Если вам кажется, что в последнее время какое-то безумное количество новостей про 0~day уязвимости, то вам не кажется - этот год действительно стал рекордным по этому показателю
https://www.technologyreview.com/2021/09/23/1036140/2021-record-zero-day-hacks-reasons/
https://www.technologyreview.com/2021/09/23/1036140/2021-record-zero-day-hacks-reasons/
MIT Technology Review
2021 has broken the record for zero-day hacking attacks
But the reasons why are complicated—and not all bad news.
Неожиданно правительство Литвы призвало отказаться от покупок китайских смартфонов и даже выбросить уже купленные - мол, небезопасные они с уязвимостями, и данные куда-то там отправляют.
Новость https://www.bbc.com/news/technology-58652249
Сам отчёт об исследовании телефонов https://www.nksc.lt/doc/en/analysis/2021-08-23_5G-CN-analysis_env3.pdf
Новость https://www.bbc.com/news/technology-58652249
Сам отчёт об исследовании телефонов https://www.nksc.lt/doc/en/analysis/2021-08-23_5G-CN-analysis_env3.pdf
BBC News
Lithuania urges people to throw away Chinese phones
The country's National Cyber Security Centre found security risks in both Xiaomi and Huawei models.
Интересная версия по поводу большого количества постов со всякой тупизной на ФБ. Ну то есть там и так понятно, что большинство контента на ФБ — бесполезный тупняк, но тут речь о другом: о бесконечном потоке тупых мемасиков, которые уводят пользователей на страницы. Эти мемасики собирают миллионные просмотры, а заодно, похоже, и данные пользователей, хотя и до конца непонятно, с какой целью они это делают. Тут мы все, конечно, умные и осторожные, а у многих наверняка и ФБ нет, но мало ли. Вдруг пригодится ;)
https://www.politicalorphans.com/something-weird-is-happening-on-facebook/
https://www.politicalorphans.com/something-weird-is-happening-on-facebook/
Political Orphans
Something Weird Is Happening on Facebook
Someone appears to be pouring enormous energy and effort into a data collection project aimed at building personality profiles from social media interaction…again
Ну и всегда интересно почитать об уязвимости, которую обнаружили еще 5 лет назад, но она наконец-то добралась до Microsoft и сделала им больно - речь, конечно же, об Autodiscover, уязвимости в Exchange, которая в конечном итоге позволяла получить пароли пользователей в открытом тексте.
https://www.theregister.com/2021/09/27/microsoft_exchange_autodiscover/
https://www.theregister.com/2021/09/27/microsoft_exchange_autodiscover/
The Register
Story of the creds-leaking Exchange Autodiscover flaw – the one Microsoft wouldn't fix even after 5 years
Redmond reckoned protocol weakness is not a security vulnerability
This is fine.jpg
https://www.forbes.ru/news/441425-osnovatela-group-ib-arestovali-po-delu-o-gosizmene
https://www.forbes.ru/news/441425-osnovatela-group-ib-arestovali-po-delu-o-gosizmene
Forbes.ru
Основателя Group-IB арестовали по делу о госизмене
Основателя Group-IB арестовали на два месяца по делу о госизмене. По этой статье ему грозит до 20 лет лишения свободы. Ранее в компании, занимающейся кибербезопасностью, прошли обыски
Epik CEO eventually responded to the breach of his web hosting company in a 4+ hour long live video conference, where he prayed, rebuked demons, & warned that the hacked data had been cursed and could cause hard drives to burst into flames.
ШТОООООО
https://www.dailydot.com/debug/epik-ceos-live-video-response-hacking-inciden/
ШТОООООО
https://www.dailydot.com/debug/epik-ceos-live-video-response-hacking-inciden/
The Daily Dot
Epik CEO’s live video response to hacking incident descends into complete chaos
Rob Monster, the CEO of Epik, finally responded to the massive breach of his company in a bizarre and chaotic video conference.
Очень прикольная тема сразу по нескольким параметрам.
Во-первых, очередная история о том, как баг баунти программа Apple мяла булки, тупила и тормозила, по какой-то там причине затягивая процесс рассмотрения уязвимости, которую нашёл разработчик. Это включает в себя и то, что они не могут сказать, будет ли выплата на обнаружение, и её размер. Поэтому по прошествии 90 дней с момента обнаружения проблемы разработчик опубликовал информацию о ней.
Во-вторых, сама уязвимость тоже весьма прикольная. Там суть такая, что есть метки AirTags, которые, будучи потерянными и в соответствующем «потерянном» режиме, открывают страничку Apple тому, кто её найдёт - там открывается found.Apple.com. Но в страницу встраивается содержимое поля о номере телефона владельца, чтобы уведомить его об этом. Но Apple забыла встроить проверку поля номера телефона при настройке метки, и в этом суть уязвимости. В это поле можно прописать URL с XSS, и при открытии found.Apple.com там в странице загрузится, как приводит пример разработчик, фальшивое окно логина в iCloud - для сбора логинов в сервис. Понятно, что 2ФА защитит большинство пользователей, но и для этих механизмов уже появляются автоматизированные системы перехватов паролей. Ну и другие механизмы какого-нибудь вреда с помощью веб-страницы. Короче, разбрасываешь метки AirTag, потом собираешь что-нибудь. В общем, такие дела.
https://medium.com/@bobbyrsec/zero-day-hijacking-icloud-credentials-with-apple-airtags-stored-xss-6997da43a216
Во-первых, очередная история о том, как баг баунти программа Apple мяла булки, тупила и тормозила, по какой-то там причине затягивая процесс рассмотрения уязвимости, которую нашёл разработчик. Это включает в себя и то, что они не могут сказать, будет ли выплата на обнаружение, и её размер. Поэтому по прошествии 90 дней с момента обнаружения проблемы разработчик опубликовал информацию о ней.
Во-вторых, сама уязвимость тоже весьма прикольная. Там суть такая, что есть метки AirTags, которые, будучи потерянными и в соответствующем «потерянном» режиме, открывают страничку Apple тому, кто её найдёт - там открывается found.Apple.com. Но в страницу встраивается содержимое поля о номере телефона владельца, чтобы уведомить его об этом. Но Apple забыла встроить проверку поля номера телефона при настройке метки, и в этом суть уязвимости. В это поле можно прописать URL с XSS, и при открытии found.Apple.com там в странице загрузится, как приводит пример разработчик, фальшивое окно логина в iCloud - для сбора логинов в сервис. Понятно, что 2ФА защитит большинство пользователей, но и для этих механизмов уже появляются автоматизированные системы перехватов паролей. Ну и другие механизмы какого-нибудь вреда с помощью веб-страницы. Короче, разбрасываешь метки AirTag, потом собираешь что-нибудь. В общем, такие дела.
https://medium.com/@bobbyrsec/zero-day-hijacking-icloud-credentials-with-apple-airtags-stored-xss-6997da43a216
Medium
Zero-Day: Hijacking iCloud Credentials with Apple Airtags (Stored XSS)
Apple’s “Lost Mode” allows a user to mark their Airtag as missing if they have misplaced it. This generates a unique…
Лонгрид в WSJ на английском (но современные системы переводов в браузере неплохо справляются) об атаке ransomware на больницу. там в целом грустная история о том, что изза недоступности оборудования, которое не работало изза атаки, монитор сердцебиения ребенка при рождении не уведомил персонал, ребенок родился с травмой мозга и несколько месяцев спустя умер. Мама подала в суд на больницу, аргументируя, что хакерская атака убрала дополнительный уровень безопасности и контроля. Если суд примет решение в её пользу, то это станет первым подтвержденным случаем смерти от ransomware атаки.
https://www.wsj.com/articles/ransomware-hackers-hospital-first-alleged-death-11633008116
https://www.wsj.com/articles/ransomware-hackers-hospital-first-alleged-death-11633008116
WSJ
A Hospital Hit by Hackers, a Baby in Distress: The Case of the First Alleged Ransomware Death
An Alabama medical center was in the midst of a hack when Teiranni Kidd arrived to have her baby. A lawsuit says the computer outages from the attack led staff to miss troubling signs, resulting in the baby’s death, allegations the hospital denies.
Про Pandora Papers вы, наверно, уже слышали в новостях. Очередная утечка документов из офшоров, миллионы документов, десятки бывших и текущих мировых лидеров, сотни политиков из десятков стран:
The secret documents expose offshore dealings of the King of Jordan, the presidents of Ukraine, Kenya and Ecuador, the prime minister of the Czech Republic and former British Prime Minister Tony Blair. The files also detail financial activities of Russian President Vladimir Putin’s “unofficial minister of propaganda” and more than 130 billionaires from Russia, the United States, Turkey and other nations.
11,9 миллионов файлов, 600 журналистов и 150 изданий 2 года изучали документы. Опять напишут сотни статей, все повздыхают и поцокают языками, подкачают головой - и ничего не произойдёт.
https://www.icij.org/investigations/pandora-papers/global-investigation-tax-havens-offshore/
The secret documents expose offshore dealings of the King of Jordan, the presidents of Ukraine, Kenya and Ecuador, the prime minister of the Czech Republic and former British Prime Minister Tony Blair. The files also detail financial activities of Russian President Vladimir Putin’s “unofficial minister of propaganda” and more than 130 billionaires from Russia, the United States, Turkey and other nations.
11,9 миллионов файлов, 600 журналистов и 150 изданий 2 года изучали документы. Опять напишут сотни статей, все повздыхают и поцокают языками, подкачают головой - и ничего не произойдёт.
https://www.icij.org/investigations/pandora-papers/global-investigation-tax-havens-offshore/
International Consortium of Investigative Journalists - ICIJ
Offshore havens and hidden riches of world leaders and billionaires exposed in unprecedented leak
The Pandora Papers reveal the inner workings of a shadow economy that benefits the wealthy and well-connected at the expense of everyone else.
«Я протестировал нововведение в Telegram на Android и ничего подозрительного не обнаружил. Всё security-заявленное со стороны Tg работало так, как с обложки. Спустя только несколько суток (минимальный, честный срок автоудаления сообщений - 24ч.), проявив усердие, я добился того что искал: сообщения которые должны автоудаляться у участников личного и приватного групповых чатов <удалялись> только визуально (очистка окна сообщений), а в реальности сообщения-картинки оставались на устройствах в открытом кэше, который доступен любому пользователю по пути:
там дальше интересно про общение с командой ТГ по поводу баунти, договор с ТГ о неразглашении информации о баге, и в итоге публикацию информации об уязвимости. в общем, красивое!
https://habr.com/en/post/580582/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41861
/Storage/Emulated/0/Telegram/Telegram Image.»там дальше интересно про общение с командой ТГ по поводу баунти, договор с ТГ о неразглашении информации о баге, и в итоге публикацию информации об уязвимости. в общем, красивое!
https://habr.com/en/post/580582/
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41861
Habr
Конфиденциальность пользователей Telegram снова нарушена. Представители мессенджера требуют не раскрывать подробностей
В конце февраля 2021 года выходит обновлённый релиз клиента Telegram с заголовком: ‘ Автоудаление, виджеты и временные ссылки для приглашений’. На красивой, художественной обложке к пресс-релизу новой...
Простое и понятное пояснение, что, скорей всего, произошло с ФБ вчера, когда весь ФБ внезапно оказался опасносте и недоступен:
1. Накатили апдейт на маршрутизатор, который как-то пошёл не так, и стали недоступными dns для FB/IG/WA
2. ФБ, по сути, отключает свой сегмент сети от интернета - какое-то время домен Facebook . Com практически не существовал в сети
3. В это время пользователи приложений и веб-сайтов нетерпеливо автоматически и вручную пытаются загрузить себе ФБ, что приводит к нагрузке на и так загруженную инфраструктуру.
Бонус: в ФБ не работают внутренние инструменты, включая систему пропусков. Админы с боем пробиваются физически к серверам, потому что удалённый доступ тоже не работает. Весело у них там, да.
https://blog.cloudflare.com/october-2021-facebook-outage/
1. Накатили апдейт на маршрутизатор, который как-то пошёл не так, и стали недоступными dns для FB/IG/WA
2. ФБ, по сути, отключает свой сегмент сети от интернета - какое-то время домен Facebook . Com практически не существовал в сети
3. В это время пользователи приложений и веб-сайтов нетерпеливо автоматически и вручную пытаются загрузить себе ФБ, что приводит к нагрузке на и так загруженную инфраструктуру.
Бонус: в ФБ не работают внутренние инструменты, включая систему пропусков. Админы с боем пробиваются физически к серверам, потому что удалённый доступ тоже не работает. Весело у них там, да.
https://blog.cloudflare.com/october-2021-facebook-outage/
The Cloudflare Blog
Understanding how Facebook disappeared from the Internet
Today at 1651 UTC, we opened an internal incident entitled "Facebook DNS lookup returning SERVFAIL" because we were worried that something was wrong with our DNS resolver 1.1.1.1. But as we were about to post on our public status page we realized something…
Кстати, о ФБ. Тут появилась вчера инфа о продаже собранной пользовательской информации из ФБ на 1,5 млрд пользователей. Правда, никаких подтверждений нет и вроде как продавец скамер, но что в этой всей новости нового?
https://www.privacyaffairs.com/facebook-data-sold-on-hacker-forum/
https://www.privacyaffairs.com/facebook-data-sold-on-hacker-forum/
Privacy Affairs
Data of Over 1.5 Billion Facebook Users Sold on Hacker Forum
Data on over 1.5 billion Facebook users is being sold on a hacking-related forum, enabling cybercriminals advertisers to target users.
Syniverse — компания, которая является, по сути, точкой обмена информации между мобильными операторами в США (и некоторыми другими), через которую проходят данные о звонках, текстовые сообщения, информация об использовании мобильных данных, и тд. В сентябре компания подала в комиссию по ценным бумагам США документ (компания готовится к IPO), в котором говорится, что «неизвестные лица или организации получили несанкционированный доступ к базам данных внутри сетей компании», и что данные учетных записей как минимум 235 клиентов компании для доступа к среде обмена данными были скромпрометированы.
Взлом, по информации от компании, произошел в мае 2016 года, и был обнаружен в мае 2021 года. ПЯТЬ ЛЕТ. Компания обрабатывает 740 млрд текстовых сообщений в год, и напрямую подключена к более чем 300 мобильным операторам по всему миру. Что там было именно взломано, и к чему именно получили доступ злоумышленники, компания пока что не раскрывает, но в худшем сценарии это могут быть триллионы текстовых сообщений, с неизвестно какой еще информацией. да где же этому конец???
https://www.sec.gov/Archives/edgar/data/1839175/000119312521284329/d234831dprem14a.htm
Взлом, по информации от компании, произошел в мае 2016 года, и был обнаружен в мае 2021 года. ПЯТЬ ЛЕТ. Компания обрабатывает 740 млрд текстовых сообщений в год, и напрямую подключена к более чем 300 мобильным операторам по всему миру. Что там было именно взломано, и к чему именно получили доступ злоумышленники, компания пока что не раскрывает, но в худшем сценарии это могут быть триллионы текстовых сообщений, с неизвестно какой еще информацией. да где же этому конец???
https://www.sec.gov/Archives/edgar/data/1839175/000119312521284329/d234831dprem14a.htm
Windows 11 Security Book - документ с базовым описанием различных изменений и нововведений в системах безопасности операционной системы
https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RWMyFE
И полезный тред в твиттере с другими материалами на эту тему
https://twitter.com/NerdPyle/status/1445434635937140736
https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RWMyFE
И полезный тред в твиттере с другими материалами на эту тему
https://twitter.com/NerdPyle/status/1445434635937140736
Google тоже решила включить 2ФА принудительно для 150млн пользователей
https://blog.google/technology/safety-security/making-sign-safer-and-more-convenient/
https://blog.google/technology/safety-security/making-sign-safer-and-more-convenient/
Google
Making sign-in safer and more convenient
For most of us, passwords are the first line of defense for our digital lives. However, managing a set of strong passwords isn’t always convenient, which leads many people to look for shortcuts (i.e. dog’s name + birthday) or to neglect password best practices…
Воу, воу, тут Twitch, похоже, взломали. Причём весь. В составе утечки:
- полный исходный код проекта с комментами
- отчеты о выплатах
- СДК и сервисы AWS, используемые в проекте
- другие проекты, принадлежащие Twitch
- инструменты службы безопасности (ирония!)
125ГБ данных.
https://www.videogameschronicle.com/news/the-entirety-of-twitch-has-reportedly-been-leaked/
- полный исходный код проекта с комментами
- отчеты о выплатах
- СДК и сервисы AWS, используемые в проекте
- другие проекты, принадлежащие Twitch
- инструменты службы безопасности (ирония!)
125ГБ данных.
https://www.videogameschronicle.com/news/the-entirety-of-twitch-has-reportedly-been-leaked/
VGC
The entirety of Twitch has reportedly been leaked
Source codes and user payouts among the data released in a 128GB torrent…