В прошлом году я уже писал про Trello и пароли в публичных досках (https://t.me/alexmakus/1331). Думаете, что-то поменялось? ХАХАХА

https://www.google.com.tr/search?q=site%3Atrello.com+AND+intext%3A%40gmail%5C.com+AND+intext%3Apassword

Очередное исследование на эту тему, теперь свежее
https://medium.freecodecamp.org/discovering-the-hidden-mine-of-credentials-and-sensitive-information-8e5ccfef2724

Дайошь каждый год по напоминалке о Трелло, да и других публичных местах с паролями :)

Совершенно адская история про копировальные устройства. Пишут, что почти все они, начиная с 2002 года, содержат в себе жесткий диск, на который сохраняются документы, которые на нем копируются, печатаются, отправляются по факсу и тд. И, похоже, что когда эти устройства выводят из оборота, никто не заморачивается над удалением этих данных. Результат? Если купить такой бывший в использовании копировальный аппарат, с его диска можно собрать тысячи конфиденциальных документов. В этом убедились журналисты, купив 4 копировальных аппарата (по 300 долл каждый), а а там оказались и документы полицейских подразделений, и медицинские истории тысяч пациентов, и много всего другого интересного. Информация реально опасносте! (Правда, не очень понятно, зачем это все сохранять на устройствах по умолчанию)

https://www.cbsnews.com/news/digital-photocopiers-loaded-with-secrets/

Читатель тут добавляет про копиры:

«По копирам - есть вероятность, что отсканированное там не лежало в виде сохранённых файлов на диске копира. Вместо этого сканируемое сохранялось на диск операционной системой копира в процессе работы, а потом удалялось. Однако, поскольку простое удаление не приводит к затиранию содержимого на диске, а диски сейчас большие, восстановить удалённую информацию, тем более в виде картинок, достаточно легко. Есть вероятность, что упомянутая в статье бесплатная утилита - PhotoRec https://ru.m.wikipedia.org/wiki/PhotoRec»

Расширения для Chrome, ставятся из магазина, воруют пользовательские данные, криптят майну, ой, то есть, майнят крипту, никогда такого не было, и вот опять!
https://arstechnica.com/information-technology/2018/05/malicious-chrome-extensions-infect-more-than-100000-users-again/

Туда же - на тему мониторинга телефонов в Штатах
https://www.nytimes.com/2018/05/10/technology/cellphone-tracking-law-enforcement.html

Привет! Все, надеюсь, отдохнули от праздников (и вся картошка посажена), поэтому возвращаемся к регулярным трансляциям плохих новостей из нашего мира, в котором информация опасносте! Пользуетесь PGP? Тут какие-то очень плохие новости по этому поводу: вроде как обнаружены критические уязвимости в PGP и S/Mime, позволяющие получить доступ к текстам зашифрованных писем, в том числе и тех, что были отправлены в прошлом. Информацию об этом можно почитать тут - там же и про вектор атаки: жертва получает специальное зашифрованное письмо, клиент его расшифровывает и подгружает внешний контент, который уже получает доступ к другому зашифрованному контенту в почте жертвы. Есть две части атаки, одна использует уязвимости в популярных почтовых клиентах, вторая _ уязвимости в спецификациях OpenPGP и S/Mime.
Много деталей тут https://efail.de/
И тут
https://efail.de/efail-attack-paper.pdf

Фиксов нет, рекомендация - отключить пока шифрование в почтовом клиенте, (вот рекомендация EFF по этому поводу https://www.eff.org/deeplinks/2018/05/attention-pgp-users-new-vulnerabilities-require-you-take-action-now), отключить HTML рендер, ждать патчей почтовых клиентов, ждать апдейтов стандартов OpenPGP и S/Mime.

Такие дела

Вдогонку есть и альтернативное мнение про то, что проблема несколько раздута и не стоит распространять FUD - fear, uncertainty and doubt
https://lists.gnupg.org/pipermail/gnupg-users/2018-May/060315.html

Хитрый фишинг - страница маскируется под настройки Хрома

Кстати, про eFail, о котором я писал утром (про почту, PGP и вот это все). Forbes вот пишет, что Apple им рассказали, что необходимые частичные исправления уже были внесены в iOS 11.3
https://www.forbes.com/sites/coxbusiness/2018/05/07/front-door-refresh-4-reasons-small-businesses-should-improve-their-websites/

Помните, я тут писал про багу с Signal на Маке, где тексты нотификаций сохранялись в открытом виде?
https://t.me/alexmakus/2059

Так вот, я тут пропустил, что уже апдейт вышел https://github.com/signalapp/Signal-Desktop/releases/tag/v1.10.1

Похоже, что USB Restricted Mode до iOS 11.4 всё-таки не доедет

https://gizmodo.com/it-looks-like-apples-tool-that-stops-cops-from-hacking-1826017460

Что ещё больше вызывает вопросы о том, что это за херня, что информацию с айфонов могут доставать, а Эпол ничего по этому поводу не делает. Напоминаю, что лучшая защита против этих «коробочек» для взлома айфона - сложные пароли.

Интересная тема с обходом двухфакторной авторизации

Evilginx project, which is a man-in-the-middle attack framework for remotely capturing credentials and session cookies of any web service. It uses Nginx HTTP server to proxy legitimate login page, to visitors, and captures credentials and session cookies on-the-fly. It works remotely, uses custom domain and a valid SSL certificate.

https://breakdev.org/evilginx-advanced-phishing-with-two-factor-authentication-bypass/

а РКН, похоже, не успокоился. А сколько разговоров было про то, что «вот скоро все нормализуется».

Пишут, что под эту бомбардировку попали WhatsApp, AirBnB и App Store. Молодцы они там, что уж там

Ладно, а вот про Телеграм, но не о блокировках (необычно, да?) Читатель прислал ссылку на исследование о вредоносном ПО, которое нацелено на различные файлы Telegram Desktop (мобильные клиенты не затронуты). ПО не эксплуатирует никакой уязвимости в самом Телеграме. В общих чертах: вредоносное ПО собирает доступные кэши и файлы ключей в десктопной версии Телеграма (как и информацию о логине в Стим), и используя эту информацию, может получать доступ к предыдущим сессиям в Телеграме и списку контактов. ПО нацелено на русскоязычных пользователей и явно написано русско-язычными авторами. Повторюсь, к мобильным клиентам Телеграма это не относится, уязвимостью не является.
https://blog.talosintelligence.com/2018/05/telegrab.html

Парочка приколов для читателей из Украины (приехало через твитор). Например, база предпринимателей, где по фамилии сразу находишь адрес, телефон и кучу другой информации о человеке
https://usr.minjust.gov.ua/ua/freesearch

Удобно, да, персональные данные, вот это все

АПД. Мне несколько человек написало, что, мол, такой закон принят в 2015 году, что данные всех индивидуальных предпринимателей открыты. Закон - это замечательно, конечно, но задним числом выложить все персональные данные предпринимателей, включая номера телефонов и адреса (например, я нашёл там известное мне предпринимательство, открытое в 2004 году и закрытое году в 2008) - это как-то несколько спорно, с учетом того, что в 2004 году никто не говорил, что эти данные станут публично доступными. Прозрачность, борьба с коррупцией - это хорошо, но выплескивать все ясли приватности вместе с водой как-то многовато, имхо.

Ну и тоже вот красота

И ещё о трекинге телефонов (помните, я на прошлой неделе давал парочку ссылок на историю о том, как сервис, предназначенный для слежения за телефонами заключённых, позволял следить за местоположением любого телефона в США?)
https://t.me/alexmakus/2065
Если вкратце, то есть такая компания Securus, предоставляющая озвученные выше услуги пенитенциарным заведениям. Сама компания является клиентом компании LocationSmart, которая и обладает неким тайным знанием (а точнее - вроде как контрактами с основными мобильными операторам в США) на получение информации о местоположении пользователей мобильной связи. Причём неважно, смартфон у вас или обычный телефон. У этой конторы был сервис на сайте, который позволял, получив согласие с помощью СМС, увидеть местоположение согласившегося абонента. Однако, на сайте также обнаружили ещё и уязвимость, которая давала возможность следить за местоположением пользователей без запроса на разрешение получения такой информации (сейчас эти страницы уже убрали). Использовался метод триангуляции по базовым станциям сотовой связи, поэтому точность до квартала, а не конкретного адреса, но тем не менее.

Короче, многоуровневый clusterfuck, который начинается с того, что мобильные операторы почему-то продают информацию о местоположении абонентов в LocationSmart (https://www.zdnet.com/article/us-cell-carriers-selling-access-to-real-time-location-data/)

Затем эта контора перепродаёт эту информацию в Securus, которая вроде как должна следить только за телефонами заключённых, а эту информацию используют практически как попало (https://www.nytimes.com/2018/05/10/technology/cellphone-tracking-law-enforcement.html)

И вдобавок ко всему на сайте LocationSmart находят уязвимость, благодаря которой вообще вся информация о местоположении абонентов становится доступной всем
https://krebsonsecurity.com/2018/05/tracking-firm-locationsmart-leaked-location-data-for-customers-of-all-major-u-s-mobile-carriers-in-real-time-via-its-web-site/

Можно сколько угодно заморачиваться над личной безопасностью со всякими 2ФА, сложными паролями, минимизацией своего цифрового отпечатка, а тут такое. Хочется всех сжечь.