а теперь об относительно забавном:

1. Одна из газет, которая первой написала о скандале с Facebook и Cambridge Analytica — британская газета The Guardian. Напомню, одна из больших частей скандала — это то, что Cambridge Analytica получила данные не только тех людей, которые проходили какой-то там тест, но и всех их друзей. Журналисты молодцы, и все такое, но… Если зайти на страницу политики конфиденциальности приложения для Facebook самой газеты (https://www.theguardian.com/info/2011/sep/22/1), то там можно обнаружить текст о том, что ФБ-приложение газеты точно также выгребает данные не только читателей, но и всех их друзей (ну, по крайней мере, не говорят, что сохраняют за собой право на передачу этих данных третьим лицам)

By granting permission you will be agreeing to share your Facebook user details (including your name, profile picture, gender, networks, user ID and any other information you choose to share according to your Facebook account settings) as well as the user details of your Facebook friends, and information about your use of the App, for example, the articles you are reading.

А вторая “забавная” штука связана со скандалом, с которого начался мой новый приступ увлечения infosec — это схватка двух якодзун Apple и ФБР два года назад. Там ФБР, утверждая (на выступлении в Конгрессе), что испробовала все методы разблокировки iPhone террориста, требовала от Apple сделать backdoor в iOS для того, чтобы можно было достать данные с телефона. Но тут, два года спустя, обнаружилось, что подразделение ФБР Operational Technology Division на самом деле могло разблокировать тот телефон, но в связи с каким-то там внутренним конфликтом и наплевательским отношением не сообщило об этом начальству. Что, в итоге, привело к утверждениям в Конгрессе, которые не соответствовали действительности. Бардак там у них, не понимаю, как они вообще там с таким бардаком должны ловить всемогущих русских хакеров.

По ссылке — отчет Министерства Юстиции США по этому вопросу, если кому-то вдруг будет интересно https://oig.justice.gov/reports/2018/o1803.pdf

Сегодня были проблемы у Телеграма, а сразу под твитом Дурова об этом - криптовалютный жулик (взял у Паши pqorama)

Привет!

Компания GetContact уведомила Роскомнадзор о том, что будет хранить персональные данные граждан России на серверах внутри страны, говорится в сообщении ведомства.

Компания является разработчиком одноименного мобильного приложения, с помощью которого можно узнать, под каким именем номер телефона пользователя записан у людей из его списка контактов, которые также установили GetContact. Приложение позиционируется разработчиками как сервис для блокировки ненужных и маркетинговых звонков.

О решении локализовать хранение данных пользователей из РФ на серверах внутри страны GetContact сообщила в официальном письме заместителю руководителя Роскомнадзора Александру Панкову, пояснили в ведомстве.

http://www.interfax.ru/russia/605937

Вот к скриншоту с криптовалютным жуликом у твита @durov — вы думаете “хаха, неужели кто-то ведется на это?”. А вот ведутся — читатель прислал инфу про кошелек, а туда уже набросали денег за последние 2 часа. 97 эфиров на почти 40 тыс долларов. “дура дурой, а свою тыщонку в день имею”, как говорилось в одном анекдоте

и про VPN. мало того, что многие из них, как я писал вчера, сохраняют логи, хотя обещают этого не делать. Так еще и у некоторых из них (четверть) IP пользователей утекает через WebRTC (за ссылку спасибо читателю)
https://voidsec.com/vpn-leak/

А второму читателю спасибо за дополнение:
https://ipleak.net

вот тут хороший тест vpn да и просто можно чекнуть какая инфа о тебе уходит владельцам сайта

Читатели канала - лучшие. Вот интересная статья об уязвимостях Телеграма от читателя канала. Не все уязвимости одинаково полезны!
https://habrahabr.ru/post/347910/

MyFitnessPal - популярное приложение-сервис для фитнеса и здорового питания - было взломано в феврале этого года. 150 миллионов записей о пользователях, включая имена, имейлы и пароли в зашифрованном виде, уехали к злоумышленникам. Если у вас был/есть аккаунт на этом сервисе - самое время его сменить. Если вы использовали такой же пароль с логином где-то ещё - то ай-ай-ай!
https://content.myfitnesspal.com/security-information/notice.html

Кстати, пару дней уже забываю. Если у вас есть с сайт с Drupal, то вам будет полезно почитать это - критическая уязвимость, срочно апдейтиться, вот это все
https://www.drupal.org/sa-core-2018-002

Вчера Apple выложила обновления всех своих операционных систем. Всегда интересно просматривать информацию не только о новых фидах обновлений, но и о новых исправлениях безопасности:

iOS 11.3 https://support.apple.com/en-us/HT208693
macOS 10.13.4 https://support.apple.com/kb/HT208692 (тут же и информация о фиксах для 10.11 и 10.12)
watchOS 4.3 https://support.apple.com/kb/HT208696
tvOS 11.3 https://support.apple.com/kb/HT208698

Фиксы в Сафари https://support.apple.com/kb/HT208695
И даже фиксы в iTunes для Windows https://support.apple.com/kb/HT208694

А вот в Иране собрались заблокировать Телеграм и заменить его на свой православный... (зачеркнуто) кошерный... (зачеркнуто) халяльный! мессенджер Soroush
https://en.mehrnews.com/news/133064/Telegram-to-be-replaced-with-Iranian-app-within-weeks

И снова здравствуйте! Наступают трудо выебудни, а вместе с ними и новые новости об опасностях для информации. Например, стало известно, что магазины Saks Fifth Avenue/Lord&Taylor - популярные премиальные рителейлеры в США - стали жертвами злоумышленников, которые взломали платежную систему магазинов и собрали около 5 миллионов данных банковских карт клиентов этих магазинов. А это очень качественный улов, поскольку в этих магазинах шоппятся весьма состоятельные покупатели. Так что, технически, жертвами стали, конечно, покупатели, а не сами магазины. Детальной информации о технологии взлома нет, зато понятен период - с мая 2017 года. Пока что доступны к продаже 125 тыс карт, но говорят, о 5 миллионах, так что улов хороший. По ссылке немножко больше деталей
https://geminiadvisory.io/fin7-syndicate-hacks-saks-fifth-avenue-and-lord-taylor/

Временно езжу на Инфинити, и на каждом старте она меня приветствует предупреждением о передаче разных данных производителю. Причём отключить всё нельзя, можно только частично ограничить

Это я к тому, что можно сколько угодно говорить про очевидные сервисы типа ФБ или Гугл, собирающие о нас информацию, но таких “собирателей” при дальнейшей “оцифровке” нашей жизни будет все больше и больше. Нужен глаз да глаз

Вчера все воспринимали это за первоапрельскую шутку, но это не шутка
https://blog.cloudflare.com/announcing-1111/

закрытый альбом во ВК? Не вопрос http://agora.legal/news/2018.04.03/V-Krasnoyarske-15-goda-kolonii-poseleniya-prosit-prokuror-po-delu-ob-ekstremizme/696

Привет. Чтобы не утомлять вас уведомлениями о множественных сообщениях, сегодня выпуск в виде дайджеста со ссылками:

1. В Саудовской Аравии(!) законодательно запретили следить за супругами с помощью шпионского программного обеспечения на смартфонах. Запрет относится как к мужьям, так и к жёнам. Наказание - до года заключения и/или штраф до 133 тыс долларов. Потому что информация опасносте!
http://www.gdnonline.com/Details/345138/Saudi-law-punishes-spousal-spying-on-mobile-phones

2. Как Panera Bread (популярная в США сеть модного, типа здорового фастфуда) сливала данные покупателей, которые заводили аккаунты для заказа еды в онлайне. Данные включали в себя имена, имейл, адрес, и последние 4 цифры номера банковской карты
https://krebsonsecurity.com/2018/04/panerabread-com-leaks-millions-of-customer-records/

3. А вы знали, что Chrome сканирует ваши файлы на компьютере и проверяет их на наличие вредоносного ПО? Вот и многие другие пользователи и эксперты не знали, что в браузер встроены базовые антивирусные функции. Вроде никакого вреда от этой функции нет, но Гугл бы не помешало лучше такие нововведения коммуницировать
https://motherboard.vice.com/en_us/article/wj7x9w/google-chrome-scans-files-on-your-windows-computer-chrome-cleanup-tool

4. А Facebook продолжает банить русских ботов в своей социальной сети. Можно сказать, что борьба со свободой слова ботов!
https://newsroom.fb.com/news/2018/04/authenticity-matters/