Давайте засунем чипы вайфай и приложения везде, что может пойти не так, Эпизод 1314.
Оказывается, злоумышленники могут открывать удаленно двери гаражей у производителя Nexx
https://medium.com/@samsabetan/the-uninvited-guest-idors-garage-doors-and-stolen-secrets-e4b49e02dadc
https://www.cisa.gov/news-events/ics-advisories/icsa-23-094-01
Оказывается, злоумышленники могут открывать удаленно двери гаражей у производителя Nexx
https://medium.com/@samsabetan/the-uninvited-guest-idors-garage-doors-and-stolen-secrets-e4b49e02dadc
https://www.cisa.gov/news-events/ics-advisories/icsa-23-094-01
Medium
The Uninvited Guest: IDORs, Garage Doors, and Stolen Secrets
Uncovering Critical Security Flaws in Nexx’s Smart Devices: Garage Doors, Alarms, and Plugs at Risk
😁35🌚6👍3👏2❤1
вы и так все это знаете, но да, Genesis всё. Забавно, что операция называлась Operation Cookie Monster, потому что часто на genesis торговали ворованными кукисами
https://therecord.media/genesis-market-takedown-cybercrime
https://therecord.media/genesis-market-takedown-cybercrime
therecord.media
Genesis Market, one of world’s largest platforms for cyber fraud, seized by police
The FBI and international partners took down Genesis Market,which functioned as a one-stop-shop for criminals, selling both stolen credentials and the tools to weaponize that data.
🥰17👍8🤔8😁3🤨2❤1😱1😢1
ладно, про то, что в Теслах куча камер, все, наверно, знают. И про то, что все заливается в облако, тоже, думаю, догадываются. Но вот то, что записи просто так доступны сотрудникам, они их просматривают, потом делятся в чатах и хихикают там, делая мемы — наверно, мало кто знает. теперь будет больше — расследование Reuters по этому поводу.
https://www.reuters.com/technology/tesla-workers-shared-sensitive-images-recorded-by-customer-cars-2023-04-06/
https://www.reuters.com/technology/tesla-workers-shared-sensitive-images-recorded-by-customer-cars-2023-04-06/
Reuters
Tesla workers shared sensitive images recorded by customer cars
Between 2019 and 2022, groups of Tesla employees privately shared via an internal messaging system sometimes highly invasive videos and images recorded by customers’ car cameras.
🤯62🔥21😁14🤬5❤3👏2
продолжим автомобильную тему. чувак удивлялся, кто ему все время бампер отрывает в машине, пока машина не уехала в один прекрасный день. угонщики, судя по всему, подключились к CAN шине и заинжектили туда необходимый код
https://kentindell.github.io/2023/04/03/can-injection/
https://kentindell.github.io/2023/04/03/can-injection/
Ken Tindell’s blog
CAN Injection: keyless car theft
This is a detective story about how a car was stolen - and how it uncovered an epidemic of high-tech car theft. It begins with a tweet. In April 2022, my friend Ian Tabor tweeted that vandals had been at his car, pulling apart the headlight and unplugging…
🏆37🌚10🤔5🤯4👍2🆒2❤1😁1
Амазон запретил продажу Flipper Zero как устройства для скимминга карт. Пойду покормлю своего дельфина.
https://www.bleepingcomputer.com/news/technology/flipper-zero-banned-by-amazon-for-being-a-card-skimming-device-/
https://www.bleepingcomputer.com/news/technology/flipper-zero-banned-by-amazon-for-being-a-card-skimming-device-/
BleepingComputer
Flipper Zero banned by Amazon for being a ‘card skimming device’
Amazon has banned the sale of the Flipper Zero portable multi-tool for pen-testers as it no longer allows its sale on the platform after tagging it as a card-skimming device.
😁46😱22👍9🌚6👎4🤬3❤1🤡1
MSI подтвердила взлом — взломщики требуют 4 млн долларов, а не то опубликуют украденные материалы, включая исходный код.
https://www.documentcloud.org/documents/23745834-msi-twse-filing-regarding-information-service-systems-affected-by-cyberattack
https://www.pcmag.com/news/msi-confirms-breach-as-ransomware-gang-claims-responsibility
https://www.documentcloud.org/documents/23745834-msi-twse-filing-regarding-information-service-systems-affected-by-cyberattack
https://www.pcmag.com/news/msi-confirms-breach-as-ransomware-gang-claims-responsibility
www.documentcloud.org
MSI TWSE filing regarding information service systems affected by cyberattack
👌13👍5😢3
И у Эпол там новый срочный патч сразу двух zero-days, которые “this issue may have been actively exploited”
https://support.apple.com/en-us/HT213721 macOS
https://support.apple.com/en-us/HT213720 iOS/iPadOS
https://support.apple.com/kb/HT213722 (апдейт сафари для более старых ОС)
https://support.apple.com/en-us/HT213721 macOS
https://support.apple.com/en-us/HT213720 iOS/iPadOS
https://support.apple.com/kb/HT213722 (апдейт сафари для более старых ОС)
👍20👀11🗿3🎉1
хаха, твиты из Twitter Circle, у которых должен быть ограниченный доступ, всплыли в алгоритмической ленте For you. Буква К в названии социальной сети означает конфиденциальность
Numerous Twitter users are reporting a bug in which Circle tweets — which are supposed to reach a select group, like an Instagram Close Friends story — are surfacing on the algorithmically generated For You timeline. That means that your supposedly private posts might breach containment to reach an unintended audience, which could quickly spark some uncomfortable situations.
https://techcrunch.com/2023/04/10/twitter-circle-bug-not-private/?guccounter=1
Numerous Twitter users are reporting a bug in which Circle tweets — which are supposed to reach a select group, like an Instagram Close Friends story — are surfacing on the algorithmically generated For You timeline. That means that your supposedly private posts might breach containment to reach an unintended audience, which could quickly spark some uncomfortable situations.
https://techcrunch.com/2023/04/10/twitter-circle-bug-not-private/?guccounter=1
TechCrunch
Instagram now lets you share Stories to a Close Friends list
No one wants to post silly, racy or vulnerable Stories if they’re worried their boss, parents and distant acquaintances are watching. So to get people sharing more, and more authentically, Instagram will let you share to fewer people. Today after 17 months…
🤡42😁18👍3😢1
Популярный сервис Life360, разработанный для мониторинга местоположения членов семей и друзей, оказался вовлеченным в скандал: оказывается, его использовали злоумышленники, занимающиеся секс-торговлей. Они заставляли своих жертв устанавливать приложение на телефон, и мониторили их активность.
ничего не предвещало, что подобное приложение преступники могут использовать для своих нужд, ничего.
https://www.forbes.com/sites/thomasbrewster/2023/04/06/sex-traffickers-use-parenting-apps-like-life360-to-spy-on-victims/?sh=5a2438764c3a
ничего не предвещало, что подобное приложение преступники могут использовать для своих нужд, ничего.
https://www.forbes.com/sites/thomasbrewster/2023/04/06/sex-traffickers-use-parenting-apps-like-life360-to-spy-on-victims/?sh=5a2438764c3a
Forbes
Sex Traffickers Used America's Favorite Family Safety App To Control Victims
Life360’s CEO says he’s never heard of his parenting app being used by sex traffickers to monitor the location of their victims. But Forbes obtained evidence that the app and others like it have been used as digital “leashes.”
😴22🤯20🤡6❤3😢3👍2🥱2👾2😱1🙏1
У Microsoft сегодня апрельский Patch Tuesday, и там из критичного есть фикс одной zero-day уязвимости — actively exploited in attacks.
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28252
полный отчет о патче
https://www.bleepingcomputer.com/microsoft-patch-tuesday-reports/April-2023.html
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-28252
полный отчет о патче
https://www.bleepingcomputer.com/microsoft-patch-tuesday-reports/April-2023.html
👍17
Citizen Lab и Microsoft обнаружили очередное коммерческое шпионское ПО, разработанное еще одной израильской компанией QuaDream. Это ПО использовало уязвимость, романтически названное ENDOFDAYS — уязвимость, не требовавшая никаких действий от пользователя, и позволяла взламывать iOS версий 14.4 - 14.4.2. Она использовала некие невидимые календарные приглашения, которые могла получать жертва. Citizen Lab обнаружила как минимум 5 жертв этого ПО, а сервера операторов ПО были обнаружены в Болгарии, Чехии, Венгрии, Израиле, Мексике, Сингапуре, Узбекистане, и в других странах.
https://citizenlab.ca/2023/04/spyware-vendor-quadream-exploits-victims-customers/
https://citizenlab.ca/2023/04/spyware-vendor-quadream-exploits-victims-customers/
The Citizen Lab
Sweet QuaDreams
At least five civil society victims of QuaDream’s spyware and exploits were identified in North America, Central Asia, Southeast Asia, Europe, and the Middle East. Victims include journalists, political opposition figures, and an NGO worker. Traces of a suspected…
🐳23👍9🔥2❤1
Те граждане, кого записывали в неблагонадежные (например, за лайки Навальному), впоследствии могли столкнуться с трудностями в вузе или на работе, а то и вообще получить статус иноагента. То есть с гораздо более гибкими репрессиями, чем традиционные суды и приговоры.
Речь идет о тотальном сборе цифровой информации о каждом гражданине, формировании его своего рода «цифрового тела», контроль над которым осуществляет государственный агент. Все это достаточно массово работает уже несколько лет, пока довольно бессистемно, но госаппарат постепенно учится.
https://carnegieendowment.org/politika/89537
Речь идет о тотальном сборе цифровой информации о каждом гражданине, формировании его своего рода «цифрового тела», контроль над которым осуществляет государственный агент. Все это достаточно массово работает уже несколько лет, пока довольно бессистемно, но госаппарат постепенно учится.
https://carnegieendowment.org/politika/89537
Carnegie Endowment for International Peace
Больше, чем призыв. Что последует за цифровыми повестками
Речь идет о цифровой системе контроля над обществом с помощью регулирования доступа к правам и благам каждого конкретного гражданина. Выпасть из этой системы будет означать, по сути, социальную смерть
🎉33🤮29🤬24😢10🤡10👍4😁4😨3❤2🔥1
вдогонку про перца, слившего документы:
Teixeira, the complaint notes, has held a top-secret clearance since 2021 and has the authority to view a smaller category of highly classified material called sensitive compartmented access.
The complaint alleges that Teixeira even used his top secret clearance to try to figure out if the leak hunters were on to him.
То есть доступ у него к документам таки был. он их забирал домой! там фотографировал! и потом выкладывал в дискорд! А когда понял, что его ищут, использовал свой уровень доступа, чтобы попытаться найти информацию о розыске. Ну какой же молодец.
Teixeira, the complaint notes, has held a top-secret clearance since 2021 and has the authority to view a smaller category of highly classified material called sensitive compartmented access.
The complaint alleges that Teixeira even used his top secret clearance to try to figure out if the leak hunters were on to him.
То есть доступ у него к документам таки был. он их забирал домой! там фотографировал! и потом выкладывал в дискорд! А когда понял, что его ищут, использовал свой уровень доступа, чтобы попытаться найти информацию о розыске. Ну какой же молодец.
👍59🤣35🤨25❤6😁4🤡4👏1🤬1💩1
Статья о том, почему у этого перца был доступ к секретной информации, и вообще о процессе получения такого доступа
https://www.washingtonpost.com/national-security/2023/04/16/classified-documents-leaked-security-clearance/
https://www.washingtonpost.com/national-security/2023/04/16/classified-documents-leaked-security-clearance/
👍24🤓5
Пропустил в пятницу - апдейт для Хрома, фиксит серьезную zero day, так что убедитесь, что у вас апдейт поставился
https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_14.html
https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_14.html
Chrome Releases
Stable Channel Update for Desktop
The Stable and extended stable channel has been updated to 112.0.5615.121 for Windows Mac and Linux which will roll out over the coming...
🔥21🤮2👍1💩1
В Монтане забанили ТикТок с 1 января 2024 года. Но забанили и забанили, мало ли что там местным туповатым депутатам в голову придет. Но очень интересно, как это будет энфорситься, кто должен, собственно, технически банить - Эпол и Гугл должны вычислять жителей штата Монтана (аж миллион человек)? А если человек выехал из штата, поставил приложение и вернулся? Должны ли его блокировать провайдеры? А что с VPN в таком случае?
https://www.wsj.com/articles/montana-lawmakers-approve-statewide-ban-on-tiktok-17dc0ea6
https://www.wsj.com/articles/montana-lawmakers-approve-statewide-ban-on-tiktok-17dc0ea6
The Wall Street Journal
Montana Lawmakers Approve Statewide Ban on TikTok
Supporters of the first-of-its-kind-bill expect legal challenges if the governor signs the legislation.
🤡67😁11🥱6👍5🔥2🤔1
😁95🤣18🤓4😱1