oh no! anyway...

https://www.elliptic.co/blog/bug-allows-nfts-worth-over-1-million-to-be-stolen

Чуть больше недели был пост про чувака, который утверждает, что может удаленно управлять некоторыми Теслами.

https://t.me/alexmakus/4502

Технических деталей тогда не было, а сейчас вот есть. Как и предполагалось, уязвимость была в стороннем софте TeslaMate, который позволяет собирать всякую информацию о машине владельцам автомобилей. Собственно, уязвимость была в админке- дашборде, который показывал собранную информацию. Вместе с неправильными конфигурациями эти дашборды торчали голой жопой в интернет, и более того, позволяли получить ключи от API, которые как раз давали возможность удаленно управлять автомобилями.

https://medium.com/@david_colombo/how-i-got-access-to-25-teslas-around-the-world-by-accident-and-curiosity-8b9ef040a028

Еще одно «а помните?». Тоже несколько дней назад бла история о взломе Crypto.com и краже 15млн долларов.

https://t.me/alexmakus/4510

А на самом деле, как оказалось, украли 30 млн долларов из кошельков примерно почти 500 пользователей. Деньги пострадавшим компенсировали, но осадочек остался

https://crypto.com/product-news/crypto-com-security-report-next-steps

Так уж получилось, что и третий пост сегодня тоже вдогонку к посту с прошлой недели - про баг в Сафари, который позволял сайтам получать информацию других сайтов

https://t.me/alexmakus/4507

Пишут, что в недавно вышедшем (пока что не публично, но для разработчиков и тестировщиков) RC-релизе macOS 12.2 и iOS 15.3 баг исправлен

https://www.macrumors.com/2022/01/20/safari-data-leak-bug-fix-ios-15-3/

Официальный публичный релиз ожидается буквально сегодня-завтра

Тут вот утверждается (со ссылками на первоисточники), что белорусские киберпартизаны взломали инфраструктуру железных дорог Беларуси в том числе для того, чтобы остановить перемещение российских войск по территории Беларуси, а также для освобождения политзаключённых. Интересное использование ransomware.

https://twitter.com/cpartisans/status/1485615555017117700?s=21

https://twitter.com/cpartisans/status/1485618881557315588?s=21

https://t.me/cpartisans/625

https://www.cyberscoop.com/cyber-partisans-belarus-russia-ukraine/

https://www.youtube.com/watch?v=lq2YL9SuP-4

интересный TL;DR про руткиты, а то чего только про рансомваре и крипту писать. образовательное

с одной стороны, скрейпинг данных — вроде как не хакерство и не взлом, да? (ну, по крайней мере, так нам рассказывает ФБ после того, как у них с очередного захода собрали данные на миллионы пользователей). а с другой стороны, вот есть база TLO — база данных, которую используют частные детективы (сыщики?), понятное дело, с кучей всякой личной информации — адреса, номера телефонов, контакты родственников и тд. Как-то нехорошо получилось, да.

https://www.vice.com/en/article/pkp3ev/transunion-tlo-scrape-private-investigators

(надо постить посты, чтобы триггерить спамеров в комментариях, и банить их)

вышли апдейты iOS 15.3 и iPadOS 15.3, которые исправляют проблему в IndexedDB, которая позволяла сайтам получать информацию о пользователях от других сайтов

https://support.apple.com/en-us/HT213053

апдейт для macOS 12.2 тоже вышел с этим фиксом в WebKit, но пока что по нему почемуто нет security release notes

дополнение: выложили и для macOS
https://support.apple.com/kb/HT213054

тут еще подогнал читатель тему про уязвимость в Linux — в компоненте polkit, которая позволяет "бесправному" залогиненному пользователю получить полный рутовый доступ к системе с настройками по умолчанию. Polkit — это инструмент, который определяет политики, по которому процессы без соответствущих прав взаимодействуют с процессами, у которых есть повышенные права.

https://blog.qualys.com/vulnerabilities-threat-research/2022/01/25/pwnkit-local-privilege-escalation-vulnerability-discovered-in-polkits-pkexec-cve-2021-4034

https://access.redhat.com/security/cve/CVE-2021-4034

В список организаторов распространения информации (ОРИ) добавлены «Яндекс.Лавка», «Яндекс.Микромобильность», «Яндекс.Такси» и «Яндекс.Еда» — согласно российскому законодательству, они обязаны хранить и по первому требованию передавать властям данные пользователей.

потому что информации много не бывает!

https://roskomsvoboda.org/post/servicy-yandexa-v-reestre-slezhki/

несколько забавная история про то, как в Техасе на паркоматах появляются коды QR-коды для оплаты парковки. Правда, ведут они на левые сайты, которые принимают платежи картами, а легитимные организации, которые занимаются парковками, сами QR-коды для оплаты не используют как раз по той причине, что так легко обмануть пользователей QR-кодами.

https://www.fox7austin.com/news/fraudulent-qr-code-stickers-found-on-29-austin-public-parking-meters

https://www.kxan.com/news/crime/apd-fraudulent-qr-codes-found-on-austin-public-parking-meters/

https://twitter.com/SATXPolice/status/1473025923951775755

"а что, так можно было?". интересно, в каких еще местах можно такие фокусы провернуть?

Рассказ от исследователя (как-то так получается, что как хороший чувак, так сразу исследователь, а как плохой - хакер и злоумышленник), который обнаружил цепочку уязвимостей нулевого дня в Сафари и в том, как браузер работает с камерой, сообщил о них в Apple и получил от компании более 100 тыс долларов премии. А мог бы продать в NSO за пару миллионов, наверно!

https://www.ryanpickren.com/safari-uxss

Тут есть виральный тред в твиттере о том, что приложение для участников зимних олимпийских игр в Пекине содержит встроенное шпионское ПО для сохранения аудиозаписей (там есть функция перевода аудио между английским и китайским). Функция якобы реализована через СДК запрещенной в США компании iFlytek.

https://twitter.com/jonathandata1/status/1486458526767661060

С другой стороны, вроде как есть подтверждение от CitizenLab, что никакого постоянного прослушивания микрофона и записи аудио нет
https://twitter.com/jgriffiths/status/1486897362174083073

Поди разберись. От китайцев такого, в принципе, ожидаешь

кстате! сегодня День защиты данных — практически профессиональный праздник этого канала. С чем вас всех и поздравляю, и желаю, чтобы ваши данные оставались безопасносте!

Ок, это слишком хорошо, чтобы не запостить его сюда. Тем более, кажется, что видео с гитлером здесь ещё не было ни в каком виде

https://www.youtube.com/watch?v=ASsJKc6HCf8

По наводке читателя история про Qubit Finance, платформу кредитования «с блокчейном», у которой по совместительству был некий мост между валютами ETH и BSC. Этот мост взломали, получили доступ к средствам и конвертировали их в примерно 80 млн долларов в разных криптовалютах. По ссылке разбор того, что случилось:

https://certik.medium.com/qubit-bridge-collapse-exploited-to-the-tune-of-80-million-a7ab9068e1a0

А по этой ссылке твит от компании, в котором она умоляет взломщиков вернуть деньги

https://twitter.com/QubitFin/status/1486984216072318977

Причём, как я понимаю, это не первый раз, когда с ними случается подобный взлом. Очевидно, там так принято и это нормально.

WhatsApp, то есть Facebook, то есть Meta, решил рассказать в рекламе, что шифрованная переписка — это важно, и у них она есть. Дело, конечно, хорошее, но что ж так кринжово-то это все выглядит и оставляет странное послевкусие?

https://twitter.com/wcathcart/status/1487891632074608642

Внимание, ФБР предупреждает! Что во время зимних олимпийский игр возможна деятельность злоумышленников с целью внесения элемента бардака в проведение игр. DDoS атаки, вредоносное ПО, ПО-вымогатели, фишинговые кампании и тд. Я не понял, это кого они таким образом предупреждают, Китай, что ли? От чьей деятельности? :)

https://www.cisa.gov/uscert/ncas/current-activity/2022/02/01/fbi-releases-pin-potential-cyber-activities-during-2022-beijing

Багу в Самбе вам! Критическая! RCE с правами рута, если не поставить апдейт, учтите.

https://www.bleepingcomputer.com/news/security/samba-bug-can-let-remote-attackers-execute-code-as-root/