Ну как там трудо выебудни, начались?

А вот вам пост о том, как функция Телеграма «Люди рядом», выключенная по умолчанию, если её включить, может позволить вычислить местоположение пользователя. Исследователь, который обнаружил эту проблему, сообщил о ней в Телеграм, но разработчики сказали, что в исправлении она не нуждается.

Собственно, оригинальный пост об этом
https://blog.ahmed.nyc/2021/01/if-you-use-this-feature-on-telegram.html

Ссылка от читателя об этом же, но на русском языке
https://kopelyan.kz/index.php/2021/01/07/gps/

База данных 1,3 млн российских владельцев автомобилей Hyundai выставлена на продажу на теневых форумах. В ней содержатся в том числе адреса пользователей, информация об автомобилях и заказе запчастей. Злоумышленники могут использовать данные для угона автомобилей, также их владельцам стоит ожидать сообщений от спамеров, предупреждают эксперты по кибербезопасности.

https://www.kommersant.ru/doc/4639640

А про SolarWinds еще хочу добавить небольшой апдейт:

А) NSA и ФБР подтвердили на прошлой неделе, что, скорей всего, за взломом государственных организаций и компаний стоит Россия

https://apnews.com/article/us-blames-russia-federal-hacking-3921096dfd9693a020420acc787132bd

Б) Определился список различных министерств и других федеральных ведомств, которые подтвердились хакерской атаке через уязвимости в SolarWinds Orion

https://www.fedscoop.com/solarwinds-recap-federal-agencies-caught-orion-breach/

В списке министерства торговли, обороны, энергетики, национальной безопасности, юстиции, иностранных дел, финансов, и национальное агенство по здоровью. Неплохо, неплохо.

Приложение Parler — социальная сеть типа Твиттера, но без ограничений на содержимое постов, которую за выходные забанили в App Store, Google Play, и в AWS, похоже, не уделяла достаточного внимания безопасности данных своих пользователей. В итоге сначала пользователь твиттера опубликовала информацию о том, как она смогла выкачать все посты в сети, начиная с 6 января, включая удаленные посты и видео с дополнительными данными — географическими координатами

https://twitter.com/donk_enby/status/1348281459031814146

Информация собирается тут: https://tracker.archiveteam.org/parler/

Ну и там дальше, конечно, началось (после того, как Twilio прекратили предоставлять сервисы по аутентификации) - посты, фотографии, видео, профили, и тд):
https://www.reddit.com/r/ParlerWatch/comments/kuqvs3/all_parler_user_data_is_being_downloaded_as_we/giu04o6/

чуваки уже развлекаются по полной - скриптом насоздавали миллионы админских аккаунтов, а потом оказалось, что админы имеют доступ к удаленным постам, потому что удаленные посты на самом деле не удалялись, а только отмечались удаленными. Ох.


Дополнение: похоже, что взлома (и создания админских аккаунтов) не было, а имело место выкачивание данных по публичным API. Продолжаем наблюдение.

Октябрь прошлого года — новости про устройство для контроля мужского целомудрия, которое подключено к интернету и контролируется удаленно
https://t.me/alexmakus/3669

январь — новости про жертв, у которых хакеры получили контроль над этим устройством, и требуют выкуп в биткойнах
https://www.vice.com/en/article/m7apnn/your-cock-is-mine-now-hacker-locks-internet-connected-chastity-cage-demands-ransom

вот он, настоящий киберпанк, а не вот это вот все

Тем временем Ubiquiti — производитель сетевого оборудования и беспроводных роутеров — разослал своим пользователям призыв изменить пароль, посколько компания, кажется, стала объектом хакерского взлома. В очень плохо сформулированном без конкретики сообщении просто советуют поменять пароль, а то они не уверены, получили ли доступ хакеры к вашим данным или нет

https://community.ui.com/questions/Account-Notification/96467115-49b5-4dd6-9517-f8cdbf6906f3

а теперь вроде как всплыла инфа, украденная у FireEye (через SolarWinds) на продажу

https://www.bleepingcomputer.com/news/security/solarleaks-site-claims-to-sell-data-stolen-in-solarwinds-attacks/

Мне тут прислали такое. Пара комментариев: а) нет, приложение не удаляется автоматически при бане в аппсторе, б) когда-то давно Джобс действительно упомянул про килл свич в аппсторе, но его никогда не применяли, в) инструкция вообще не о том, и эти манипуляции не защитят от килл свича, если его действительно решат применить. Когда уже перестанут пускать идиотов в интернет...

А помните, была история с ContentFilterExclusionList — список приложений и системных сервисов в macOS, которые Apple решила роутить в системе самостоятельно. Это приводило к тому, что часть сервисов системы в интернет ходила мимо VPN, если такой был запущен. Я более подробно писал об этом тут https://t.me/alexmakus/3724

короче, вчера вышла новая бета macOS, и эту штуку Apple выпилила из системы. Теперь сторонние файрволлы снова могут блокировать системные процессы

https://www.patreon.com/posts/46179028

очередной мегарид от Project Zero о серии уязвимостей, включая zero-day для Android, которые к тому же активно эксплуатировались. Исправлены в 2020 году

https://googleprojectzero.blogspot.com/2021/01/introducing-in-wild-series.html

мне уже несколько раз прислали эту ссылку, так что придется делиться — однострочная команда для Windows, которая приводит к разрушению индекса папок и файлов на дисках NTFS, и данные могут быть потеряны. в теории может быть доставлена на компьютер разными способами, но Microsoft, даже зная о ней, не исправляет её.

don’t try this at home

https://www.bleepingcomputer.com/news/security/windows-10-bug-corrupts-your-hard-drive-on-seeing-this-files-icon/

“We are aware of this issue and will provide an update in a future release,” says a Microsoft spokesperson in a statement to The Verge. “The use of this technique relies on social engineering and as always we encourage our customers to practice good computing habits online, including exercising caution when opening unknown files, or accepting file transfers.”

Короче, будет фикс

BREAKING: WhatsApp has delayed the roll-out of its new privacy policy for three months, citing "confusion" and "misinformation" about the changes - which have sent worried users flocking to lesser-known apps Signal and Telegram

Что там про «не получилось»? Бедняжечки, жертвы дезинформации

Так, тут некая группа активистов подала в суд на Apple за то, что та не удаляет из Аппстора Телеграм- мол, там много плохого всякого
https://www.washingtonpost.com/technology/2021/01/17/apple-capitol-siege-telegram/

Дуров на всякий случай рассказал уже, как они борются с плохими пользователями и каналами, и всячески ущемляют свободу слова в ТГ
https://t.me/durov/149

Думаю, что ТГ ничего не грозит, но на всякий случай напоминаю, что приложение никуда не денется
https://t.me/alexmakus/3830

никогда такого не было, и вот опять...

И ещё одна жертва взлома SolarWinds - компания по информационной безопасности Malwarebytes. Взлом произошёл через стороннее приложение в экосистеме Office365, а злоумышленники получили доступ к некоторой части внутренней переписки

https://blog.malwarebytes.com/malwarebytes-news/2021/01/malwarebytes-targeted-by-nation-state-actor-implicated-in-solarwinds-breach-evidence-suggests-abuse-of-privileged-access-to-microsoft-office-365-and-azure-environments/

Забавная история в рамках информационной безопасности про Peloton будущего (через 15 минут) президента США. Peloton — известный стартап с велотренажером (и другими устройствами), и вот как раз велотренажер использует Байден. Возникли вопросы к тому, что такое устройство с камерами и микрофоном, подключенное к интернету, в Белом Доме как-то не очень. Мне кажется, если Президент Трамп мог использовать обычный iPhone для твиттера, то с Пелотоном как-нибудь тоже разберутся.

https://www.popularmechanics.com/technology/security/a35190713/joe-biden-peloton-white-house-security-risk/
https://www.nytimes.com/2021/01/19/us/politics/biden-peloton.html

Детальное исследование уязвимости в WebRTC, затрагивавшее FaceTime, Signal, JioChat, Mocha, Google Duo, и Facebook Messenger

https://googleprojectzero.blogspot.com/2021/01/the-state-of-state-machines.html