Коллекция всевозможной информации о слежке и прочем сборе информации — камеры, перехваты сотовых сигналов, дроны и многое другое в США
https://atlasofsurveillance.org
https://atlasofsurveillance.org
www.atlasofsurveillance.org
Atlas of Surveillance
Documenting Police Tech in Our Communities with Open Source Research
февраль — информация об утечке из отелей MGM на 10,6 млн клиентов
https://t.me/alexmakus/3306
июль — оказывается, данных утекло на 142 млн человек. ну подумаешь чуть ошиблись
https://www.zdnet.com/article/a-hacker-is-selling-details-of-142-million-mgm-hotel-guests-on-the-dark-web/
https://t.me/alexmakus/3306
июль — оказывается, данных утекло на 142 млн человек. ну подумаешь чуть ошиблись
https://www.zdnet.com/article/a-hacker-is-selling-details-of-142-million-mgm-hotel-guests-on-the-dark-web/
Telegram
Информация опасносте
а, и еще с прошлой недели про утечку данных клиентов MGM Resorts
https://www.zdnet.com/article/exclusive-details-of-10-6-million-of-mgm-hotel-guests-posted-on-a-hacking-forum/
https://www.zdnet.com/article/exclusive-details-of-10-6-million-of-mgm-hotel-guests-posted-on-a-hacking-forum/
OK, CVE-2020-1350
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350
КРИТИКАЛ
вы знаете, что делать 🙂
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2020-1350
КРИТИКАЛ
вы знаете, что делать 🙂
История дня (да и недели) пожалуй - это взлом Твиттера, когда злоумышленники слали сообщения о биткойне с массы верифицированных аккаунтов. Точного объяснения природы взлома пока нет, думаю, что Твиттер поделится результатами исследования, но версия, которую я видел - доступ к панели управления кого-то из сотрудников компании. Список аккаунтов, с которых публиковались твиты о биткойнах, впечатляет - Илон Маск, Билл Гейтс, Уоррен Баффет, Барак Обама, Джо Байден, Канье Уэст. Корпоративные аккаунты - Apple, Uber, и тд. Было весело
По неподтвержденной информации, доступ к аккаунту был получен путём подмены симкарты номера телефона одного из сотрудников Твиттера
Немного контекста
https://www.vice.com/en_us/article/jgxd3d/twitter-insider-access-panel-account-hacks-biden-uber-bezos
По неподтвержденной информации, доступ к аккаунту был получен путём подмены симкарты номера телефона одного из сотрудников Твиттера
Немного контекста
https://www.vice.com/en_us/article/jgxd3d/twitter-insider-access-panel-account-hacks-biden-uber-bezos
VICE
Hackers Convinced Twitter Employee to Help Them Hijack Accounts
After a wave of account takeovers, screenshots of an internal Twitter user administration tool are being shared in the hacking underground.
Апдейт про Твиттер:
“We detected what we believe to be a coordinated social engineering attack by people who successfully targeted some of our employees with access to internal systems and tools.”
вот такой вот вектор атаки - то ли осознанно, то ли по ошибке сотрудник твиттера с доступом к админской панели передал права к ней злоумышленникам. У меня столько вопросов...
“We detected what we believe to be a coordinated social engineering attack by people who successfully targeted some of our employees with access to internal systems and tools.”
вот такой вот вектор атаки - то ли осознанно, то ли по ошибке сотрудник твиттера с доступом к админской панели передал права к ней злоумышленникам. У меня столько вопросов...
я 19 лет назад темой информационной безопасности не интересовался, но про борьбу Элкомсофт против Adobe все равно читал и офигевал.
https://blog.elcomsoft.com/2020/07/defending-americans-right-to-decrypt/
https://blog.elcomsoft.com/2020/07/defending-americans-right-to-decrypt/
ElcomSoft blog
Defending Americans' Right to Decrypt
19 years ago, on July 16, 2001, the FBI arrested Dmitry Sklyarov, almost immediately after his speech at the DEF CON hacker conference, on a number of charges by Adobe. Dmitry was accused of many things, from software trafficking to conspiring with Elcomsoft…
Компания ESET обнаружила преступную кампанию GMERA, в рамках которой распространялись вредоносные приложения — криптовалютные торговые площадки на компьютерах Mac.
В этот раз преступники полностью скопировали интерфейс легитимной программы Kattana. Всего обнаружено четыре варианта, используемых для троянизированных приложений: Cointrazer, Cupatrade, Licatrade и Trezarus.
Малварь обращается к C&C-серверу по протоколу HTTP и подключается к другому серверу, используя заранее заданные IP-адреса.
Пока не удалось точно определить, как именно распространяются данные троянизированные приложения. Вероятно, к жертвам применяются методы социальной инженерии: на поддельных сайтах размещается кнопка загрузки со ссылкой на ZIP-архив, в котором содержится троянизированное приложение.
https://www.welivesecurity.com/2020/07/16/mac-cryptocurrency-trading-application-rebranded-bundled-malware/
В этот раз преступники полностью скопировали интерфейс легитимной программы Kattana. Всего обнаружено четыре варианта, используемых для троянизированных приложений: Cointrazer, Cupatrade, Licatrade и Trezarus.
Малварь обращается к C&C-серверу по протоколу HTTP и подключается к другому серверу, используя заранее заданные IP-адреса.
Пока не удалось точно определить, как именно распространяются данные троянизированные приложения. Вероятно, к жертвам применяются методы социальной инженерии: на поддельных сайтах размещается кнопка загрузки со ссылкой на ZIP-архив, в котором содержится троянизированное приложение.
https://www.welivesecurity.com/2020/07/16/mac-cryptocurrency-trading-application-rebranded-bundled-malware/
WeLiveSecurity
Mac cryptocurrency trading application rebranded, bundled with malware
ESET researchers uncover websites distributing malicious cryptocurrency trading applications for Mac, with the malware used to steal information such as browser cookies, cryptocurrency wallets and screen captures.
А тем временем Брайан Креббс, похоже, смог идентифицировать злоумышленника, который хулиганил в Твиттере на этой неделе
https://krebsonsecurity.com/2020/07/whos-behind-wednesdays-epic-twitter-hack/
https://krebsonsecurity.com/2020/07/whos-behind-wednesdays-epic-twitter-hack/
Krebsonsecurity
Who’s Behind Wednesday’s Epic Twitter Hack?
Twitter was thrown into chaos on Wednesday after accounts for some of the world's most recognizable public figures, executives and celebrities starting tweeting out links to bitcoin scams. Twitter says the attack happened because someone tricked or coerced…
Провайдеры VPN, обещавшие не собирать логи активности пользователей, оказались врунишками. Хуже того, 1,2ТБ логов пользователей оказались в интернете
https://www.theregister.com/2020/07/17/ufo_vpn_database/
https://www.theregister.com/2020/07/17/ufo_vpn_database/
The Register
Seven 'no log' VPN providers accused of leaking – yup, you guessed it – 1.2TB of user logs onto the internet
Maybe it was the old Lionel Hutz play: 'No-logging VPN? I meant, No! Logging VPN!'
А ещё апдейт от Твиттера о взломе на этой неделе: у 45 аккаунтов был изменён адрес электронной почты, а у 8 аккаунтов загружен архив информации аккаунта
https://blog.twitter.com/en_us/topics/company/2020/an-update-on-our-security-incident.html
https://blog.twitter.com/en_us/topics/company/2020/an-update-on-our-security-incident.html
Twitter
An update on our security incident
An update on our security incident and what we know so far.
270 миллионов
https://www.bleepingcomputer.com/news/security/wattpad-data-breach-exposes-account-info-for-millions-of-users/
https://www.bleepingcomputer.com/news/security/wattpad-data-breach-exposes-account-info-for-millions-of-users/
BleepingComputer
Wattpad data breach exposes account info for millions of users
An allegedly stolen Wattpad database containing 270 million records were being sold in private sales for over $100,000. Now it is being offered for free on hacker forums.
Адовенькая история про то, как ФБР использует систему бронировки авиабилетов Sabre, которой пользуется огромное количество авиакомпаний, включая Аэрофлот, для мониторинга перемещения нужных людей
https://www.forbes.com/sites/thomasbrewster/2020/07/16/the-fbi-is-secretly-using-a-2-billion-company-for-global-travel-surveillance--the-us-could-do-the-same-to-track-covid-19/
Дополнение — на русском
https://www.forbes.ru/tehnologii/405373-kak-fbr-ispolzuet-turisticheskuyu-kompaniyu-stoimostyu-2-mlrd-dlya-slezhki-za
https://www.forbes.com/sites/thomasbrewster/2020/07/16/the-fbi-is-secretly-using-a-2-billion-company-for-global-travel-surveillance--the-us-could-do-the-same-to-track-covid-19/
Дополнение — на русском
https://www.forbes.ru/tehnologii/405373-kak-fbr-ispolzuet-turisticheskuyu-kompaniyu-stoimostyu-2-mlrd-dlya-slezhki-za
Forbes
The FBI Is Secretly Using A $2 Billion Travel Company As A Global Surveillance Tool
An unprecedented order on a huge travel company reveals how the FBI tracks suspects around the world.
Минэкономики предложило вывести обработку персональных данных в рамках экспериментальных правовых режимов из-под действующего регулирования, включая тайну связи, переписки и телефонных переговоров, а также врачебную тайну. Пока речь идет о двух примерах: проекте фонда «Иннопрактика» и «Национальной базы медицинских знаний» (НБМЗ) по применению искусственного интеллекта (ИИ) в медицине и создании сервиса для повышения эффективности малого и среднего бизнеса, которым занимается Ассоциация больших данных (АБД). Снятие ограничений создаст риски утечек, для которых нужно предусмотреть компенсационный фонд, полагают эксперты.
https://www.kommersant.ru/doc/4424832
https://www.kommersant.ru/doc/4424832
Коммерсантъ
Данные, чего скрывать
К персональной информации нашли инновационный подход
Apple таки запустила программу исследования безопасности устройств, анонсированную год назад. Получить специальное устройство для исследования уязвимостей могут те, кто регулярно подает информацию о новых ошибках в Apple, и живет в ограниченном наборе стран, в который Россия и Украина не входят
https://developer.apple.com/programs/security-research-device/
https://developer.apple.com/programs/security-research-device/
Security Research Device - Apple Security Research
Get an iPhone dedicated to security research through the Apple Security Research Device program. Learn how to apply.
This is not good (о том, что правоохранительные органы скупают материалы цифровых утечек для использования в расследованиях)
https://www.cpomagazine.com/data-privacy/media-claims-of-law-enforcement-agencies-purchasing-breach-data-how-serious-is-it/
https://www.cpomagazine.com/data-privacy/media-claims-of-law-enforcement-agencies-purchasing-breach-data-how-serious-is-it/
CPO Magazine
Media Claims of Law Enforcement Agencies Purchasing Breach Data, How Serious Is It?
Law enforcement agencies purchasing illicit breach data from SpyCloud, presumably for use in investigations, raising questions of due legal process by these agencies.