Но есть хорошая альтернатива! (Надо бы вспомнить номер)

Ладно, забанят так забанят. Давайте ещё немного про Фейсбук поговорим (да, мне тоже надоело, а что делать). Приколы с Фейсбуком не заканчиваются на том, что оказалось, что 87 миллионов пользовательских записей оказалось в руках тех, у кого они не должны были оказаться. Например:

1. Фейсбук подтвердил, что сканирует переписку пользователей в Messenger, и если обнаруживается что-то, не соответствующее политике компании (изображения, ссылки), то чат выводится модераторам. Удобно!
https://www.bloomberg.com/news/articles/2018-04-04/facebook-scans-what-you-send-to-other-people-on-messenger-app

2. Facebook вёл переговоры с больницами и медицинскими организациями о том, чтобы получить анонимизированную информацию о пациентах (болезни, предписанные медикаменты), для того, чтобы скрестить это со своей информацией о пользователях с помощью hashing, что, по сути, позволило бы деанонимизировать эти данные. Проект был приостановлен на фоне скандала с Cambridge Analytica. Совершенно не creepy, абсолютно.

https://www.cnbc.com/2018/04/05/facebook-building-8-explored-data-sharing-agreement-with-hospitals.html

3. И ещё про переписку. Facebook втихаря удалил переписку Цукерберга и других топ-менеджеров компании с некоторыми пользователями в системе Фейсбук (я так понимаю, что в Messenger). Facebook утверждает, что это для обеспечения безопасности коммуникаций этих топ-менеджеров, но сам факт такого скрытого удаления без предупреждения, причём из чужих инбоксов вряд ли добавляет репутационных баллов компании

https://techcrunch.com/2018/04/05/zuckerberg-deleted-messages/

Какой из этого всего вывод? Да черт его знает. Но забавно наблюдать, как после стольких лет многие наконец-то начали обращать внимание на поведение Facebook, и оказалось, что куда не копни, а там какие-то аццкие лажи.

Несколько полезных и интересных ссылок от читателей (за что им традиционно спасибо):

1. Вот может быть полезная ссылочка для твоего канала - скрипт быстрого разворачивания на сервере Open-VPN. Я вот на Хецнере развернул за 3 евро в мес и рад =) https://github.com/Nyr/openvpn-install
(Потому что никогда не знаешь, что там с вашими данными делает ваш провайдер VPN)

2. Как популярная сеть для геев позволяет утекать части данных о пользователях
https://mashable.com/2018/04/02/grindr-user-privacy-hiv-status/

3.
«Могу рассказать, как СПбГУ ЛЭТИ облажался с личными данными участников олимпиады ДМиТИ. Они все доступны для закачки, вся база почт открыта
http://dmti.ipo.spb.ru/files/db/*
В любом случае, при подстановке числа от 30 до примерно 300 получаешь загруженные участниками соглашения»

Ну и в честь пятницы смешная страшилка про хакеров

Алярма!!! Если у вас свитч Cisco, нужен срочный патч! https://www.zdnet.com/article/cisco-critical-flaw-at-least-8-5-million-switches-open-to-attack-so-patch-now/

И вот ещё https://t.me/unkn0wnerror/661

А теперь давайте немного разберёмся, что же на самом деле происходит.
Итак, с год назад один ловкий парень заметил, что ежели собрать хитрый пакет и заслать его на порт 4786, то в коде Smart Install Client случается переполнение буфера, отчего целая серия девайсов под управлением Cisco IOS и Cisco IOS XE сдаётся без боя, отдаваясь любому желающему целиком и полностью.
Как заведено у ловких парней, он поделился данным наблюдением с не менее ловкими парнями на не самом безызвестном мероприятии. Коллеги по цеху оценили и даже выдали приз, и дальше начинается интересное. По условия мероприятия, общаться с вендором забота (и право) исключительно организаторов смотра юных талантов. Свято блюдя это право, они рассказали всю правду Cisco через каких-то жалких 4 месяца. Видимо никак не могли презентацию покрасивей нарисовать.
Ответственные товарищи в Cisco призадумались и очень попросили не публиковать деталей до 28 марта сего года.
И вот вся информация опубликована, и со всех сторон пошли репорты, что похоже следы использования этой прелести стали находить у себя и провайдеры всех мастей, и просто владельцы интересных инфраструктур.
Беда в том, что порт 4786 открыт по умолчанию и мало кто его закрывает специально. По первым прикидкам в сети около 8,5 миллионов устройств с торчащим 4786 наружу, из которых 250 тысяч имеют подтверждённую уязвимость.
Хочешь проверить насколько ты можешь спать спокойно? Забрось в сеть нечто вроде:
nmap -p T:4786 192.168.1.0/24
Сканирование удел лентяев? Тогда спроси у железа:
switch>show vstack config
Role: Client
Oper Mode: Enabled или Role: Client (SmartInstall enabled)
Ну а если хочешь сразу и наверняка, то скажи просто заклинание no vstack или чтобы наверняка, руби с плеча
ip access-list extended SMI_HARDENING_LIST
permit tcp host 10.10.10.1 host 10.10.10.200 eq 4786
deny tcp any any eq 4786
permit ip any any`
https://www.youtube.com/watch?v=CE7KNK6UJuk

Как говорится, I cant even begin... то ли смеяться от хранения паролей в plain text, тлили от уверенности в том, что их безопасность самая лучшая... осталось только упомянуть в треде military grade security и картина будет полной

Справедливости ради - СЕО T-Mobile в твите подтвердил, что компания не хранит пароли в plain text
(Апд. Меня тут поправляют, что речь в ответе шла об американском Тмобил, и необязательно та же политика применяется в европейском)
https://twitter.com/JohnLegere/status/982370944923549697

Глава Роскомнадзора высказался о судьбе популярных мессенджеров в России

«Давайте есть слона по частям. Сейчас мы подали иск в отношении Telegram и будем ждать решения суда. Пока на этом все», – заявил Александр Жаров.

Долго же MyFintessPal раздуплялся с нотификацией о взломе мне (и, видимо, не только мне) - об этом взломе уже неделю как все написали

Причём с тех пор я успел даже удалить там свой аккаунт, а они мне все равно написали. Возникает вопрос о том, насколько тщательно они удаляют пользовательские данные

В середине марта 2018 года программист Владимир Серов раскрыл самую крупную уязвимость в сервисе бесплатного Wi-Fi московского метро. Минимум год дыра позволяла любому получить номера телефонов всех подключенных пассажиров поезда, а затем прочитать в незашифрованном виде цифровой портрет каждого: примерный возраст, пол, семейное положение, достаток, а также станции, на которых человек живет и работает. Затем Серов пошел дальше и написал скрипт, позволяющий отслеживать передвижение по подземке конкретного абонента, если он подключен к сети MT_FREE, — обычно такие технологии доступны только спецслужбам. Компания «МаксимаТелеком», оператор системы, зашифровала номер телефона в течение суток после того, как об уязвимости стало известно публично. Остальные данные открыты до сих пор, а сколько человек могли сохранить всю незашифрованную базу за время, пока «дыра» была открыта — неизвестно.

http://www.the-village.ru/village/city/situation/308363-krupnaya-utechka-operator-wi-fi-v-metro-moskvy-vykladyvaet-dannye-o-polzovatelyah-v-obschiy-dostup

(За ссылку спасибо читателю канала)

Про два ключа, скорей всего , шутка, и довольно банальная. На месте Дурова я бы распечатал пару сотен рандомно сгенеренных ключей, страниц так на 500, и передал их - пусть разбираются

В мире Apple Pay, Android Pay и других Pay пользоваться «умной картой» (которая типа заменяет собой сразу несколько карт, которые туда записываются), пользуются, скорей всего, мазохисты. Ничего удивительного, что оказывается, с таких «умных» карт можно слить чужие данные, если она попадёт в руки злоумышленников https://arstechnica.com/information-technology/2018/04/whatever-you-do-dont-give-this-programmable-payment-card-to-your-waiter/

Наверно, закрывая тему с T-Mobile Austria и их паролями в plain text (было пару дней назад в канале). Компания пообещала, что “Online-passwords will be salted and hashed in the future, as is considered state of the art in security. Other channels, including shops and call centers, will introduce additional security criteria. These steps will be implemented as quickly as possible.”
Лучше позже, чем никогда, конечно

читатели прислали (спасибо!) парочку полезных ссылочек в тему разворачивания своего VPN, о котором я упоминал тут (https://t.me/alexmakus/1907)

1. Дополню про автоматические скрипты для openvpn – напишите про STREISAND, полностью автоматизированный скрипт, ставит OpenVPN, Shadowsocks, stunnel и множество других прекрасных плюшек. Также настраивает фаервол. После установки есть вебморда (защищена https!) для выдачи ключей openvpn клиентам.
https://github.com/StreisandEffect/streisand/blob/master/README-ru.md

2. о, насчет openvpn на vps.

я себе разворачивал форк того, что ты скинул: https://github.com/Angristan/OpenVPN-install/ .

и на AWS EC2, который free tier for 12 month. конечно, что будет после того как пройдет 12 месяцев - точно не знаю сколько это будет стоить. по расчетам если юзать t2.micro on demand instance (который можно выключать, если не используется) будет около $10/мес.

но для доп безопасности можно новый аккаунт раз в год заводить.

ну и тут опять вопрос доверия: безопасность данных пользователя уже зависит не от политик/порядочности/безопасности ISP провайдера, а от VPS провайдера.