EA WTF GTFO!

хакеры взломали Electronic Arts и унесли 780ГБ данных, которые включают в себя исходный код игры FIFA21 и движка Frostbite. Компания говорит, что «не ожидает существенного влияния на свой бизнес», но кто бы в этой ситуации говорил иначе?

https://www.vice.com/en/article/wx5xpx/hackers-steal-data-electronic-arts-ea-fifa-source-code

Если вы не прилетели сегодня с Марса, то вы наверняка уже в курсе того, что на этой неделе проходит конференция разработчиков WWDC2021. На ней в понедельник Apple показала новые возможности операционных систем компании — iOS/iPadOS/macOS. Их на удивление в этом году очень много, списки новых возможностей для каждой системы просто огромные. В этом посте я расскажу о том, что мне понравилось больше всего — об обновлениях, которые улучшают конфиденциальность пользовательских данных. Как вы знаете, я эту тему люблю, и вообще одобряю всё, что эту самую конфиденциальность повышает. Там не все так просто и очевидно, но некоторые функции реально очень полезны и пригодятся многим, поэтому я хочу о них рассказать больше.

Защита от трекинга в интернете
В этом году Apple уже запустила в оборот функцию App Tracking Privacy, чем вызвала немало бурлений у Facebook и других рекламных агентств. (Там, напомню, речь идёт о том, что пользователь может запретить приложениям доступ к рекламному идентификатору устройства, что существенно усложняет связку различных активностей пользователей в сети и формирования его портрета). В iOS 15 появляются две очень полезные функции, которые еще больше затрудняют мониторинг активности пользователя.

https://alexmak.net/2021/06/08/apple-privacy-2021-update/#more-21235

=== РЕКЛАМА ====

Освойте продвинутые приемы реверс-инжиниринга! 15-16 июня приглашаем на открытый интенсив «Пишем дампер процессов». За два дня вы научитесь разбирать PE формат и восстанавливать таблицу импортов.
— Напишете PE анализатор, сделаете анализ заголовков и парсинг секций
— Освоите методы восстановления таблицы импорта, поиск загруженных библиотек, восстановление.
После интенсива вас ждет еще больше инструментов анализа вредоносного ПО на онлайн-курсе «Reverse-Engineering. Professional» от OTUS.

Для регистрации на занятие пройдите вступительный тест

Хакеры, взломавшие Electronic Arts, рассказали Motherboard, как они это сделали, и это песня в каждом слове!


A representative for the hackers told Motherboard in an online chat that the process started by purchasing stolen cookies being sold online for $10, and using those to gain access to a Slack channel used by EA. Cookies can save the login details of particular users, and potentially let hackers log into services as that person. In this case, the hackers were able to get into EA's Slack using the stolen cookie. (Although not necessarily connected, in February 2020 Motherboard reported that a group of researchers discovered an ex-engineer had left a list of the names of EA Slack channels in a public facing code repository).

"Once inside the chat we messaged a IT Support members we explain to them we lost our phone at a party last night," the representative said.

The hackers then requested a multifactor authentication token from EA IT support to gain access to EA's corporate network. The representative said this was successful two times.

(купили куки за 10 долларов, залогинились с ним в корпоративный Slack, рассказали в чате IT-службе, что потеряли телефон на вечеринке и попросили 2FA-токен для входа в сеть компании)

https://www.vice.com/en/article/7kvkqb/how-ea-games-was-hacked-slack

Volkswagen анонсировал новый автомо… ой, не туда пишу. анонсировал, что компания стала жертвой взлома, и данные более 3,3 млн клиентов компании могли быть доступны кому попало. некий подрядчик, который обслуживал дилеров VW и Audi в США, оставил данные за период с 2014 по 2019 год где-то там в интернете на протяжении двух лет (скорей всего, какой-нибудь амазоновский бакет или чтото такое). Это была вроде как база данных для продаж и маркетинга с именами и имейлами, но у 90 тысяч клиентов там были данные про водительское удостоварение, кредиты, дату рождения и номер социального страхования.

https://www.documentcloud.org/documents/20806130-audi-volkswagen-letter

https://techcrunch.com/2021/06/11/volkswagen-says-a-vendors-security-lapse-exposed-3-3-million-drivers-details/

=== РАБОТА ===

#вакансия #Москва #удаленка #itsecurity #banking #банкинг #B2B #финтех


📍Вакансия: IT Security Engineer
📍Компания: http://www.payapp.com
📍Проект: B2B онлайн банкинг
📍Город, график: Москва, удаленка, офис
📍Доход: 230 000 - 350 000 руб

📌PayApp - B2B онлайн банкинг с эквайрингом для бизнеса с возможностью приема платежей по всему миру и онлайн помощником. Проект нацелен на европейский рынок.

Основная цель PayApp - дать малому бизнесу и предпринимателям в Европе удобный банковский инструмент с возможностью открытия счета для бизнеса за день, с приемом и отправкой онлайн-платежей и отчетностью перед налоговыми инстанциями.
Мы используем микросервисную архитектуру, ориентируемся на Highload, помимо финансового функционала (управление счетом, выпуск карт, эквайринг, антифрод, интеграции с финансовыми сервисами) планируем активно развивать онлайн-помощь пользователям банка, с использованием ботов и ИИ.
Проект является спин-оффом компании Azure Games - разработчик и издатель мобильных игр с ежедневной аудиторией более 28 миллионов пользователей.
📌Чем предстоит заниматься:
• Комплексное обеспечение информационной безопасности компании;
• Мониторинг уязвимостей;
• Анализ векторов атаки;
• Управление межсетевым экраном, ключевой инфраструктурой;
• Проведение внутренних аудитов по информационной безопасности;
• Контроль прав доступа пользователей в корпоративных системах;
• Контроль соблюдения требований информационной безопасности;
• Разработка нормативных документов по информационной безопасности;
• Проведение обучения и проверки знаний сотрудников по вопросам информационной безопасности;
• Выявление и расследование инцидентов информационной безопасности;
• Консультирование коллег и клиентов Компании по вопросам обеспечения ИБ;
• Выполнение регламентных работ по стандарту PCIDSS

📌Кого мы ищем, что ждем от кандидата?
• Опыт работы в сфере информационной безопасности в финансовых или банковских сервисах;
• Умение работать с удаленной командой;
• Умение работать в условиях часто меняющихся требований;
• Понимание взаимосвязи требований и внедряемых мер информационной безопасности с реальной защищенностью;
• Знание систем и средств защиты информации;

📌Будет плюсом:
• Техническое высшее образование по специальности “Информационная безопасность», опыт работы по станадрту PCIDSS.

📌Как мы работаем:
• Много умных и амбициозных ребят, которые “горят” своим делом;
• Руководители, которые дают свободу в принятии решений и дорожат опытом и знаниями своих сотрудников;
• Гибкое начало и окончание рабочего дня;
• Удаленка с возможностью приезжать в офис при необходимости или вашем желании;
• Вкусные оплачиваемые обеды в офисе

📌Связаться со мной:
Ольга Речкалова

📩Почта: or@payappdigital.com
❗️Telegram: @lovemyriver

Вот неожиданная для меня новость в канале, не самим фактом утечки, а скорее типом информации. Компания, которая продает GPS трекеры на щиколотку (соотвественно, продает их правоохранительным органам для мониторинга людей под домашним арестом), допустила утечку информации. В интернете стали доступны имена, домашние адреса, детальная информация о передвижении людей, которые находились под электронным мониторингом в Чикаго.

https://www.vice.com/en/article/3aqagy/contractor-exposed-the-movements-of-people-wearing-ankle-gps-bracelets

Но иногда в канале бывают и хорошие новости! Например, Google анонсировала, что Google Workspace, корпоративное предложение для бизнесов, которым нужны Google Docs/Sheets/Slides, будет добавлена поддержка шифрования со стороны клиента, так что для Google данные будут недоступны. Компании, которые используют Google Workspaces, могут загрузить свои шифровальные ключи на один из поддерживаемых на данный момент сервисов (Flowcrypt, Futurex, Thales или Virtru), а в будущем ожидается, что можно будет использовать и собственное хранилище ключей.

Технические детали реализации — по ссылке:
https://services.google.com/fh/files/misc/google-workspace-encryption-wp.pdf

=== РЕКЛАМА ====

Работаешь в ИБ в банке?

Для соответствия стандарту ГОСТ Р 57580.1-2017 кредитным организациям нужна SIEM-система. Специально для банков с небольшой IT-инфраструктурой Positive Technologies выпустила лицензию системы MaxPatrol SIEM All-in-One на 100 сетевых узлов. Ее стоимость ― 2,2 миллиона рублей.

Реализуйте 108 технических мер ГОСТ Р 57580.1-2017 с помощью лидирующей отечественной SIEM-системы и выявляйте актуальные атаки. Чтобы получить MaxPatrol SIEM All-in-One по специальной цене, оставьте заявку на странице продукта.

интересное исследование по поводу того, какие данные собирают разные компании с помощью приложений о своих пользователях. Никаких особых откровений, и местами есть вопросы, но интересно посмотреть на это все сразу в одном месте

https://clario.co/blog/which-company-uses-most-data/

А в Украине полиция арестовала 6 участников группировки CLOP, которые обвиняются в использовании вируса-вымогателя для получении более 500 млн долларов выгоды

Официальная новость
https://www.npu.gov.ua/news/kiberzlochini/kiberpolicziya-vikrila-xakerske-ugrupovannya-u-rozpovsyudzhenni-virusu-shifruvalnika-ta-nanesenni-inozemnim-kompaniyam-piv-milyarda-dolariv-zbitkiv/

Новость на английском
https://techcrunch.com/2021/06/16/ukrainian-police-arrest-multiple-clop-ransomware-gang-suspects/

Но тут говорят, что это не участники ядра группировки, а отмывается денег
https://krebsonsecurity.com/2021/06/ukrainian-police-nab-six-tied-to-clop-ransomware/

Lol

https://twitter.com/unpacker/status/1405326031871889409

Прекрасная история про приложение Google для Android и динамически подгружаемый код в приложении. Многие приложения Google для оптимизации размера закачивают на телефон лишь часть программы, а часть кода динамически подгружают из того, что уже есть на телефоне. Исследователи обнаружили, что можно подложить таким образом вредоносный кол, что он унаследует практически бесконечные права приложения Google и может получить доступ к огромному количеству пользовательских данных на телефоне.

https://blog.oversecured.com/Why-dynamic-code-loading-could-be-dangerous-for-your-apps-a-Google-example/

Не информация опасносте, но тоже весело - все как я люблю про IoT. В Техасе сейчас очень сильная жара, соответственно, все выкручивает настройки кондиционеров на максимум. И вот энергетические компании, которые часто устанавливают климатическое оборудование в домах, решили помочь людям экономить электричество: эти компании сами удаленно меняют настройки температуры на термостатах.

Заголовок драматичный и, возможно, соберёт много кликов. Мало кто прочитает в статье, что это специальная программа, в которую ещё клиент должен добровольно записаться (скорей всего, под обещание снижения тарифов). Правда, пункт про удалённое управление термостатом, скорей всего, никто просто внимательно не читал в соглашении программы.

https://www.dailydot.com/debug/texas-remote-controlled-smart-thermostats/

Документы как результат коллективного исследования ученых Германии, Норвегии и Франции об алгоритме GEA/1. Этот алгоритм был разработан в 1998 году в European Telecommunications Standards Institute (Европейском Институте Телекоммуникационных Стандартов) для 64-битного шифрования данных стандарта связи GPRS. Но в итоге он был 40-битным, а то, как были разделены ключи шифрования, позволяло их взломать. То ли это было сделано осознанно с целью подслушивания или же в связи с непонятным на тот момент статусом шифрования и запретами на экспорт — история умалчивает.

https://eprint.iacr.org/2021/819
https://eprint.iacr.org/2021/819.pdf

Издание Vice добыли интересные материалы: инструкции для устройств Graykey компании Grayshift. Если это название кажется вам знакомым, то не зря, поскольку оно довольно часто фигурирует в материалах этого канала. Это устройства, с помощью которого представители правоохранительных органов могут взламывать устройства компании Apple, прежде всего смартфоны iPhone. По сути, Graykey занимается перебором паролей, но делает это каким-то хитрым образом так, что не триггерит блокировку айфона и удаление данных при неправильных попытках. Похоже, у разработчиков компании есть некие знания о работе процессов вокруг Secure Enclave - процессора внутри iPhone, обеспечивающего безопасность смартфона, что и позволяет перебирать пароли без ограничения количества попыток. (Что неудивительно, так как компания организована бывшими сотрудникам Apple). Apple постоянно улучшает свои алгоритмы, но Grayshift не сдаётся и продолжает играть в кошки-мышки с Apple.

Важно, что относительно легко перебираются цифровые пароли (разумеется), а вот пароли с цифрами и буквами требуют дополнительных усилий и занимают гораздо больше времени. Так что если вам нужен был знак, чтобы наконец-то избавиться от цифрового пароля и завести буквенное-цифровой, то это тот самый знак!


https://www.vice.com/en/article/k7835w/how-to-brute-force-iphones-graykey

Прикольная тема с добавлением незаметного шума в фотографии, чтобы сбить с толку алгоритмы распознавания лиц. Фотографии безопасносте!

https://www.vice.com/en/article/m7e9qv/hackers-fool-facial-recognition-into-thinking-im-mark-zuckerberg

Кукипокалипсис пока откладывается - Google отложила планы по блокировке сторонних куки в Chrome до 2023 года

https://blog.google/products/chrome/updated-timeline-privacy-sandbox-milestones/

Так. Тут информация реально опасносте! Если у вас есть NAS WD My Book (уточнение - серии Live), то его лучше пока что отключить от интернета. То ли сервера WD взломали, то ли какая-то уязвимость где-то: но многие владельцы NASов обнаруживают, что их данные пропали из хранилища - кто-то удаленно сделал заводской сброс. Весело там у них

https://www.bleepingcomputer.com/news/security/wd-my-book-nas-devices-are-being-remotely-wiped-clean-worldwide/