Очень странная история про то, как некий злоумышленник дал взятку сотруднику компании Roblox для того, чтобы иметь возможность просматривать личные данные пользователей популярного сервиса (более 100 млн активных пользователей). Он мог видеть имейлы пользователей, менять пароли, удалять двухфакторную аутентификацию, банить пользователей и тд. А также выдавать внутриигровую валюту. Цель хакера, по его словам, заключалась только в том, чтобы доказать то, что данные пользователей можно получить без проблем много где. WTF вообще
https://www.vice.com/en_us/article/qj4ddw/hacker-bribed-roblox-insider-accessed-user-data-reset-passwords

Также вот - у 28 тыс клиентов GoDaddy украли данные логинов SSH

https://www.theregister.co.uk/2020/05/05/godaddy_ssh_login_details_compromised/

А тем временем, если у вас смартфон Samsung, то рекомендуют обновиться на апдейт, который вышел на этой неделе. Уязвимость была обнаружена в коде Android для смартфонов корейской компании, который отвечает за обработку изображений формата Qmage. Полезно знать, что уязвимость может быть эксплуатирована без всякого участия со стороны пользователей, а как Android автоматически пересылает все изображения, полученные на устройстве в Skia (графическую библиотеку Android). Угадывая положение библиотеки Skia в памяти, можно было с помощью Qmage доставить на телефон исполняемый код.

https://security.samsungmobile.com/securityUpdate.smsb
https://nvd.nist.gov/vuln/detail/CVE-2020-8899

еще ссылка от читателя:

Вкратце: email передавался через GET запрос, потом появлялся везде, где можно появиться, в Referer заголовках различных трекерах, включая Google Analytics, Facebook и прочих

https://medium.com/@thezedwards/the-2020-url-querystring-data-leaks-millions-of-user-emails-leaking-from-popular-websites-to-39a09d2303d2

Британское министерство здравоохранения опубликовало исходный код приложений для мониторинга контактов с людьми, которые могли быть носителями вируса

✅Android: https://github.com/nhsx/COVID-19-app-Android-BETA
✅iOS: https://github.com/nhsx/COVID-19-app-iOS-BETA
✅Documentation: https://github.com/nhsx/COVID-19-app-Documentation-BETA

ууууу, шикарная и полезная штука — список различных приложений в разных странах для мониторинга Covid-19 контактов, информация, которую они собирают, прозрачность проектов, и вообще общий уровень отношения к конфиденциальности данных пользователей

https://public.flourish.studio/visualisation/2241702/
https://www.technologyreview.com/2020/05/07/1000961/launching-mittr-covid-tracing-tracker/
https://docs.google.com/spreadsheets/d/1ATalASO8KtZMx__zJREoOvFh0nmB-sAqJ1-CjVRSCOw/edit#gid=0

в начале апреля я давал ссылку на опрос компании Positive Technologies об организации удаленной работы в компаниях. Спасибо всем за участие!

Cпециалисты по IT и ИБ рассказали Positive Technologies, как изменилась инфраструктура в их компаниях в связи с переходом на удаленку. Какое самое популярное ПО для организации удаленного доступа, как много сотрудников работают с домашних устройств, что чаще всего выводят на периметр – все это в отчете по итогам опроса.

иногда мне кажется, что достаточно просто репостить старые новости, и это будет все равно дайджест новых. в 2019 году я писал об уязвимости в стандарте подключений Thunderbolt (под названием Thunderclap). и вот снова новая уязвимость - Thunderspy, которая позволяет злоумышленникам получить доступ к данным диска залоченнго компьютера. Да, требует физического доступа к компьютеру, но зато дает возможность получить данные, даже если диск зашифрован. Затрагивает все ПК, выпущенные до 2019 года. Intel утверждает, что уязвимость была исправлена в апдейтах операционных систем в прошлом году.

отчет https://thunderspy.io
статья о ней https://www.wired.com/story/thunderspy-thunderbolt-evil-maid-hacking/
ответ Intel https://blogs.intel.com/technology/2020/05/more-information-on-thunderspy/

три года с момента атаки WannaCry, помните, как весело всем было?
https://t.me/alexmakus/1131

Пара ссылок от читателей на новости, которые я пропустил:

1. https://siguza.github.io/psychicpaper/
0day (все еще) sandbox escape уязвимость для iOS приложений, которую автор нашел аж в 2017 году, поправлена в последней бэте

2. Индийскую платформу Unacademy взломали, утекло от 11М до 22М учётных записей. Думаю, из хорошего - то, что пароли не хранились в открытом виде, и хеши сгенерированы на PBKDF2 (надеюсь, что с солью), так что быстро и массово все пароли rainbow таблицей не подберут, но простые пароли из словаря всё равно обнаружатся. Так что рекомендация всем пользователям Unacademy (и вообще): поменять пароль, использовать сложный пароль, включить 2FA. https://gbhackers.com/unacademy-hacked/

ну и большая новость на прошлой неделе, которую мало кто пока что понимает — Zoom приобрел сервис Keybase для организации сквозного шифрования
https://blog.zoom.us/wordpress/2020/05/07/zoom-acquires-keybase-and-announces-goal-of-developing-the-most-broadly-used-enterprise-end-to-end-encryption-offering/
https://keybase.io/blog/keybase-joins-zoom

По следам этого поста. Выплатили $17,99.

в бесконечно далеком 2017 году я писал о компании Vizio — американском производителе телевизоров. Там выяснилось, что они собирали информацию об изображении на телевизоре для последующей аналитики и продажи рекламы, не предупреждая об этом пользователей. На компанию подали в суд, и компания согласилась выплатить компенсацию. Вот мне пришло письмо о том, что уже скоро придут денежки. Наверно, целых 5 долларов!

Компания Zerodium известна тем, что покупает уязвимости для различных устройств и операционных систем. Твит об уязвимостях для iOS примерно такой: “прекратите нам это слать, у нас и так уже этого барахла полно”

https://twitter.com/Zerodium/status/1260541578747064326

Понабирают, блядь, по объявлениям.

Красиво
https://blog.talosintelligence.com/2020/05/vuln-spotlight-excel-patch-tuesday-may-2020.html

Если вы на Маке и у вас установлен Acrobat Reader - там вышел важный апдейт, исправляющий уязвимости. Они позволяли получить root на Маке

https://rekken.github.io/2020/05/14/Security-Flaws-in-Adobe-Acrobat-Reader-Allow-Malicious-Program-to-Gain-Root-on-macOS-Silently/

На одном из теневых форумов, вчера появилась ссылка на торрент с раздачей 24 Гб информации (83 файла в формате CSV) о транспортных средствах, зарегистрированных в России. 👇

Открыто распространяемые данные обезличены и содержат только базовую информацию о ТС: тип, марка, модель, дата регистрации, год выпуска, VIN и т.п.

Однако, в одном из файлов содержится объявление о продаже полной версии базы (в формате SQL-дампа), со всеми персональными данными владельцев ТС, на декабрь 2019 года: ФИО, ИНН, адрес, дата рождения, паспорт и т.п. 🔥🔥🔥

За полную версию базы неизвестный просит 0,3 BTC (около $2,8 тыс.), а за эксклюзив (“одни руки”) – около $14 тыс.

В качестве доказательств приложены скриншоты полной базы со всеми данными. 👍

говоря о базах. Сегодня от HIBP пришло уведомление о том, что мой имейл попал в утечку под загадочным названием “db8151dd”. Речь идет о некой неизвестно кому принадлежащей базе, которую нашли на Elasticsearch сервере, и она похожа на базу клиентов с кучей персональных данных, включая мейлы, названия позиций, адреса, социальные профили и тд.

https://www.troyhunt.com/the-unattributable-db8151dd-data-breach/

такие дела