Я просто оставлю это здесь без всяких комментариев. Выводы делайте сами.

Биометрические данные клиентов банков в России будут предоставляться МВД и ФСБ. Это предусмотрено законопроектом о биометрической системе и удаленной идентификации граждан, принятым Госдумой во втором чтении 15 декабря.

Сведения будут направляться в МВД и ФСБ оператором биометрической системы по запросу правоохранительных органов, а порядок взаимодействия оператора и спецслужб определит правительство. Как заявил председатель думского комитета по финансовому рынку, соавтор законопроекта и председатель совета ассоциации банков «Россия» Анатолий Аксаков, «доступ будет только на основании полномочий, которые определены законом для силовых структур».

Исполнительный вице-президент Ассоциации российских банков Эльман Мехтиев отметил, что «если человек законопослушен, то и причины бояться нет». Он добавил, что доступ силовых ведомств к биометрии клиентов банков вряд ли снизит желание граждан пользоваться удаленной идентификацией.

Биометрическая система позволит жителям РФ получать услуги любого банка онлайн. Первичную идентификацию клиент проходит в финансовой организации с паспортом. После этого в банке снимают потенциального клиента на видео, записывают его голос и отправляют эти сведения в биометрическую систему. В дальнейшем россиянин сможет получить банковские услуги удаленно, передавая свое изображение и голос для сверки с системой.

Как указывают «Ведомости», МВД заинтересовалось проектом осенью 2017 года и хотело стать оператором биометрической системы. Однако еще в мае было решено, что функции оператора будет исполнять «Ростелеком».

общеобразовательная статья на Quartz о том, что надо быть осторожным, покупая IoT-устройства с рук. (не говоря уже о том, что продавцам тоже надо не забывать о том, что при продаже таких устройств их нужно сбрасывать в заводские настройки, чтобы не передать какие-то личные данные покупателю). так вот, при покупке надо быть уверенным, что продавец туда не воткнул какой-нибудь дополнительный софт, настройки или даже "приборчик" для последующего наблюдения за покупателем. самый надежный способ — покупать у производителя или хотя бы у крупной компании-продавца. Впрочем, это не защитит устройство от участия в каком-нибудь ботнете. https://qz.com/1156059/dont-buy-second-hand-internet-connected-iot-devices-from-sites-like-ebay-ebay/

в эпидемии вируса-вымогателя WannaCry США обвинили Северную Корею https://www.reuters.com/article/us-usa-cyber-northkorea/u-s-blames-north-korea-for-wannacry-cyber-attack-idUSKBN1ED00Q

Канада поддержала https://www.cse-cst.gc.ca/en/media/2017-12-19

Топ 25 паролей по популярности в 2017 году. Если у вас один из них — рекомендуется поменять его везде, где он используется, на что-то более безопасное. Информацию собрала компания SplashData

если у вас есть блог на WordPress и там используется плагин Captcha, то вам стоит знать, что недавно этот плагин был заражен и устанавливал скрытый бэкдор на сайтах, где он использовался. Интересно, что оригинальный разработчик продал плагин другому разработчику, который через три месяца после покупки выпустил апдейт, устанавливавшийся хитрым образом, минуя репозиторий Вордпресса. Покупатель проворачивал такую схему уже неоднократно, скупая плагины и выпуская апдейты со ссылками на свою компанию, которая выдает краткосрочные кредиты. Это помогает его компании подниматься выше в результатах поиска. Короче, нехороший человек, редиска.
https://www.bleepingcomputer.com/news/security/backdoor-found-in-wordpress-plugin-with-more-than-300-000-installations/

Вчера не успел написать о малвари, обнаруженной специалистами Лаборатории Касперского. вредоносное ПО умеет показывать рекламы, участвовать в DDoS атаках, слать текстовые сообщения и втихаря подписываться на платные сервисы. Но что еще хуже — оно майнит криптовалюту, причем настолько агрессивно, что может привести к физическому повреждению аккумулятора телефона. Троян распространяется внутри приложений из сторонних магазинов, через рекламу в браузерах и спам по SMS. Больше деталей по ссылке https://securelist.com/jack-of-all-trades/83470/

PS подумаешь, троян. у Apple вон и без всяких троянов иногда вспухают батареи. А у Самсунг вообще была огненная рекламная кампания с Note 7

и хорошие новости для пользователей твиттера. наконец-то твиттер разрешил для двухфакторной авторизации использовать не коды, приходящие по СМС, а сторонние приложения вроде Google Authenticator
https://help.twitter.com/en/managing-your-account/two-factor-authentication

Подписчик канала (а также по совместительству автор канала по схожей тематике https://t.me/vulns) прислал интересную авторскую статью об уязвимостях в различных сервисах, связанных с криптовалютой. Это должно помочь принять решение о том, где лучше хранить свои криптосбережения https://habrahabr.ru/post/343152/

Рубрика "никогда такого не было, и вот опять". В очередном бакете AWS обнаружили данные на 123 миллиона домохозяйств США, включая адрес, контактную информацию, наличие ипотеки, и проч. финансовую информацию. Информация была доступна любому пользователю с аккаунтом AWS
https://www.scmagazine.com/open-aws-s3-bucket-exposes-sensitive-experian-and-census-info-on-123-million-us-households/article/720067/

В рамках пятницы хорошая шутка с игрой слов (на английском)

"My password is "Snow White and the Seven Dwarfs"

This is to ensure its 8 characters."

Атака на сайты WordPress с целью подбора брутфорсом админских логина-пароля, чтобы установить майнер криптовалют на сайте. Так что проверьте там, чтобы у вас был пароль посложней
https://www.bleepingcomputer.com/news/security/massive-brute-force-attack-infects-wordpress-sites-with-monero-miners/

вообще злодеи, распространяющие вредоносное ПО, начинают переключаться с возможности вымогать деньги у пользователя за выкуп доступа к данным на майнинг криптовалюты, что, видимо, выгодней
https://threatpost.com/crooks-switch-from-ransomware-to-cryptocurrency-mining/129229/

вот и Симантек пишет о том же
https://www.symantec.com/blogs/threat-intelligence/browser-mining-cryptocurrency

Расскажу историю из личного опыта, в кои-то веки — как на меня лично повлияло то, о чем я пишу в этом канале. Помните же историю про Equifax, у которого украли данные на 145 млн американских пользователей, включая адреса, номера социального страхования, и много чего другого. (https://t.me/alexmakus/1352). Доступ этой информации кому не надо чреват тем, что, имея её, можно открыть на себя кредитные карты, взять ипотеку, открыть фирму и тд, а должен останется тот, чьи данные для этого использовали. Так вот, какое-то время назад я начал получать странные письма от банка, из серии "мы не можем вам дать ипотеку, так как у вас уже есть одна". WTF, подумал я, и даже спросил это у банка, но они только развели руками. А получение кредитов в США работает следующим образом:
- человек подает заявку на кредит в какую-нибудь кредитную организацию (банк и тд)
- кредитная организация подает запрос на получение информации о кредитной истории этого человека — в одно из трех агентств, которые такую информацию предоставляют. То есть все тот же Equifax, TransUnion, или Experian.
- Агенство дает ответ — можно дать человеку кредит или нет.
Каждый такой запрос снижает кредитный рейтинг человека, поскольку алгоритмы решают "ага, он нищеброд и ему нужны кредиты, значит, повышены риски!"
Так что, похоже, что в моем случае кто-то действительно получил мои данные и пробовал получить ипотеку с моими данными. Хорошо, что банк прислал мне письма с ответом на мой адрес.

Защититься от всей этой истории с утечкой данных и возможностью взять кредит за другого человека можно единственным методом — "заморозить кредитные запросы". То есть надо пойти в эти кредитные агентства и попросить их на все запросы о кредите отвечать "нельзя" — естественно, заплатив им за это денег.
Я после этих подозрительных писем из банка это сделал, конечно, но сегодня обнаружил, что мой кредитный рейтинг существенно просел, и одна из причин — это "большое количество запросов на кредит в последние 12 месяцев". Вот таким образом я лично пострадал от утечки данных Equifax, и, похоже, это теперь на всю жизнь.

забавная история про то, как сломать банкомат Сбербанка с Windows XP, пять раз нажав кнопку Shift. Денег из банкомата не намутишь таким образом, но все равно весело
https://habrahabr.ru/post/345038/.com

классификация современных технологических гигантов и приватность вашей информации

Выход из контейнера Докера в хостовую ОС (ой) https://www.twistlock.com/2017/12/27/escaping-docker-container-using-waitid-cve-2017-5123/

Расширение для Chrome, доступное в официальном магазине и установленное у сотни тысяч пользователей, подгружает Джаваскрипт для майнинга криптовалюты https://www.bleepingcomputer.com/news/security/chrome-extension-with-100-000-users-caught-pushing-cryptocurrency-miner/

Интересная презентация про исследования бесконтактных транзакций в Apple Pay и Android Pay https://media.ccc.de/v/34c3-8965-decoding_contactless_card_payments