на видео. Но тут сразу две новости, и обе прекрасны сами по себе:
- журналисты Gizmodo смогли собрать довольно большую базу локаций установленных камер на основании анализа трафика приложения Neighbors, которое используется владельцами камер. Неплохую систему видеонаблюдения построил Амазон. И это только малая часть этих камер.
https://gizmodo.com/ring-s-hidden-data-let-us-map-amazons-sprawling-home-su-1840312279
Но дальше веселее. В Теннесси семейство рассказало, как злоумышленники получили доступ к камере, установленной в комнате их дочерей, и даже разговаривал с одной из них через спикеры-микрофон устройства. Разумеется, виноваты пользователи, не установившие себе 2ФА на аккаунт с камерой. но злоумышленники тоже не дремлют. Они уже распространяют ПО для ускорения перебора камер и наборов логинов-паролей как раз для поиска таких камер.
https://www.wmcactionnews5.com/2019/12/11/family-says-hackers-accessed-ring-camera-their-year-old-daughters-room/
https://www.vice.com/en_us/article/3a88k5/how-hackers-are-breaking-into-ring-cameras
Меня часто спрашивают, почитав канал: "вот ты пишешь про ужасы. а че делать? как защищаться?" Ставить камеру домой (особенно в детскую комнату или в спальню), с подключением к интернету — это по умолчанию искать приключений. Вот, например, один из механизмов минимизации рисков — никаких камер. никакого интернета. никакого электричества 🙂 Ну или хотя бы хороший пароль и 2ФА для таких вещей, а то вы не хотите оказаться на Ютюбе или даже Порнхабе.
- журналисты Gizmodo смогли собрать довольно большую базу локаций установленных камер на основании анализа трафика приложения Neighbors, которое используется владельцами камер. Неплохую систему видеонаблюдения построил Амазон. И это только малая часть этих камер.
https://gizmodo.com/ring-s-hidden-data-let-us-map-amazons-sprawling-home-su-1840312279
Но дальше веселее. В Теннесси семейство рассказало, как злоумышленники получили доступ к камере, установленной в комнате их дочерей, и даже разговаривал с одной из них через спикеры-микрофон устройства. Разумеется, виноваты пользователи, не установившие себе 2ФА на аккаунт с камерой. но злоумышленники тоже не дремлют. Они уже распространяют ПО для ускорения перебора камер и наборов логинов-паролей как раз для поиска таких камер.
https://www.wmcactionnews5.com/2019/12/11/family-says-hackers-accessed-ring-camera-their-year-old-daughters-room/
https://www.vice.com/en_us/article/3a88k5/how-hackers-are-breaking-into-ring-cameras
Меня часто спрашивают, почитав канал: "вот ты пишешь про ужасы. а че делать? как защищаться?" Ставить камеру домой (особенно в детскую комнату или в спальню), с подключением к интернету — это по умолчанию искать приключений. Вот, например, один из механизмов минимизации рисков — никаких камер. никакого интернета. никакого электричества 🙂 Ну или хотя бы хороший пароль и 2ФА для таких вещей, а то вы не хотите оказаться на Ютюбе или даже Порнхабе.
Gizmodo
Ring’s Hidden Data Let Us Map Amazon's Sprawling Home Surveillance Network
As reporters raced this summer to bring new details of Ring’s law enforcement contracts to light, the home security company, acquired last year by Amazon for a whopping $1 billion, strove to underscore the privacy it had pledged to provide users.
Ладно, кроме того, чтобы пугать вас всевозможными и постоянными утечками, хочу поделиться очень полезной ссылкой. Все мы регистрируем массу аккаунтов то там, то сям. Этот хвост аккаунтов тянется за нами очень долго, и часто особо даже руки не доходят до того, чтобы их удалять. так вот, есть очень удобная страничка, на которой размещен большой список различных онлайн-сервисов. Там же сразу есть:
- либо ссылка на страницу по удалению аккаунта
- либо же инструкции, как этот аккаунт удалить.
рано или поздно, чтото из этого может пригодиться. добавьте в закладки
https://backgroundchecks.org/justdeleteme/
- либо ссылка на страницу по удалению аккаунта
- либо же инструкции, как этот аккаунт удалить.
рано или поздно, чтото из этого может пригодиться. добавьте в закладки
https://backgroundchecks.org/justdeleteme/