Служба безопасности Яндекса раскрыла внутреннюю утечки информации – скомпрометированы 4887 почтовых ящиков. владельцы получили уведомление о необходимости смены пароля

https://yandex.ru/company/press_releases/2021/2021-02-12

Хех, продавцы утечки CDProjectRed на русском пишут лучше, чем на английском

https://twitter.com/Intel_by_KELA/status/1359856145205239812

Модный на сегодня проект социальной сети с голосовым чатом Clubhouse, как оказалось, при разработке своего приложения слегка расслабил булки с точки зрения защиты конфиденциальности пользовательских данных. Clubhouse применил в своём проекте разработки китайской компании Agora Lab, а она в свою очередь занимается разработкой RTC-решений для передачи данных во время голосовых и видео звонков, а также во время стриминга. Короче, при подключении в комнату для разговоров Clubhouse, который существует пока что только для iOS, передает в открытом виде уникальные ID пользователя и ID комнаты. Таким образом можно собрать информацию и сделать выводы о том, в какие комнаты ходит конкретный пользователь. Более того, есть вероятность, что Angora имеет доступ к самому аудио, что, по сути, делает это аудио доступным и китайскому правительству. Clubhouse сказали, что они больше так не будут и все исправят.

https://cyber.fsi.stanford.edu/io/news/clubhouse-china

Ну и кстати раз уж мы про Clubhouse, не могу не отметить то, что бесит меня невероятно в этом (и многих других) приложении — доступ к адресной книге. Нет, я не хочу раскрывать все свои контакты с кучей конфиденциальной информации неизвестно кому и неизвестно как хранящим эту информацию. И тем не менее, приложение настаивает на том, чтобы получить доступ к адресной книге, чтобы можно было раздать инвайты в сервис. Жаль, что многие пользователи, не задумываясь, нажимают «разрешить».

https://onezero.medium.com/clubhouse-is-suggesting-users-invite-their-drug-dealers-and-therapists-a8161b3062fc

Тысячи их, тысячи

https://www.theregister.com/2021/02/15/solarwinds_microsoft_fireeye_analysis/

Читатель прислал о местных утечках:

В Литве утекла база сервиса каршеринга: https://raidforums.com/Thread-CityBee-LT-Database-Leaked-Download (вот тут продавали за 1000$)

https://www.delfi.lt/verslas/transportas/teisingumo-ministre-apie-citybee-skandala-rizika-del-duomenu-panaudojimo-yra-bet-ji-zema.d?id=86495451
тут по-литовски - тут министр юстиции втирает, што ничего страшного. банковские карты и права рекомендует не менять. хз, насколько в современном мире это ценный совет.
https://www.delfi.lt/ru/news/economy/glava-kompanii-citybee-prizyvaet-klientov-menyat-paroli.d?id=86494971
тут по-русски

данные не самые свежие, но потекло: имена, фамилии, персональные коды (National Identity Card Number), номера телефонов, эл. почта, адреса, номера водительских удостоверений

кстати, вот пару дней назад пропустил еще тему. Эпол, похоже, решила поругаться со всеми соседями по долине. В браузерах Safari есть тема, что там показываются предупреждения о потенциально вредоносных сайтах (фишинг там, вот это все), а эта система использует данные Google Safe Browsing. Формально там Safari отправляет Google не весь УРЛ, а только хешированную часть, и технически Google не получает от браузера информации о том, какой именно УРЛ запрашивает пользователь. Тем не менее, Google могла получать IP-адрес пользователя, и вот в новой версии iOS Apple выкатила изменение, в котором Google Safe Browsing работает через прокси-сервер Apple, и таким образом Google вообще никакой информации о пользователе не получает.


https://the8-bit.com/apple-proxies-google-safe-browsing-privacy/

https://www.reddit.com/r/iOSBeta/comments/lg10f3/ios_145_beta_1_apple_proxies_google_safebrowsing/

как мне напоминают читатели, надо обратить внимание на то, что менеджер паролей LastPass вводит новую политику монетизации, по которой бесплатная версия может работать только на одном типа устройства пользователя — компьютере или смартфоне. Что в современном мире несколько неудобно и, соответственно, потребует либо заплатить денег, либо искать другой менеджер паролей. удачи!

https://blog.lastpass.com/2021/02/changes-to-lastpass-free/

красиво (как полиция Нидерландов и Украины получила контроль над инфраструктурой ботнета Emotet)
https://www.youtube.com/watch?v=vXEUUZ1tWjs

Тут вот уже пишут, что современные вирусописатели вирусов для Мак осознали, что надо идти в ногу со временем, и начали компилировать свои вирусы под новую Arm-архитектуру процессоров М1. Само приложение - рекламное, показывает в браузере всякую рекламу и купоны, но сам факт, что оно уже нативно на М1 Маке, забавен

https://objective-see.com/blog/blog_0x62.html

=== Реклама ===
DevSecOps Wine

В 2017 году происходит масштабная утечка данных Equifax в следствие отсутствии проверки SCA в процессе разработки.

В 2019 году уязвимость, связанная с runC, подвергает опасности тысячи кластеров Kubernetes.

В 2020 осуществляется серия атак на API Docker со стороны группировки TeamTNT с помощью легитимных образов Ubuntu и Weave Scope.

В 2021 уязвимость Dependency Confusion позволила внедрить вредоносный пакет в цепочки поставок Microsoft, Apple и сотни других компаний.

Все это является следствием упущений в обеспечении DevSecOps.

DevSecOps Wine - канал про выстраивание безопасной разработки и AppSec. Автор поднимает темы безопасности Kubernetes, Docker, облаков (AWS, GCP, Azure), а тажке того, что касается современных SAST, DAST, SCA и других средств, встраиваемых в CI/CD. Все это разбавляется техниками тестирования на проникновение и защитой веба.

=== Реклама ===

Действительно смешно https://twitter.com/0xw2w/status/1362078365835014146?s=21

Если вы в прошлом году бывали на Ямайке, то у меня для вас плохие новости. База данных сайта, который подрядчик разрабатывал для правительства Ямайки, и на котором хранились записи о посетителях острова, оказалась незащищенной паролем и доступной в интернете, и все эти данные, скорей всего, утекли. Там еще и данные с тестами на Ковид19 тех, кто на остров прилетал, были, и все это, что нажито непосильным трудом, все было в интернете. Правительство пока организовало расследование, чтобы выяснить, был ли доступ к данным, собственно. Никогда такого не было, и вот опять

https://techcrunch.com/2021/02/17/jamaica-immigration-travelers-data-exposed/

Там вчера Apple опубликовала обновленную версию своего документа Platform Security Guide, в котором есть очень много разных и интересных деталей про то, как работает в устройствах и сервисах компании обеспечение безопасности и самих устройств, и информации пользователей.

https://support.apple.com/guide/security/welcome/web

Вот ПДФ https://manuals.info.apple.com/MANUALS/1000/MA1902/en_US/apple-platform-security-guide.pdf

Из того, что обновилось, рассказы про изменения в новых версиях операционных систем для смартфонов, планшетов (iOS/iPadOS 14) и Маков (macOS Big Sur). Изменения в Маках с процессорами Arm (отказ от kernel extensions в будущем, изменения в процессе загрузки, бинарная трансляция приложений в Rosetta, и тд.
Про фичу мониторинга паролей, где система проверяет хеши паролей на предмет их утечки (https://support.apple.com/guide/security/password-monitoring-sec78e79fc3b/web), или же про изменения процесса загрузки айфонов (https://support.apple.com/guide/security/memory-safe-iboot-implementation-sec30d8d9ec1/web). Я неоднократно говорил, что это один из самых интересных документов, который публикует Apple, и он даёт возможность посмотреть на то, как компания обеспечивает многослойный уровень защиты, от комплилятора до операционных систем, и до железа.

=== РАБОТА ===

Всем привет! 🙂

«Нетология» приглашает специалистов по InfoSec/DevSecOps преподавать на курсе «Специалист по информационной безопасности»: netology.ru/programs/informationsecurity

🎓 Мы ищем лектора, который знает следующие темы:


⚙️ Тестирование на проникновение, уязвимости веб-приложений:
🔹 Архитектура современных веб-сервисов;
🔹 Уязвимости веб-сервисов;
🔹 OWASP;
🔹 Тестирование на проникновение

⚙️ Организация безопасности:
🔹 Настройка и администрирование СЗИ;
🔹 Мониторинг событий безопасности;
🔹 Регламентация процесса;

Какие есть возможности:

📚 Поделиться знаниями и опытом с молодыми спецами по InfoSec;

💵 Работать удаленно на part-time с гибкой системой заработка: лучшие эксперты зарабатывают больше 100 000 рублей в месяц, совмещая преподавание с основной работой;

💎 Получить опыт преподавания и новые знания в своей сфере

Вам не обязательно знать все темы или иметь опыт преподавания: если чувствуете, что готовы делиться знаниями и помогать другим освоить новую профессию — смело пишите в Telegram @klotze2 или на почту r.pshenichnikov@netology.ru!

Даниэль Стейнберг, автор curl/libcurl, программного обеспечения, использующегося, вероятно, в 99 из 100 подключенных к интернету устройств, иногда постит смешные емейлы, которые получает от случайных людей — что-то вроде жалоб пользователей на NFS World, стучащуюся на давно закрытые сервера, и возвращающую "ошибку curl".

Так вот, сегодняшний образец совсем не смешной.

https://daniel.haxx.se/blog/2021/02/19/i-will-slaughter-you/

обычно по пятницам контент повеселее, конечно, но тут какая-то и правда жопа. чувак, потерявший какието контракты на разработку, пишет с угрозами автору curl, потому что считает его виноватым в потере, так как curl используется практически везде
при том, что как раз вроде бы curl ни в каких из последних атак не был замечен как источник уязвимости для этих взломов, по крайней мере, из тех, что перечислены. люди не в себе, конечно

но чтобы немножко улучшить пятницу