А вторая “забавная” штука связана со скандалом, с которого начался мой новый приступ увлечения infosec — это схватка двух якодзун Apple и ФБР два года назад. Там ФБР, утверждая (на выступлении в Конгрессе), что испробовала все методы разблокировки iPhone террориста, требовала от Apple сделать backdoor в iOS для того, чтобы можно было достать данные с телефона. Но тут, два года спустя, обнаружилось, что подразделение ФБР Operational Technology Division на самом деле могло разблокировать тот телефон, но в связи с каким-то там внутренним конфликтом и наплевательским отношением не сообщило об этом начальству. Что, в итоге, привело к утверждениям в Конгрессе, которые не соответствовали действительности. Бардак там у них, не понимаю, как они вообще там с таким бардаком должны ловить всемогущих русских хакеров.
По ссылке — отчет Министерства Юстиции США по этому вопросу, если кому-то вдруг будет интересно https://oig.justice.gov/reports/2018/o1803.pdf
По ссылке — отчет Министерства Юстиции США по этому вопросу, если кому-то вдруг будет интересно https://oig.justice.gov/reports/2018/o1803.pdf
Сегодня были проблемы у Телеграма, а сразу под твитом Дурова об этом - криптовалютный жулик (взял у Паши pqorama)
Привет!
Компания GetContact уведомила Роскомнадзор о том, что будет хранить персональные данные граждан России на серверах внутри страны, говорится в сообщении ведомства.
Компания является разработчиком одноименного мобильного приложения, с помощью которого можно узнать, под каким именем номер телефона пользователя записан у людей из его списка контактов, которые также установили GetContact. Приложение позиционируется разработчиками как сервис для блокировки ненужных и маркетинговых звонков.
О решении локализовать хранение данных пользователей из РФ на серверах внутри страны GetContact сообщила в официальном письме заместителю руководителя Роскомнадзора Александру Панкову, пояснили в ведомстве.
http://www.interfax.ru/russia/605937
Компания GetContact уведомила Роскомнадзор о том, что будет хранить персональные данные граждан России на серверах внутри страны, говорится в сообщении ведомства.
Компания является разработчиком одноименного мобильного приложения, с помощью которого можно узнать, под каким именем номер телефона пользователя записан у людей из его списка контактов, которые также установили GetContact. Приложение позиционируется разработчиками как сервис для блокировки ненужных и маркетинговых звонков.
О решении локализовать хранение данных пользователей из РФ на серверах внутри страны GetContact сообщила в официальном письме заместителю руководителя Роскомнадзора Александру Панкову, пояснили в ведомстве.
http://www.interfax.ru/russia/605937
Interfax.ru
GetContact будет хранить персональные данные россиян на серверах внутри страны
Компания GetContact уведомила Роскомнадзор о том, что будет хранить персональные данные граждан России на серверах внутри страны, говорится в сообщении ведомства.
Вот к скриншоту с криптовалютным жуликом у твита @durov — вы думаете “хаха, неужели кто-то ведется на это?”. А вот ведутся — читатель прислал инфу про кошелек, а туда уже набросали денег за последние 2 часа. 97 эфиров на почти 40 тыс долларов. “дура дурой, а свою тыщонку в день имею”, как говорилось в одном анекдоте
и про VPN. мало того, что многие из них, как я писал вчера, сохраняют логи, хотя обещают этого не делать. Так еще и у некоторых из них (четверть) IP пользователей утекает через WebRTC (за ссылку спасибо читателю)
https://voidsec.com/vpn-leak/
А второму читателю спасибо за дополнение:
https://ipleak.net
вот тут хороший тест vpn да и просто можно чекнуть какая инфа о тебе уходит владельцам сайта
https://voidsec.com/vpn-leak/
А второму читателю спасибо за дополнение:
https://ipleak.net
вот тут хороший тест vpn да и просто можно чекнуть какая инфа о тебе уходит владельцам сайта
VoidSec
VPN Leak - VoidSec
VPN leaks users’ IPs via WebRTC: I’ve tested hundred VPN and Proxy providers and 19 of them leaks users’ IPs via WebRTC (16%)
Читатели канала - лучшие. Вот интересная статья об уязвимостях Телеграма от читателя канала. Не все уязвимости одинаково полезны!
https://habrahabr.ru/post/347910/
https://habrahabr.ru/post/347910/
Habr
[BugBounty] Раскрытие 5 миллионов ссылок в приватные чаты Telegram и возможность редактирования любой статьи telegra.ph
Вот уже больше года я пользуюсь мессенджером Telegram: это удобно и, насколько мне казалось, полностью конфиденциально. Так как я исследователь безопасности web-приложений, то должен был...
MyFitnessPal - популярное приложение-сервис для фитнеса и здорового питания - было взломано в феврале этого года. 150 миллионов записей о пользователях, включая имена, имейлы и пароли в зашифрованном виде, уехали к злоумышленникам. Если у вас был/есть аккаунт на этом сервисе - самое время его сменить. Если вы использовали такой же пароль с логином где-то ещё - то ай-ай-ай!
https://content.myfitnesspal.com/security-information/notice.html
https://content.myfitnesspal.com/security-information/notice.html
Кстати, пару дней уже забываю. Если у вас есть с сайт с Drupal, то вам будет полезно почитать это - критическая уязвимость, срочно апдейтиться, вот это все
https://www.drupal.org/sa-core-2018-002
https://www.drupal.org/sa-core-2018-002
Вчера Apple выложила обновления всех своих операционных систем. Всегда интересно просматривать информацию не только о новых фидах обновлений, но и о новых исправлениях безопасности:
iOS 11.3 https://support.apple.com/en-us/HT208693
macOS 10.13.4 https://support.apple.com/kb/HT208692 (тут же и информация о фиксах для 10.11 и 10.12)
watchOS 4.3 https://support.apple.com/kb/HT208696
tvOS 11.3 https://support.apple.com/kb/HT208698
Фиксы в Сафари https://support.apple.com/kb/HT208695
И даже фиксы в iTunes для Windows https://support.apple.com/kb/HT208694
iOS 11.3 https://support.apple.com/en-us/HT208693
macOS 10.13.4 https://support.apple.com/kb/HT208692 (тут же и информация о фиксах для 10.11 и 10.12)
watchOS 4.3 https://support.apple.com/kb/HT208696
tvOS 11.3 https://support.apple.com/kb/HT208698
Фиксы в Сафари https://support.apple.com/kb/HT208695
И даже фиксы в iTunes для Windows https://support.apple.com/kb/HT208694
Apple Support
About the security content of iOS 11.3
This document describes the security content of iOS 11.3.
А вот в Иране собрались заблокировать Телеграм и заменить его на свой православный... (зачеркнуто) кошерный... (зачеркнуто) халяльный! мессенджер Soroush
https://en.mehrnews.com/news/133064/Telegram-to-be-replaced-with-Iranian-app-within-weeks
https://en.mehrnews.com/news/133064/Telegram-to-be-replaced-with-Iranian-app-within-weeks
Mehr News Agency
Senior MP: Telegram to be replaced with Iranian app within weeks
TEHRAN, Mar. 31 (MNA) – Chairman of Iran’s Parliament National Security and Foreign Policy Commission said Sat. an Iranian alternative to Telegram will launch operation at the end of the current Iranian month.
И снова здравствуйте! Наступают трудо выебудни, а вместе с ними и новые новости об опасностях для информации. Например, стало известно, что магазины Saks Fifth Avenue/Lord&Taylor - популярные премиальные рителейлеры в США - стали жертвами злоумышленников, которые взломали платежную систему магазинов и собрали около 5 миллионов данных банковских карт клиентов этих магазинов. А это очень качественный улов, поскольку в этих магазинах шоппятся весьма состоятельные покупатели. Так что, технически, жертвами стали, конечно, покупатели, а не сами магазины. Детальной информации о технологии взлома нет, зато понятен период - с мая 2017 года. Пока что доступны к продаже 125 тыс карт, но говорят, о 5 миллионах, так что улов хороший. По ссылке немножко больше деталей
https://geminiadvisory.io/fin7-syndicate-hacks-saks-fifth-avenue-and-lord-taylor/
https://geminiadvisory.io/fin7-syndicate-hacks-saks-fifth-avenue-and-lord-taylor/
Fraud Intelligence - Gemini Advisory - Stop fraud before it happens with fraud intelligence. Harness the power of dark web fraud intelligence to remain a step ahead of cybercriminals.
Fin7 Syndicate Hacks Saks Fifth Avenue and Lord & Taylor
On March 28, 2018, a notorious hacking JokerStash syndicate, also known as Fin7 announced the latest breach of yet another major corporation.
Это я к тому, что можно сколько угодно говорить про очевидные сервисы типа ФБ или Гугл, собирающие о нас информацию, но таких “собирателей” при дальнейшей “оцифровке” нашей жизни будет все больше и больше. Нужен глаз да глаз
Вчера все воспринимали это за первоапрельскую шутку, но это не шутка
https://blog.cloudflare.com/announcing-1111/
https://blog.cloudflare.com/announcing-1111/
The Cloudflare Blog
Announcing 1.1.1.1: the fastest, privacy-first consumer DNS service
Cloudflare's mission is to help build a better Internet. We're excited today to take another step toward that mission with the launch of 1.1.1.1 — the Internet's fastest, privacy-first consumer DNS service. This post will talk a little about what that is…
закрытый альбом во ВК? Не вопрос http://agora.legal/news/2018.04.03/V-Krasnoyarske-15-goda-kolonii-poseleniya-prosit-prokuror-po-delu-ob-ekstremizme/696
Привет. Чтобы не утомлять вас уведомлениями о множественных сообщениях, сегодня выпуск в виде дайджеста со ссылками:
1. В Саудовской Аравии(!) законодательно запретили следить за супругами с помощью шпионского программного обеспечения на смартфонах. Запрет относится как к мужьям, так и к жёнам. Наказание - до года заключения и/или штраф до 133 тыс долларов. Потому что информация опасносте!
http://www.gdnonline.com/Details/345138/Saudi-law-punishes-spousal-spying-on-mobile-phones
2. Как Panera Bread (популярная в США сеть модного, типа здорового фастфуда) сливала данные покупателей, которые заводили аккаунты для заказа еды в онлайне. Данные включали в себя имена, имейл, адрес, и последние 4 цифры номера банковской карты
https://krebsonsecurity.com/2018/04/panerabread-com-leaks-millions-of-customer-records/
3. А вы знали, что Chrome сканирует ваши файлы на компьютере и проверяет их на наличие вредоносного ПО? Вот и многие другие пользователи и эксперты не знали, что в браузер встроены базовые антивирусные функции. Вроде никакого вреда от этой функции нет, но Гугл бы не помешало лучше такие нововведения коммуницировать
https://motherboard.vice.com/en_us/article/wj7x9w/google-chrome-scans-files-on-your-windows-computer-chrome-cleanup-tool
4. А Facebook продолжает банить русских ботов в своей социальной сети. Можно сказать, что борьба со свободой слова ботов!
https://newsroom.fb.com/news/2018/04/authenticity-matters/
1. В Саудовской Аравии(!) законодательно запретили следить за супругами с помощью шпионского программного обеспечения на смартфонах. Запрет относится как к мужьям, так и к жёнам. Наказание - до года заключения и/или штраф до 133 тыс долларов. Потому что информация опасносте!
http://www.gdnonline.com/Details/345138/Saudi-law-punishes-spousal-spying-on-mobile-phones
2. Как Panera Bread (популярная в США сеть модного, типа здорового фастфуда) сливала данные покупателей, которые заводили аккаунты для заказа еды в онлайне. Данные включали в себя имена, имейл, адрес, и последние 4 цифры номера банковской карты
https://krebsonsecurity.com/2018/04/panerabread-com-leaks-millions-of-customer-records/
3. А вы знали, что Chrome сканирует ваши файлы на компьютере и проверяет их на наличие вредоносного ПО? Вот и многие другие пользователи и эксперты не знали, что в браузер встроены базовые антивирусные функции. Вроде никакого вреда от этой функции нет, но Гугл бы не помешало лучше такие нововведения коммуницировать
https://motherboard.vice.com/en_us/article/wj7x9w/google-chrome-scans-files-on-your-windows-computer-chrome-cleanup-tool
4. А Facebook продолжает банить русских ботов в своей социальной сети. Можно сказать, что борьба со свободой слова ботов!
https://newsroom.fb.com/news/2018/04/authenticity-matters/
Хотел об этом написать, но ребята из Завтракаста уже написали, причём в гораздо более приличных выражениях, чем собирался я