у Graykey, компании, которая разрабатывает решения по взлому смартфонов, произошла утечка документов. Из этих документов видно, какие версии iPhone с какой версией операционной системы доступны для взлома и доступа к информации. Утечка касается не только айфонов, конечно, но кому интересно кликать на ссылки про андроид

https://www.404media.co/leaked-documents-show-what-phones-secretive-tech-graykey-can-unlock-2/

https://www.neowin.net/news/huge-leak-reveals-what-iphones-and-androids-the-secretive-tech-tool-graykey-can-unlock/

https://docs.google.com/spreadsheets/d/1gf1F8U7VFweBmOc9u10dfvkAWl3KKxZv/edit?gid=1779629987#gid=1779629987

https://docs.google.com/spreadsheets/d/1qZESd9Zj5HkMZnIjLStSNWEyKvs8Drk5/edit?gid=1587154452#gid=1587154452

я все пропустил, как обычно, но тут пишут, что RSA/AES взломали

https://www.thebrighterside.news/post/in-a-global-first-quantum-computers-crack-rsa-and-aes-data-encryption/

драма драма, потому что тут один чел заявил, что Microsoft собирает контент из документов пользователей для обучения LLM
https://twitter.com/nixcraft/status/1860530950041485565?


Microsoft, конечно же, утверждает, что это не так
https://twitter.com/Microsoft365/status/1861160874993463648

кому поверим?

сразу две связанные между собой новости.

Вначале о том, как телекоммуникационные компании не могут вывести китайских хакеров из своих сетей

https://www.axios.com/2024/12/03/salt-typhoon-china-phone-hacks

Причем настолько, что ФБР советует американским гражданам пользоваться шифрованными мессенджерами (а не каким-то там Телеграмом)

https://www.nbcnews.com/tech/security/us-officials-urge-americans-use-encrypted-apps-cyberattack-rcna182694

oh no, хакеры добрались до святого — до пончиков. компания Krispy Kream рассказала, что стала жертвой киберзлоумышленников, и в том числе их жертвой стала онлайн-система заказов пончиков

https://www.sec.gov/Archives/edgar/data/1857154/000185715424000123/dnut-20241211.htm

https://www.microsoft.com/en-us/security/blog/2024/12/12/convincing-a-billion-users-to-love-passkeys-ux-design-insights-from-microsoft-to-boost-adoption-and-security/

Как Microsoft решила от паролей избавляться, и как она будет принуждать пользователей переходить на passkey

Суд признал NSO виновной во взломе серверов WhatsApp (иск от 2019 года)

https://www.reuters.com/technology/cybersecurity/us-judge-finds-israels-nso-group-liable-hacking-whatsapp-lawsuit-2024-12-21/

Министерство финансов США стало жертвой взлома китайскими государственными хакерами. BeyondTrust — подрядчик организации — сообщил министерству, что злоумышленникии использовани украденный ключ (токен?) для удаленного доступа к некоторым компьютерам, и получили доступ к некоторым несекретным документам.

https://www.nytimes.com/2024/12/30/us/politics/china-hack-treasury.html

с Новым годом, подписчики

По поводу утечки Росреестра.

Для тех, кто в танке: хакеры утверждают, что выкачали данные Росреестра – ведомства, которое занимается регистрацией прав на недвижимость. В прошлом году база Ростреестра, на основе которой были сделаны сотни журналистских расследований, была закрыта для свободного изучения. С учетом этого для расследователей такая утечка была бы кладезем информации. А для простых граждан – поводом серьезно напрячься, ведь подобные массивы быстро доползают до агрегаторов, которыми пользуются, в том числе, мошенники.

Но пока не совсем понятно, что именно утекло. В выложенном фрагменте нет кадастровых номеров – ключевого идентификатора в Едином государственно реестре недвижимости. В утечке есть: внутренний id, фио, дата рождения, СНИЛС (раньше номер пенсионного даже указывался в выписках Росреестра) и адрес. Всего более 80 млн строк. В 6,5 млн случаев есть телефон, еще в 410 тысячах – электронная почта.

Не увидев кадастровых номеров, я сначала подумал, что это все, кто пользовался системой Росреестра (там авторизация была через "Госуслуги"). Но 80 млн строк – это много, а хакеры говорят, что всего в базе 2 млрд строк (это не проверено). Конечно, хакеры, вырезая из выкаченного массива пробный кусок, могли обрезать кадастровые номера. Но ключевой вопрос остается – это просто адреса регистрации или актуальная недвижимость граждан? Да, чаще всего эта информация совпадает, но не всегда.

"Агентство" проанализировало 15 адресов из утечки, в некоторых случаях они совпала с данными о регистрации указанных граждан в других утечках. Периодически список физических лиц перемежается юрлицами – в основном это муниципальные организации, банки и застройщики, по ним либо указан адрес регистрации, либо вообще нет адреса (иногда в случае с "Сбербанком"). Банки и застройщики повторяются, как будто список граждан далее в утечке каким-то образом относится к ним (ипотека, регистрация права – что угодно).

Повторюсь – возможно, хакеры просто криво вырезали пробник (например, там даже нет названий столбцов). Но точно сказать, что именно взломано и какие именно данные утекли, можно будет чуть позже, когда либо станет доступна вся утечка, либо хакеры перевыложат пробник.

На комментарий Росреестра о том, что у них якобы ничего не утекло, предлагаю не обращать внимания. Российские госорганы, банки и онлайн-магазины всегда так делают, отрицая очевидное до последнего.

@zakharovchannel

а вот владельцам Субару на заметку (но не всем, а только тем, кто живет в США, Канаде и Японии). Сервис Subary для онлайн-сервисов под названием STARLINK (но не тот, который у зигующей мартышки), был плохо защищен в интернете и позволял кому попало, зная фамилию владельца, получить массу информации о нем, или управлять сервисами машины. Включая удаленный запуск, открыти и закрытие машины, информацию о местоположении, и историю перемещений за год, и тд.

https://samcurry.net/hacking-subaru

тем временем в Тбилиси все катались в пятницу на общественном транспорте бесплатно, потому что хакеры взломали систему продажи и сканирования билетов. Вместо своей функциональности, они проигрывали гимн Грузии, цитаты политиков, и другие фразы. Местные власти отключили систему и разрешили жителям ездить бесплатно до момента восстановления сервиса.

https://civil.ge/archives/655517

раз уж транспортная тема пошла. Mercedes какое-то время назад публиковал видео о том, как удобно, когда машина о пользователе все знает, и предлагает «умные» подсказки в процессе. Но, вспоминая все истории про продажу пользовательских данных, открытые бакеты с данными в интернете, и даже просто криповость бесконечной слежки со всех сторон, эффект от рекламы получается совсем обратный

https://www.youtube.com/watch?v=UP-FPkiXsXQ

для пользователей iPhone/iPad будет полезно проапдейтиться до последнего релиза 18.3 — там очень много фиксов, связанных с безопасностью, включая такие, что “Apple is aware of a report that this issue may have been actively exploited against versions of iOS before iOS 17.2.”

https://support.apple.com/en-us/122066

https://www.cve.org/CVERecord?id=CVE-2025-24085

Интересно, DeepSeek (если вам это название ничего не говорит, то что вы вообще делаете в интернете) пишет об введенных ограничениях на новые регистрации в связи с “large-scale malicious attacks on DeepSeek's services”

https://status.deepseek.com/incidents/666k4t024szr

а вот из полезного, Google сказала, что теперь будет верифицировать VPN-клиенты в Google Store на предмет обещания конфиденциальности и безопасности, и раздавать приложениям специальные погоны. Разработчики должны будут подать информацию в Google о своих практиках работы с пользовательскими данными, и согласиться на независимый аудит.

https://android-developers.googleblog.com/2025/01/helping-users-find-trusted-apps-on-google-play.html

Спекулятивное исполнение наносит очередной удар, в этот раз по процессорам Apple, атаками с названием FLOP и SLAP. Эксплуатация уязвимостей позволяет перехватывать информацию о кредитных картах, геолокации при использовании браузеров Chrome и Safari. Исследователи представили Apple свои рекомендации по снижению рисков эксплуатации этих уязвимостей, и, похоже, Apple планирует их внедрить в будущем.

https://predictors.fail

затрагивает все ноутбуки Apple, начиная с 2022 года, десктопы с 2023 года, все iPhone и iPad с 2021 года.

вынесу из комментариев, потому что заслуживает отдельного поста — исследование о том, как DeepSeek оставил внутреннюю базу данных незащищенной, и как исследователи получили доступ к чувствительной информации, включая чаты, секретные ключи и тд

https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak

MGM не только понесла прямые потери от взлома, но компании также придется заплатить жертвам, данные которых утекли, дополнительно 45 млн долларов

https://www.cohenmilstein.com/45m-global-settlement-in-mgm-data-breach-class-action-preliminarily-approved/

чистил диск, нашел мем про хакеров