Citizen Lab и Microsoft обнаружили очередное коммерческое шпионское ПО, разработанное еще одной израильской компанией QuaDream. Это ПО использовало уязвимость, романтически названное ENDOFDAYS — уязвимость, не требовавшая никаких действий от пользователя, и позволяла взламывать iOS версий 14.4 - 14.4.2. Она использовала некие невидимые календарные приглашения, которые могла получать жертва. Citizen Lab обнаружила как минимум 5 жертв этого ПО, а сервера операторов ПО были обнаружены в Болгарии, Чехии, Венгрии, Израиле, Мексике, Сингапуре, Узбекистане, и в других странах.

https://citizenlab.ca/2023/04/spyware-vendor-quadream-exploits-victims-customers/

WSJ пишет, что вычислили чувака, слившего секретные документы в сеть. 21-летний болван, хваставшийся друзьям, чтобы произвести впечатление. Теперь, наверно, присядет еще на срок своего возраста

Те граждане, кого записывали в неблагонадежные (например, за лайки Навальному), впоследствии могли столкнуться с трудностями в вузе или на работе, а то и вообще получить статус иноагента. То есть с гораздо более гибкими репрессиями, чем традиционные суды и приговоры.

Речь идет о тотальном сборе цифровой информации о каждом гражданине, формировании его своего рода «цифрового тела», контроль над которым осуществляет государственный агент. Все это достаточно массово работает уже несколько лет, пока довольно бессистемно, но госаппарат постепенно учится.

https://carnegieendowment.org/politika/89537

вдогонку про перца, слившего документы:

Teixeira, the complaint notes, has held a top-secret clearance since 2021 and has the authority to view a smaller category of highly classified material called sensitive compartmented access.

The complaint alleges that Teixeira even used his top secret clearance to try to figure out if the leak hunters were on to him.

То есть доступ у него к документам таки был. он их забирал домой! там фотографировал! и потом выкладывал в дискорд! А когда понял, что его ищут, использовал свой уровень доступа, чтобы попытаться найти информацию о розыске. Ну какой же молодец.

Статья о том, почему у этого перца был доступ к секретной информации, и вообще о процессе получения такого доступа

https://www.washingtonpost.com/national-security/2023/04/16/classified-documents-leaked-security-clearance/

Пропустил в пятницу - апдейт для Хрома, фиксит серьезную zero day, так что убедитесь, что у вас апдейт поставился

https://chromereleases.googleblog.com/2023/04/stable-channel-update-for-desktop_14.html

В Монтане забанили ТикТок с 1 января 2024 года. Но забанили и забанили, мало ли что там местным туповатым депутатам в голову придет. Но очень интересно, как это будет энфорситься, кто должен, собственно, технически банить - Эпол и Гугл должны вычислять жителей штата Монтана (аж миллион человек)? А если человек выехал из штата, поставил приложение и вернулся? Должны ли его блокировать провайдеры? А что с VPN в таком случае?

https://www.wsj.com/articles/montana-lawmakers-approve-statewide-ban-on-tiktok-17dc0ea6

но есть и хорошие новости. Google Authenticator наконец-то научился синхронизировать 2FA через учетку пользователя Google

https://security.googleblog.com/2023/04/google-authenticator-now-supports.html

Интересный тред про эту фичу синхронизации 2FA у Google, и почему её не стоит активировать.

Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices.

TL;DR: Don't turn it on.

https://defcon.social/@mysk/110262313275622023#.

Тоже вот интересная ссылка о приключениях датацентра ТикТок и всевозможных нарушениях политик безопасности в них

https://www.forbes.com/sites/emilybaker-white/2023/04/21/security-failures-tiktok-virginia-data-centers-unescorted-visitors-flash-drives/

Из серии “ничего непонятно”. но мало ли.

For those who trust me:

Goto your Amazon account, sign out of all your devices, everything, everywhere all your Echos (yes I know it's a pain), reset your password, delete 2FA and any tokens and reset them. Now.

That doesn't include Fido / Yubikeys but does include Auth tokens.

Do it now.

As much a pain as it is to reset Echo and all smart devices, trust me, please do it.

I can't tell you more yet, but I am being ethical and you need to actually realise I have a clue.

It's been a scary day

https://sackheads.social/@Cloudguy/110256209708866473

туда же
https://auspicacious.org/posts/2023/04/26/flush-amazon-credentials-now/

Чувак, сливший секретные документы в дискорд, конечно, тот еще сумасшедший клоун. Действительно возникают вопросы о том, как такие получают доступ к секретной информациии

https://twitter.com/EliotHiggins/status/1651490777015500800?s=20

Passkey в Гугл учетке
https://blog.google/technology/safety-security/the-beginning-of-the-end-of-the-password/