во-первых, это красиво... аналоговая очередь за цифровыми паролями!

https://twitter.com/svblxyz/status/1206948966442708992

Преступление и наказание:

Давненько я писал тут про сервис Unroll.me — сервис по отписыванию от рассылок, который, сюрприз!, выгребал и анализировал пользовательскую почту без того, чтобы надлежащим образом пользователей об этом проинформировать. и вообще говорил, что они не такие.
https://t.me/alexmakus/1102

Теперь же компания достигла соглашения с Федеральной Комиссией по Торговле о том, что "были неправы, обманывали пользователей". В качестве наказания компания должна будет удалить всю собранную почту, а также ей "запрещено неверно информировать пользователей о сборе и применении пользовательской информации". В общем, как обычно, просто дали по рукам
https://www.ftc.gov/news-events/press-releases/2019/08/operator-email-management-service-settles-ftc-allegations-it

Количество дней с последнего инцидента со смартчасами-трекерами для детей:
0

Виной всему — облачный сервис, который использует большое количество производителей таких трекеров, и где хранится информация о местоположении детей, а также аудиозаписи переговоров между родителями и детьми. Трекеры, как правило, строятся на одной платформе, и потом продаются под разными брендами, но ходят в один и тот же клаудный сервис. А сам этот сервис позволяет удаленно мониторить пользовательские устройства, в том числе и тем, кому это не положено.

https://www.pentestpartners.com/security-blog/kids-tracker-watches-cloudpets-exploiting-athletes-and-hijacking-reality-tv/?=pen-test-partners

преступление: взлом Zynga

https://t.me/alexmakus/3077

Последствия:
Уведомление от Have I been pwned — "You're one of 172,869,660 people pwned in the Zynga data breach"

Так, хорошие новости: Фейсбук наконец-то прекратит использовать номер телефона, который добавляли пользователи для 2ФА, для рекомендаций среди друзей (то, что они с самого начала не должны были бы делать). Плохие новости — это то, что пользователям, номер которых Фейсбук уже использует для рекомендаций, надо номер удалить и потом передобавить. Ну или просто удалить, что, конечно, лучше.
https://www.reuters.com/article/us-facebook-privacy-idUSKBN1YN26Q

Количество дней без упоминания производителя камер Ring в канале:

0

какая-то странная утечка 3,6 тысчч аккаунтов пользователей Ring, включая логины, пароли и названия местоположений камер (что, конечно, позволяло бы злоумышленникам подключаться к камерам). Ring отрицает взлом, а формат утечки предполагает, что информация была взята из базы данных компании. Все еще хотите чужую камеру себе домой?
https://www.buzzfeednews.com/article/carolinehaskins1/data-leak-exposes-personal-data-over-3000-ring-camera-users

Эксперты Positive Technologies обнаружили критическую уязвимость в Citrix Application Delivery Controller (NetScaler ADС) и Citrix Gateway (NetScaler Gateway). В случае ее эксплуатации злоумышленник получает прямой доступ в локальную сеть компании из интернета. Для проведения такой атаки не требуется доступ к каким-либо учетным записям, а значит, выполнить ее может любой внешний нарушитель.

https://ko.com.ua/kriticheskaya_uyazvimost_v_po_citrix_pozvolyaet_proniknut_v_seti_desyatkov_tysyach_kompanij_131313
https://support.citrix.com/article/CTX267027

ну и хорошая история почитать на выходных, с отличной визуализацией: как журналисты The New York Times получили огромный архив данных о местоположении миллионов американцев за 2016-2017 год и что можно из этой информации получить. не буду спойлить, это очень хороший материал
https://www.nytimes.com/interactive/2019/12/19/opinion/location-tracking-cell-phone.html

Для чтения на выходных и вообще как пример хорошо изложенного материала — новая версия документа Apple Platform Security (ранее известный как iOS Security Guide). Практически все, что вас может заинтересовать о том, как работает безопасность в устройствах и операционных системах Apple, изложена понятным и не сильно техническим языком.

https://manuals.info.apple.com/MANUALS/1000/MA1902/en_US/apple-platform-security-guide.pdf

Продолжение ко вчерашнему материалу NYT о трекинге перемещения американцев с прекрасными иллюстрациями в самом начале
https://www.nytimes.com/interactive/2019/12/20/opinion/location-data-national-security.html

Интересная история у, опять же, NYT о приложении ToTok — популярном приложении-мессенджере для мобильных платформ, разработанном, судя по всему, по заданию разведки Объединенных Арабских Эмиратов. Обещания были красивые — безопасный мессенджер и видеозвонки, конечно же. И, по информации источников издания, все сообщения, вся информация о местоперемещении пользователей, все аудио-видео записи — всё это было доступно правительству ОАЭ для мониторинга и слежки. Удобно!
На момент публикации приложения уже были удалены из соответствующих магазинов App Store и Google Play. (Правда, в магазинах Samsung, Huawei, Xiaomi и Oppo оно было доступно.) Интересно, что VirusTotal считал приложение безопасным, значит, вся обработка данных, если таковая была, происходила на стороне бэкэнда.


https://www.nytimes.com/2019/12/22/us/politics/totok-app-uae.html

компания, разумеется, все отрицает, а приложения недоступны в магазинах, потому что "Технические сложности".
https://totok.ai/news

Забавно, что Твиттер маркирует ссылку на ТоТок как потенциально небезопасную

Преступление:
"группа хакеров" шантажирует Apple, угрожая удалить данные сотен миллионов пользователей
https://t.me/alexmakus/1036

Наказание:
два года в тюрьме, но с отсрочкой на 300 часов неоплачиваемой работы с условием соблюдения 6 месяцев электронного наблюдения (вот тут я не понял, то ли это означает браслет на ногу, то ли запрет на работу с компьютером).
https://www.nationalcrimeagency.gov.uk/news/hacker-tried-to-blackmail-apple-by-threatening-to-delete-319m-accounts

Возвращаюсь мыслями к скандалу о данных и слежке за пользователями, о которых писала New York Times на прошлой неделе. Пытаюсь понять, что организаторы платформ и/или мы как пользователи можем по этому поводу сделать. С одной стороны, Apple и Google и так задалбывают на своих устройствах всевозможными подтверждениями доступа к тем или иным данным. Но в итоге вся ответственность падает на пользователя, который разрешает или запрещает приложению доступ к данным. А когда разработчик получает разрешение от пользователя и начинает собирать данные, как могут создатели платформ контролировать, что разработчики делают с этими данными, и не продают ли они их на сторону.

С другой стороны, есть масса приложений, которым информация о местоположении действительно нужна. Приложение для показа погоды, например, или навигационное приложение, или приложение для спорта. Если с погодой еще можно ограничить информацию о местоположении городом, например, то с другими категориями уже сложнее. И как должен пользователь разбираться, что вот это бесплатное приложение действительно достойно получать геолокацию с телефона, а другое сливает его в базу разведки ОАЭ или чего-то такого?

Законодательное регулирование — это, конечно, вариант, но всякие GDPR, CCPA и прочее что-то пока привели только к увеличению дурацких писем и уведомлений, а так, чтобы почувствовать себя в информационной безопасности — такого нет. Так и живем.

Ну и про Эпол, раз пошла жара. Компания открыла свою bounty-программу для всех желающих, выплаты до 1млн долларов за сохраняющийся взлом ядра без интеракций со стороны пользователя. Какой-нибудь NSO Group за такую дыру заплатит раза в два раза больше.
https://developer.apple.com/security-bounty/payouts/

Планы здания британской разведки с размещением сигнализаций и другими средствами предотвращения проникновения пропали. Очевидно, что эти планы могут представлять большой интерес для злоумышленников и шпионов. Джеймс Бонд напрягся

https://www.thesun.co.uk/news/10623272/mi6-sack-builders-hq-blueprints-missing/

wtf, теперь фейсбук еще информацию о здоровье собрался коллекционировать? Они номера телефонов для 2ФА использовали для таргетирования рекламой, им еще про здоровье рассказывать?

Несколько апдейтов к концу года, которые накопились в закладках. Без особых комментариев, так как из отпуска их просто лениво писать

Разработчик «умных камер» Wyze оставил открытой базу данных клиентов компании, что позволило получить массу персональной информации об этих камерах, пользователях, и много другой персональной информации

https://blog.12security.com/wyze/

Компания подтвердила эту историю (правда, также пожаловались на то, что раскрытие информации обнаружившими её экспертами произошло через несколько минут после того, как они сообщили о ней компании)

https://forums.wyzecam.com/t/updated-12-29-19-data-leak-12-26-2019/79046