(к предыдущей новости и картинке - «а все потому, что Drupal надо апдейтить, но апдейты для слабаков!»)

Некоторым пользователям GitHub пришло письмо о том, что пароли некоторых пользователей попали во внутреннюю систему ведения логов:

Hi there,

During the course of regular auditing, GitHub discovered that a recently introduced bug exposed a small number of users’ passwords to our internal logging system, including yours. We have corrected this, but you'll need to reset your password to regain access to your account.

GitHub stores user passwords with secure cryptographic hashes (bcrypt). However, this recently introduced bug resulted in our secure internal logs recording plaintext user passwords when users initiated a password reset. Rest assured, these passwords were not accessible to the public or other GitHub users at any time. Additionally, they were not accessible to the majority of GitHub staff and we have determined that it is very unlikely that any GitHub staff accessed these logs. GitHub does not intentionally store passwords in plaintext format. Instead, we use modern cryptographic methods to ensure passwords are stored securely in production. To note, GitHub has not been hacked or compromised in any way.

You can regain access to your account by resetting your password using the link below::

https://github.com/password_reset

If you have any lingering questions or concerns about this, don't hesitate to let us know. You can reach us by emailing support@github.com or by using our contact form:

https://github.com/contact

Пока у вас там продолжаются выходные, расскажу интересную историю про то, как поймали в США маньяка, который в период с 1974 по 1986 год терроризировал Калифорнию, за что получил прозвище Golden State killer (12 убийств и около 50 изнасилование). Поймали его только сейчас, и благодаря сайту с генетической информацией GEDmatch (https://www.gedmatch.com/login1.php). У полиции были некоторые семплы ДНК, но они не могли найти убийцу с помощью традиционных методов много лет. И вот, воспользовавшись сайтом, полиция наконец-то смогла вычислить его и арестовать.

Сайт позволяет исследователям и любителям генеалогии загрузить туда данные ДНК, обнаруженные на местах преступления, и найти таким образом каких-то супердалеких родственников преступника. Это позволило существенно сузить круг потенциальных подозреваемых, и в итоге выйти на самого убийцу.

GEDmatch изначально декларирует, что данные, которые в него загружаются, являются публичными. Подобная ситуация —  не повод перестать пользоваться сервисами типа 23andMe или Ancestry, которые тоже позволяют анализировать ДНК — они утверждают, что они всячески сопротивляются запросам от правоохранительных органов для сохранения приватности своих клиентов (уверен, в России есть и свои похожие сервисы, но не знаю, насколько они устойчивы к запросам из полиции). Но в целом, %username%, помни, что информация может быть опасносте в самых неожиданных местах, причем даже если ты туда её не загружал. (Я также надеюсь, что среди читателей канала нет маньяков и насильников).

Почитать по теме больше можно тут
https://www.mercurynews.com/2018/04/26/ancestry-23andme-deny-assisting-law-enforcement-in-east-area-rapist-case/

Сегодня всемирный день пароля, оказывается
https://www.daysoftheyear.com/days/password-day/
Берегите пароли смолоду! Заводите безопасные пароли! Не используйте одинаковые пароли на разных сайтах! Мойте руки перед использованием пароля! Чаще применяйте менеджеры паролей! Безопасность любит хорошие пароли! Мир, пароли, май! Слава паролям! Нувыпонели!

Кстати, о паролях картинка

И снова о паролях. В этот раз паролях к Твиттеру. Твиттер тут объявил, что некий баг во внутренней системе логов привёл к тому, что некое время пароли пользователей были в открытом тексте во внутренних логах (Твиттер говорит, что вроде как никакой утечки не было). Поэтому Твиттер советует пользователям поменять пароли
https://blog.twitter.com/official/en_us/topics/company/2018/keeping-your-account-secure.html

От себя добавлю:
- желательно менять пароли на такие, которые не используются в других сервисах
- раз уж вы пойдёте менять пароль для Твиттера, настройте и двухфакторную авторизацию, чтобы два раза не вставать. Причём желательно не ту, которая через СМС, а через приложение-аутентификатор

Такие дела :)

Тут читатель прислал ссылку, по которой пишут, что ВК запустил поиск пользователей по телефону
https://t.me/popyachsa/12482

(И ведь совсем недавно ФБ заявил, что злоумышленники пользовались годами возможностью с поиском по номеру телефона, чтобы собирать информацию о пользователях, и 5 апреля компания заявила, что ограничила эту возможность. Видимо, в ВК решили восстановить равновесие глупости во Вселенной. Судя по скриншоту, эту опцию можно отрегулировать, так что вы знаете, что делать)

АПД пишут, что фича была давно, а вот возможность её регулировки в настройках появилась как раз недавно

Забавный сайт с функциональностью, которая превращает обычную ссылку во что-то максимально опасно выглядящее. не знаю, зачем это может быть нужно, разве что внутренних пользователей потестировать на предмет того, кто из них умудрится тыкнуть во что-то очевидно такое, во что тыкать не следовало бы

https://verylegit.link

Привет. Интересная статья на Washington Post с рекомендациями о том, какие пароли модно нынче создавать (и под «модно» я имею в виду, что, оказывается, исследования показывают, что делать сложные пароли или вставлять цифры и знаки в слова тоже не айс, а вот делать фразы лучше, потому что угадывать их сложнее, а запоминать проще.) мне понравилось, я планирую свои особо важные пароли на подобную схему перевести - это минимизирует стимулы к реюзу и упрощает запоминаемость). К статье есть и короткое видео, что может кому-то показаться более удобным форматом подачи информации. Статья не новая, но от этого не менее полезная.

https://www.washingtonpost.com/news/the-switch/wp/2016/08/11/theres-a-new-way-to-make-strong-passwords-and-its-way-easier/

Кстати, о паролях. Тут разработчики 1Password выкатили новую версию Watch Tower в своём приложении, которое мониторит используемые сервисы и сообщает об утечках информации в таких сервисах, а также интегрировано с сервисом Have I been Pwned, который знает об уже утёкших паролях. Очень полезная штука для гигиены паролей в целом
https://blog.agilebits.com/2018/05/04/introducing-watchtower-2-0-the-turret-becomes-a-castle/

(Да, у других менеджеров паролей тоже есть похожая интеграция с HIBP, просто я лично много лет уже пользуюсь 1Password, поэтому никак не могу заткнуться по этому поводу)

Есть тут среди вас пользователи смартфонов Xiaomi? Тут у Bloomberg вышла интересная статья о бизнес-модели компании, из которой следует, что Xiaomi старается быть больше похожей не на Apple, зарабатывая деньги на телефонах, а на Facebook, зарабатывая деньги на рекламе. 8.6% выручки и 39% прибыли компании - это от “internet services”, и 57% этих самых сервисов - это выручка именно от рекламы (оставшаяся часть - это игры). Xiaomi продаёт телефоны с минимальной маржей, а в последствии собирает информацию о том, как вы используете телефон и решает, что может быть вам интересно. Потом начинает рекомендовать приложения, в том числе и от сторонних разработчиков. За эти рекомендации Xiaomi получает деньги, так что фактически компания продаёт свою рекламную платформу в виде телефонов.

https://www.bloomberg.com/view/articles/2018-05-03/xiaomi-is-more-like-facebook-than-apple

Картинка про пароли в тему (спасибо читателю)
https://www.xkcd.com/936/

Сайт с Друпалом без апдейтов? Это не только дефейс, но и криптомайнинг. Вы знаете, что делать!
https://badpackets.net/large-cryptojacking-campaign-targeting-vulnerable-drupal-websites/

Как компании реагируют на утечки данных

Привет! Чуть меньше месяца назад я писал здесь в канале о возможных изменениях в iOS, которые бы позволили Apple минимизировать возможности некоторых компаний по взлому iPhone и получению данных с телефонов (t.me/alexmakus/1954). Вчера об этом написали друзья канала — ребята из компании Elcomsoft: по их словам, они, исследуя бета-версии и документацию, обнаружили упоминания и ссылки на функциональность USB Restricted Mode. Суть заключается в том, напомню, что по истечение 7 дней, если за эти 7 дней не было успешных попыток разблокировки телефона, Lightning разъем в телефоне превращается в тыкву, способную только заряжать телефон, но не передавать данные (для “оживления” нужно включить телефон и залогиниться с паролем). Сейчас в случае, если телефон, например, изъят у преступника и не выключался, специальные устройства от компаний Cellebrite и Grayshift могут обходить защиту устройств и сгружать данные с телефонов. Так вот, с помощью этого изменения в iOS 11.4 вероятность получения данных с телефона уменьшится: пока полицеские получат устройство, пока получат ордер на его обработку, и тд, и тп… Интересно, что в бета-версиях 11.4 пока что эта функциональность не присутствует, и официальных подтверждений, что она там появится, тоже пока нет. Теоретически до релиза 11.4 остается не так уж много времени, наверно, не больше месяца.

Запись в блоге Элкомсофт вот
https://blog.elcomsoft.com/2018/05/ios-11-4-to-disable-usb-port-after-7-days-what-it-means-for-mobile-forensics/

PS Меня больше интересует вот что. при всех разговорах Apple о том, что их устройства более безопасны, сам факт наличия сразу двух компаний, способных вскрывать телефоны и сгружать с них данные, почему-то на удивление мало освещения в прессе получает. Куда девались все прелести Secure Enclave? Почему Apple не мчится стремглав исправлять эти уязвимости, явно эксплуатируемые этими компаниями? (собака_подозревака.жпг)

Signal считается одним из самых безопасных мессенджеров, но даже у них бывает лажа. Оказалось, что уведомления на Маке по умолчанию сохраняются, а в них - тексты пришедших уведомлений. Упс. Надо отключать уведомления по умолчанию

https://objective-see.com/blog/blog_0x2E.html

https://motherboard.vice.com/en_us/article/kzke7z/signal-disappearing-messages-are-stored-indefinitely-on-mac-hard-drives