фишинг в Телеграме. Надо отдать должное самому ТГ, сообщение пришло в 9.51, а в 9.59 аккаунт уже был отмечен как удаленный. Но я что хочу сказать. Фишеры - ленивые мудаки, даже английский текст нормально не смогли написать, эту белиберду с кучей ошибок должно быть стыдно распространять.
Кстати, раз уж ТГ удаляет отправителей, то такие сообщения тоже надо бы удалять, отмечая их как спам
Кстати, раз уж ТГ удаляет отправителей, то такие сообщения тоже надо бы удалять, отмечая их как спам
По наводке читателя история про "умные" замки, которые можно вскрыть благодаря уязвимости, которую нельзя исправить. Потому что (сюрприз!) обмен ключами шифруется с использованием MAC-адреса устройства. Заходи кто хочешь, бери что хочешь!
https://labs.f-secure.com/blog/digital-lockpicking-stealing-keys-to-the-kingdom
https://xakep.ru/2019/12/13/keywe/
https://labs.f-secure.com/blog/digital-lockpicking-stealing-keys-to-the-kingdom
https://xakep.ru/2019/12/13/keywe/
Воры украли(!) незашифрованные(!) диски с банковскими(!) данными 29 тысяч сотрудников Фейсбука (зарплаты, бонусы, частная финансовая информация). При этом сотрудник зарплатного отдела, потащивший с собой в машине эти диски, вроде как даже не имел права этого делать (wtf вообще)
https://www.bloomberg.com/news/articles/2019-12-13/thief-stole-payroll-data-for-thousands-of-facebook-employees
https://www.bloomberg.com/news/articles/2019-12-13/thief-stole-payroll-data-for-thousands-of-facebook-employees
Bloomberg.com
Thief Stole Payroll Data for Thousands of Facebook Employees
Personal banking information for tens of thousands of Facebook Inc. workers in the U.S. was compromised last month when a thief stole several corporate hard drives from an employee’s car.
ведя этот канал уже несколько лет, какое-то время назад начал испытывать сильнейшее чувство дежавю. мне все время кажется, что "об этой проблеме я уже писал". а они все повторяются и повторяются, вот как, например, история с ключами выше. А вот снова про детские "умные" часы, которые оказываются не такими умными. Марки, доступные на Амазон — GreaSmart, Jsbaby и Smarturtle — предназначены для мониторинга детей. Все они идентичны аппаратно и программно, ошибка для всех часов общая: как минимум, часы умеют принимать по СМС файлы изменения конфигурации, что позволяет нападающему, используя пароль, установленный по умолчанию (123456), менять настройки часов. В итоге открываются возможности перехвата часов и слежки за перемещением детей совсем не родителям этих детей. Это как с "умными" телевизорами — самый простой способ в этом случае не покупать детям подобное барахло. А то им на часы потом начнут всякие любители поболтать с детишками звонить.
https://blog.rapid7.com/2019/12/11/iot-vuln-disclosure-childrens-gps-smart-watches-r7-2019-57/
https://blog.rapid7.com/2019/12/11/iot-vuln-disclosure-childrens-gps-smart-watches-r7-2019-57/
Rapid7
IoT Vuln Disclosure: Children's GPS Smart Watches (R7-2019-57) | Rapid7 Blog
In a recent IoT hacking training exercise, Rapid7 penetration testers set out to find vulnerabilities in a number of children's GPS-enabled smart watches.
и снова понедельник, снова трудо выебудни! (ну, понедельник уже почти закончился, но неважно). просто полезная тулза, разбивающая параметры УРЛов на компоненты для дальнейшего изучения. это позволяет больше узнать о том, что же на самом деле закодировано в адресе
https://dfir.blog/introducing-unfurl/
https://dfir.blog/introducing-unfurl/
dfir.blog
Introducing Unfurl
Unfurl takes a URL and expands ("unfurls") it into a directed graph, extracting every bit of information from the URL and exposing the obscured. It does this by breaking up a URL up into components, extracting as much information as it can from each piece…
Системы распознавания лиц в аэропортах, в платежных системах и других важных местах могут быть обмануты с помощью напечатанных трехмерных масок и даже фотографий. Никогда такого не было, и вот опять!
https://fortune.com/2019/12/12/airport-bank-facial-recognition-systems-fooled/
https://fortune.com/2019/12/12/airport-bank-facial-recognition-systems-fooled/
Fortune
Look How Easy It Is to Fool Facial Recognition—Even at the Airport
An experiment by Kneron shows facial recognition is less secure than many think.
Показали результаты фишинг-тестирования в одной компании, где фишинговое письмо рассылал IT-отдел. 15% человек кликнули на ссылку в письме, 6% ввели пароль. Админы, помните о том, что люди — самое слабое звено.
не успела Google и операторы запустить "новую SMS" — стандарт RCS для обмена сообщениями, как там уже нашли уязвимость, которая делает этот стандарт ничем не лучше, чем SMS.
https://www.wired.com/story/rcs-texting-security/
https://www.wired.com/story/rcs-texting-security/
Wired
The Future of Texting Is Far Too Easy to Hack
Rich Communication Services promises to be the new standard for texting. Thanks to sloppy implementation, it's also a security mess.
во-первых, это красиво... аналоговая очередь за цифровыми паролями!
https://twitter.com/svblxyz/status/1206948966442708992
https://twitter.com/svblxyz/status/1206948966442708992
Twitter
svbl
The University in Gießen, Germany had a security incident that required resetting the passwords of 38000 students. Students are lining up to get their new passwords on paper, after identity verification. More about the incident on the bottom of this page:…
Преступление и наказание:
Давненько я писал тут про сервис Unroll.me — сервис по отписыванию от рассылок, который, сюрприз!, выгребал и анализировал пользовательскую почту без того, чтобы надлежащим образом пользователей об этом проинформировать. и вообще говорил, что они не такие.
https://t.me/alexmakus/1102
Теперь же компания достигла соглашения с Федеральной Комиссией по Торговле о том, что "были неправы, обманывали пользователей". В качестве наказания компания должна будет удалить всю собранную почту, а также ей "запрещено неверно информировать пользователей о сборе и применении пользовательской информации". В общем, как обычно, просто дали по рукам
https://www.ftc.gov/news-events/press-releases/2019/08/operator-email-management-service-settles-ftc-allegations-it
Давненько я писал тут про сервис Unroll.me — сервис по отписыванию от рассылок, который, сюрприз!, выгребал и анализировал пользовательскую почту без того, чтобы надлежащим образом пользователей об этом проинформировать. и вообще говорил, что они не такие.
https://t.me/alexmakus/1102
Теперь же компания достигла соглашения с Федеральной Комиссией по Торговле о том, что "были неправы, обманывали пользователей". В качестве наказания компания должна будет удалить всю собранную почту, а также ей "запрещено неверно информировать пользователей о сборе и применении пользовательской информации". В общем, как обычно, просто дали по рукам
https://www.ftc.gov/news-events/press-releases/2019/08/operator-email-management-service-settles-ftc-allegations-it
Telegram
Информация опасносте
2. у "скандала" про Uber и Apple, о котором я писал вчера, обнаружилось интересное ответвление. Еще в оригинальной статье упоминалось, что Uber пользовался услугами компании Slice Intelligence, которой принадлежит сервис unroll.me. Сервис придуман для якобы…
Количество дней с последнего инцидента со смартчасами-трекерами для детей:
0
Виной всему — облачный сервис, который использует большое количество производителей таких трекеров, и где хранится информация о местоположении детей, а также аудиозаписи переговоров между родителями и детьми. Трекеры, как правило, строятся на одной платформе, и потом продаются под разными брендами, но ходят в один и тот же клаудный сервис. А сам этот сервис позволяет удаленно мониторить пользовательские устройства, в том числе и тем, кому это не положено.
https://www.pentestpartners.com/security-blog/kids-tracker-watches-cloudpets-exploiting-athletes-and-hijacking-reality-tv/?=pen-test-partners
0
Виной всему — облачный сервис, который использует большое количество производителей таких трекеров, и где хранится информация о местоположении детей, а также аудиозаписи переговоров между родителями и детьми. Трекеры, как правило, строятся на одной платформе, и потом продаются под разными брендами, но ходят в один и тот же клаудный сервис. А сам этот сервис позволяет удаленно мониторить пользовательские устройства, в том числе и тем, кому это не положено.
https://www.pentestpartners.com/security-blog/kids-tracker-watches-cloudpets-exploiting-athletes-and-hijacking-reality-tv/?=pen-test-partners
Pentestpartners
Kids Tracker Watches: CloudPets, exploiting athletes and hijacking reality TV | Pen Test Partners
Kids smart tracker watch security: everyone has missed the point. It's not a few thousand here and there. It's at least 47 million, probably around 150 mil
преступление: взлом Zynga
https://t.me/alexmakus/3077
Последствия:
Уведомление от Have I been pwned — "You're one of 172,869,660 people pwned in the Zynga data breach"
https://t.me/alexmakus/3077
Последствия:
Уведомление от Have I been pwned — "You're one of 172,869,660 people pwned in the Zynga data breach"
Telegram
Информация опасносте
Пакинстанский хакер взломал игрушку Words with Friends компании Zynga и получил доступ к базе данных пользователей на 218 млн записей. Там оказались имена, адреса электронной почты, логины и засолено-захешированные пароли, номера телефонов и Facebook ID,…
Так, хорошие новости: Фейсбук наконец-то прекратит использовать номер телефона, который добавляли пользователи для 2ФА, для рекомендаций среди друзей (то, что они с самого начала не должны были бы делать). Плохие новости — это то, что пользователям, номер которых Фейсбук уже использует для рекомендаций, надо номер удалить и потом передобавить. Ну или просто удалить, что, конечно, лучше.
https://www.reuters.com/article/us-facebook-privacy-idUSKBN1YN26Q
https://www.reuters.com/article/us-facebook-privacy-idUSKBN1YN26Q
Reuters
Facebook separates security tool from friend suggestions, citing privacy overhaul
SAN FRANCISCO (Reuters) - Facebook Inc will no longer feed user phone numbers provided to it for two-factor authentication into its “people you may know” feature, as part of a wide-ranging overhaul of its privacy practices, the company told Reuters.
Количество дней без упоминания производителя камер Ring в канале:
0
какая-то странная утечка 3,6 тысчч аккаунтов пользователей Ring, включая логины, пароли и названия местоположений камер (что, конечно, позволяло бы злоумышленникам подключаться к камерам). Ring отрицает взлом, а формат утечки предполагает, что информация была взята из базы данных компании. Все еще хотите чужую камеру себе домой?
https://www.buzzfeednews.com/article/carolinehaskins1/data-leak-exposes-personal-data-over-3000-ring-camera-users
0
какая-то странная утечка 3,6 тысчч аккаунтов пользователей Ring, включая логины, пароли и названия местоположений камер (что, конечно, позволяло бы злоумышленникам подключаться к камерам). Ring отрицает взлом, а формат утечки предполагает, что информация была взята из базы данных компании. Все еще хотите чужую камеру себе домой?
https://www.buzzfeednews.com/article/carolinehaskins1/data-leak-exposes-personal-data-over-3000-ring-camera-users
BuzzFeed News
A Data Leak Exposed The Personal Information Of Over 3,000 Ring Users
“This gives a potential attacker access to view cameras in somebody’s home — that’s a real serious potential invasion of privacy right there.”
Эксперты Positive Technologies обнаружили критическую уязвимость в Citrix Application Delivery Controller (NetScaler ADС) и Citrix Gateway (NetScaler Gateway). В случае ее эксплуатации злоумышленник получает прямой доступ в локальную сеть компании из интернета. Для проведения такой атаки не требуется доступ к каким-либо учетным записям, а значит, выполнить ее может любой внешний нарушитель.
https://ko.com.ua/kriticheskaya_uyazvimost_v_po_citrix_pozvolyaet_proniknut_v_seti_desyatkov_tysyach_kompanij_131313
https://support.citrix.com/article/CTX267027
https://ko.com.ua/kriticheskaya_uyazvimost_v_po_citrix_pozvolyaet_proniknut_v_seti_desyatkov_tysyach_kompanij_131313
https://support.citrix.com/article/CTX267027
Компьютерное Обозрение
Критическая уязвимость в ПО Citrix позволяет проникнуть в сети десятков тысяч компаний
Эксперты Positive Technologies обнаружили критическую уязвимость в Citrix Application Delivery Controller (NetScaler ADС) и Citrix Gateway (NetScaler Gateway). В случае ее эксплуатации злоумышленник получает прямой доступ в локальную сеть компании из интернета.…
ну и хорошая история почитать на выходных, с отличной визуализацией: как журналисты The New York Times получили огромный архив данных о местоположении миллионов американцев за 2016-2017 год и что можно из этой информации получить. не буду спойлить, это очень хороший материал
https://www.nytimes.com/interactive/2019/12/19/opinion/location-tracking-cell-phone.html
https://www.nytimes.com/interactive/2019/12/19/opinion/location-tracking-cell-phone.html
Nytimes
Opinion | Twelve Million Phones, One Dataset, Zero Privacy (Published 2019)
What we learned from the spy in your pocket.