Wall Street Journal опубликовала интервью с 21-летним жителем Турции, который утверждает, что именно он взломал T-Mobile и собрал не меньше 50 млн записей клиентов компании. Статья за пейволлом, но вообще там рассказывается о том, что он просканировал IP-адреса компании на предмет слабых точек, нашёл незащищённый роутер с доступом дата-центру компании, откуда сохранённые аутентификационные данные позволили получить доступ к более чем 100 серверам. Это все произошло в июле, и заняло какое-то время разобраться с тем, куда же он получил доступ, но уже 4 августа он скачал персональные данные клиентов оператора. Там, как я уже писал раньше, более 50 млн записей с именами, датами рождения, номерами социального страхования, водительскими удостоверениями и тд. Дальше начинается странная история про то, что взлом этот хакер сделал для того, чтобы привлечь внимание к незаконному его похищению, и тому, как он оказался в ненастоящей психбольнице в Германии. (што?). Короче, пока что он не говорит, продал ли он данные, ну и ФБР имеет шансы до него добраться конечно же.
https://www.wsj.com/articles/t-mobile-hacker-who-stole-data-on-50-million-customers-their-security-is-awful-11629985105
https://www.wsj.com/articles/t-mobile-hacker-who-stole-data-on-50-million-customers-their-security-is-awful-11629985105
WSJ
WSJ News Exclusive | T-Mobile Hacker Who Stole Data on 50 Million Customers: ‘Their Security Is Awful’
John Binns said he managed to pierce T-Mobile’s defenses after discovering in July an unprotected router exposed on the internet. The 21-year-old said he did it to gain attention: “Generating noise was one goal.”
Лето у Microsoft с точки зрения безопасности не задалось (хотя, что там лето, весь год. Или даже больше?). Теперь компания рассылает уведомления своим клиентам об уязвимости в Microsoft Azure Cosmos DB. Эта уязвимость привела к тому, что все данные в этих базах данных были доступны без каких-либо ограничений всем желающим (ну, тем, кто знал, где смотреть). Затронуты более 3300 клиентов компании. Уязвимость появилась в 2019 году с новой функцией визуализации, которую включили по умолчанию в феврале 2021 года. Microsoft говорит, что свидетельств доступа к этим данным нет.
Блог пост компании, обнаружившей эту уязвимость:
https://www.wiz.io/blog/chaosdb-how-we-hacked-thousands-of-azure-customers-databases
Новость с комментарием Microsoft
https://www.bloomberg.com/news/articles/2021-08-27/microsoft-cloud-databases-vulnerable-for-years-researchers-say
Блог пост компании, обнаружившей эту уязвимость:
https://www.wiz.io/blog/chaosdb-how-we-hacked-thousands-of-azure-customers-databases
Новость с комментарием Microsoft
https://www.bloomberg.com/news/articles/2021-08-27/microsoft-cloud-databases-vulnerable-for-years-researchers-say
wiz.io
ChaosDB: How we hacked thousands of Azure customers’ databases | Wiz Blog
As part of building a market-leading CNAPP, Wiz Research is constantly looking for new attack surfaces in the cloud. Two weeks ago we discovered an unprecedented breach that affects Azure’s flagship database service, Cosmos DB.
классная фича в ТГ. писал текст, решил к нему приаттачить гифку — гифка запостилась, текст потерялся.
короче, в тексте были три ссылки с материалами, критикующими подход Apple к детекции материалов с CSAM на устройствах пользователя. Это будет короткая версия, так как писать еще раз аннотацию к этому всему мне лень теперь:
1. Пост Сноудена, где он пишет о том, что неважно, какую проблему решает Apple, система все равно плохая
https://edwardsnowden.substack.com/p/all-seeing-i
2. Юридический взгляд на внедрение этой системы
https://www.lawfareblog.com/apple-client-side-scanning-system
3. ну и вообще критика Эпол по поводу того, как они защищают (или не защищают) детей
https://campaignforaccountability.org/ttp-investigation-apples-app-store-loopholes-put-children-at-risk/
1. Пост Сноудена, где он пишет о том, что неважно, какую проблему решает Apple, система все равно плохая
https://edwardsnowden.substack.com/p/all-seeing-i
2. Юридический взгляд на внедрение этой системы
https://www.lawfareblog.com/apple-client-side-scanning-system
3. ну и вообще критика Эпол по поводу того, как они защищают (или не защищают) детей
https://campaignforaccountability.org/ttp-investigation-apples-app-store-loopholes-put-children-at-risk/
Substack
The All-Seeing "i": Apple Just Declared War on Your Privacy
“Under His Eye,” she says. The right farewell. “Under His Eye,” I reply, and she gives a little nod.
В шоу Джона Оливера - популярное еженедельное новостное шоу на HBO - был хороший выпуск про ransomaware, где популярным английским языком рассказывают, что это такое и почему эта тема сейчас очень популярна. Там еще в конце хороший рекламный ролик по этому поводу
https://www.youtube.com/watch?v=WqD-ATqw3js
https://www.youtube.com/watch?v=WqD-ATqw3js
YouTube
Ransomware: Last Week Tonight with John Oliver (HBO)
John Oliver discusses ransomware attacks, why they’re on the rise, and what can be done about them.
Connect with Last Week Tonight online...
Subscribe to the Last Week Tonight YouTube channel for more almost news as it almost happens: www.youtube.com/lastweektonight…
Connect with Last Week Tonight online...
Subscribe to the Last Week Tonight YouTube channel for more almost news as it almost happens: www.youtube.com/lastweektonight…
Прикольная тема: новая фишка Apple с Private Relay, когда сигнал передаётся через две «прокси», из которых одна знает «кто», вторая знает «куда» — и все это с целью сокрытия пользователя и его походов в сети, в текущем виде бета-версии на самом деле позволяет вычислить IP-адрес пользователя. Для беты объяснимо, но посмотрим, что будет в релизе
https://www.reddit.com/r/privacy/comments/pd4y5m/apples_new_private_relay_is_leaking_your_original/
https://www.reddit.com/r/privacy/comments/pd4y5m/apples_new_private_relay_is_leaking_your_original/
Reddit
From the privacy community on Reddit
Explore this post and more from the privacy community
Охереннейший тред о новом законопроекте в Китае, как правительство собирается регулировать алгоритмы, используемые в различных сервисах. Например, что у пользователей должна быть информация о том, что алгоритмы используются для рекомендации контента или продуктов, возможность отказаться от алгоритмического контента, а также видеть и удалять ключевые термины, используемые алгоритмами для рекомендаций. ФБ, наверно, радуется, что они не в Китае.
https://twitter.com/kendraschaefer/status/1431134515242496002
https://twitter.com/kendraschaefer/status/1431134515242496002
Twitter
Kendra Schaefer 凯娜
My goodness. China's cyberspace watchdog, the CAC, just published a long (and unprecedented) set of draft regulations for recommendation algorithms. The short version: they will be tightly controlled. Key points below. 1/ cac.gov.cn/2021-08/27/c_1…
Тут же наверняка есть кто-нибудь из Австралии. У вас там уже вообще ку-ку? Понапринимали всяких законов про то, как полиция может взламывать телефоны, собирать ваши данные, получать контроль над аккаунтами в соцсетях - и все это даже без решения суда. Как-то нехорошо это все, в добавление ко всем паукам, крокодилам и акулам там у вас.
https://tutanota.com/blog/posts/australia-surveillance-bill/
https://tutanota.com/blog/posts/australia-surveillance-bill/
Tuta
Australia: Unprecedented surveillance bill rushed through parliament in 24 hours. | Tuta
New Australian surveillance bill enables police to hack your device, collect or delete your data, and take over your social media accounts.
История о том, как сотрудница кредитного союза в Нью Йорке, будучи уволенной, на прощание снесла 21 гигабайт данных клиентов организации. Причём её уволили, но аккаунт не заблокировали, поэтому она подключилась удаленно и за 40 минут наудаляла 20 тысяч документов - заявок на кредиты и другую информацию. Еще и похвасталась после этого кому-то из друзей о совершённом. Данные из бекапа восстановили, конечно, но все это стоило денег и времени. Теперь она признала в суде свою вину и ещё неизвестно, на сколько может сходить в тюрьму.
https://www.justice.gov/usao-edny/press-release/file/1428871/download
https://www.justice.gov/usao-edny/press-release/file/1428871/download
Очередное подтверждение, что если к телефону или компьютеру и подключать какие-то кабели, то только свои! Компания OMG Cables, как они себя называют, разработали новый вариант своего кабеля со встроенным кейлоггером, теперь с Lightning на USB-C - чудеса миниатюризации! Например, с помощью этого кабеля можно подключить к Маку клавиатуру, и встроенный кейлоггер будет собирать весь набранный текст и по беспроводу передавать его злоумышленнику, который в этот момент может находиться за полтора километра от жертвы.
https://www.vice.com/en/article/k789me/omg-cables-keylogger-usbc-lightning
https://www.vice.com/en/article/k789me/omg-cables-keylogger-usbc-lightning
VICE
This Seemingly Normal Lightning Cable Will Leak Everything You Type
A new version of the OMG Cable is a USB-C to Lightning Cable that hackers can use to steal your passwords or other data.
Apple сказала, что на основании обратной связи по поводу функции сканирования контента на телефоне на предмет фотографий, содержащих сцены насилия над детьми, она откладывает внедрение этой функциональности
Как известно, ProtonMail - безопасный почтовый сервис, до тех пор, пока не становится опасным. Сервис оперирует в Швейцарии и утверждал, что никому* IP адреса пользователей не передаёт.
* кроме швейцарской полиции
Поэтому французская полиция запросила данные у швейцарской полиции через Европол, та пришла к ProtonMail - получила запрошенные данные.
Уточнение: «они не хранят адреса по умолчанию, но если придёт запрос по всей форме, то они начинают с этого момента хранить историю IP, с которых входили в конкретную учётку»
https://techcrunch.com/2021/09/06/protonmail-logged-ip-address-of-french-activist-after-order-by-swiss-authorities/
PS вроде как в случае с ProtonVPN данные IP-адресов полиция не имеет права запрашивать, но кто теперь уже там знает.
* кроме швейцарской полиции
Поэтому французская полиция запросила данные у швейцарской полиции через Европол, та пришла к ProtonMail - получила запрошенные данные.
Уточнение: «они не хранят адреса по умолчанию, но если придёт запрос по всей форме, то они начинают с этого момента хранить историю IP, с которых входили в конкретную учётку»
https://techcrunch.com/2021/09/06/protonmail-logged-ip-address-of-french-activist-after-order-by-swiss-authorities/
PS вроде как в случае с ProtonVPN данные IP-адресов полиция не имеет права запрашивать, но кто теперь уже там знает.
TechCrunch
ProtonMail logged IP address of French activist after order by Swiss authorities | TechCrunch
ProtonMail, a hosted email service with a focus on end-to-end encrypted communications, has been facing criticism after a police report showed that French
Популярный сервис для дейтинга Bumble содержал уязвимость, которая позволяла выяснить точное положение пользователя. По умолчанию геолокация «округляется», разумеется, но метод трилатерации - измерение расстояния от трёх разных точек никто не отменял. Так что хакер придумал метод со скриптом, который создавал фейковый профиль и изменял ему расстояние от жертвы. Детали по ссылке
https://robertheaton.com/bumble-vulnerability/
https://robertheaton.com/bumble-vulnerability/
Robert Heaton
Vulnerability in Bumble dating app reveals any user's exact location | Robert Heaton
The vulnerability in this post is real. The story and characters are obviously not.