Для любителей терминала (совет от читателя Игоря):

Spotlight -> Terminal -> sudo passwd

enter you password
enter new password for root user
confirm new password

Если интересно, то вот по ссылке есть подробное объяснение, почему баг с рутом вообще происходит (за ссылку спасибо читателю)
https://objective-see.com/blog/blog_0x24.html

Не рутом единым! Специалисты «Лаборатории Касперского» обнаружили в Google Play 85 вредоносных приложений, которые воровали данные пользователей, необходимые для входа во «ВКонтакте».
https://securelist.ru/ugony-prodolzhayutsya/88118/

Вышел хотфикс для macOS 10.13 High Sierra, исправляющий ошибку с пользователем root. Рекомендуется к немедленной установке. Доступен для релизных билдов, для беты пока что не видно.

К Coinbase пришли за данными пользователей. Американская налоговая не дремлет

Тут в очередной раз поднялась тема о том, что дроны DJI шпионят за Америкой в пользу Китая. Новость проиллюстрирована моей любимой картинкой https://gizmodo.com/homeland-security-thinks-dji-is-using-its-drones-to-spy-1820875601

Как сайты криптомайнят втихаря от пользователей даже после того, как пользователь закрыл сайт в браузере https://arstechnica.com/information-technology/2017/11/sneakier-more-persistent-drive-by-cryptomining-comes-to-a-browser-near-you/

Как нам тут пишут, вчера в мире отмечался день этого канала! «Международный день защиты информации В 1988 году американская Ассоциация компьютерного оборудования объявила 30 ноября Международным днем защиты информации (Computer Security Day). Целью Дня является напоминание пользователям о необходимости защиты их компьютеров и всей хранимой в них информации.» с чем вас всех и поздравляю!

Или, например, можно детей или соседей пугать муляжом камеры наблюдения

Времена Нового Йорка пишут о подрядчике Агентства Национальной Безопасности, с компьютера которого были украдены инструменты Агентства и в последствии опубликованы в Интернете группировкой Shadow Brokers
https://www.nytimes.com/2017/12/01/us/politics/nsa-nghia-pho-classified-information-stolen-guilty.html

кстати, о средствах наблюдения (там выше я писал про камеру, замаскированную под датчик движения). как насчет винтика, в котором встроена камера? Можно купить на eBay за 30 долл.

а вот тут все как я люблю. автор рассказывает о приложении, которое использует детский сад, в который ходит его дочь. Приложение позволяет следить за активностями детей, загружать фотографии, и связываться с воспитателем. Автор просниффил трафик приложения и через 5 минут он мог просмотреть информацию по любому садику, получить данные по 150 тысячам родителей, включая адрес, номер телефона, имена, фотографии и тд. Более того, мог создать левый "садик" и пригласить туда других детей. НУЖНО БОЛЬШЕ БЕЗОПАСНОСТИ!

У издания Bell (признаться, до этого дня я о них не слышал ни разу, но эту ссылку мне прислали уже неоднократно) вышло интересное расследование о российских хакерах, которые причастны к атакам на сервера Демократической партии США (и, подозреваю, не только на них). Не знаю, насколько этой информации можно доверять, но в целом увлекательный материал. Чего только стоит тот факт, что материал о хакерах в США передали высокопоставленные сотрудники ФСБ.
https://thebell.io/kak-amerika-uznala-o-russkih-hakerah/

Есть такая приложунька — AI.type, модная клавиатура, у которой, по словам её разработчиков, около 40 млн пользователей. Так вот, на сервере этого приложения обнаружили базу данных с информацией о пользователях, которую, судя по всему, передавала клавиатура с телефонов пользователей. 577 гигабайт данных, среди которых почти 11 млн адресов электронной почты и 374 (ТРИСТА СЕМЬДЕСЯТ ЧЕТЫРЕ) миллиона номеров телефонов. Также, например, там были обнаружены списки приложений, установленных на телефонах пользователей, IP адреса пользователей, имена пользователей, даты рождения и фото. А также различную информацию об устройстве (IMEI, IMSI, производитель и модель, разрешение экрана, версия Android). Мало того, что какого хрена эта информация вообще собиралась, так еще и база данных не была зашифрована. Вот почему я не люблю все эти сторонние клавиатуры и всячески их избегаю (и вам рекомендую).

А, да, и что важно — похоже, что утекла информация только пользователей устройств с Android. Никогда такого не было, и вот опять.

http://www.zdnet.com/article/popular-virtual-keyboard-leaks-31-million-user-data/

MailSploit — набор уязвимостей в 30 популярных почтовых клиентах (Apple Mail (macOS, iOS и watchOS), Mozilla Thunderbird, несколько почтовых клиентов Microsoft, Yahoo Mail, ProtonMail), который позволяет обмануть встроенные механизмы и подставить любой почтовый адрес
https://thehackernews.com/2017/12/email-spoofing-client.html

Наши друзья из Elcomsoft еще на прошлой неделе опубликовали результаты исследования по изменениям системы безопасности в iOS 11, которая внезапно сделалась хуже, чем была до этого. https://blog.elcomsoft.com/2017/11/ios-11-horror-story-the-rise-and-fall-of-ios-security/

Проблема заключается в возможности изменить пароль на устройстве (если у злоумышленника или представителя правоохранительных органов) каким-то образом уже есть пароль устройства, и в таком случае получить возможность создать новый бекап на компьютере. в чем же проблема? проблема в том, что зашифрованный бекап на компьютере содержит в себе гораздо больше информации, чем даже доступ к разблокированному iPhone, и с помощью инструментов, разработанных той же Elcomsoft, исследовать содержимое бекапа и вынуть из него информацию о связке ключей, пароль к учетной записи Apple ID, локальных бекапов и много другого. Причем это не бага в системе, это осознанное решение Apple https://support.apple.com/en-us/HT205220

Конечно, если у злоумышленника уже есть физический доступ к устройству и пароль от учетной записи пользователя, то это изначально большая проблема, но, похоже, Apple её существенно увеличила, добавив эту "фичу" в iOS 11. Короче, берегите себя и свои пароли!