Ну и в качестве вишенки на торте - твит чувака, который получил на обзор замок со сканером отпечатка пальца. Оказалось, что если раскрутить три видимых и доступных снаружи винта, то замок распадается на части и его можно открыть. Он написал об этом производителю замка, на что тот ответил «но зато замок полностью неуязвим для человека без отвертки!». Вот это, я понимаю, Безопасность!

https://twitter.com/LockPickingLwyr/status/1007613178249965569

Сумасшедшая история какая-то, которая на первый взгляд как бы не имеет отношения к информационной безопасности, но на самом деле имеет. Парень, очень хорошо играющий на кларнете, подавался на обучение к мегапреподавателю, но получил отказ. Несколько лет спустя оказалось, что отказ был сфабрикован его подружкой на тот момент. Поскольку они жили вместе и парень доверял своей подружке, то она имела доступ к его компьютеру и знала все его пароли. Когда она увидела в электронной почте письмо о том, что он принят на двухлетнее обучение с полным пансионом, она поняла, что он от неё уедет. Поэтому она удалила письмо о принятии на учебу, написала за него ответ, что он отказывается от этой учебы, а также сфабриковала письмо ему о том, что на самом деле ему отказали в принятии на эту учебу. Несколько лет спустя это всё-таки выяснилось и кларнетист подал на неё в суд, и выиграл иск в 350 тыс долларов. Так что вы там осторожней с общим доступом к компьютерам друзьям и подругам, а то сюрпризы разные бывают.

http://montrealgazette.com/news/local-news/mcgill-music-student-awarded-350000-after-girlfriend-stalls-career

Переписка из дела Пола Манафорта (даже если вы не знаете, кто это, то это не так важно). Обратите внимание на колонку method. Это, скорей всего, из бекапов, но все равно интересно

Полезная ссылка для максимальной защиты своей учетки Gmail
https://landing.google.com/advancedprotection/

Читатель пишет, что получил уведомление от FlightRadar24 о взломе и утечке пользовательских данных

В последние несколько дней вижу прям волну новостей и обсуждений среди определенного узкого круга товарищей о джейлбрейке для iOS 11.3-11.3.1. Да, это старая система, уже есть 11.4, и именно поэтому хочется напомнить, что апдейты Эпол выпускает не просто так, поэтому не забывайте их устанавливать. Потому что для кого-то джейлбрейк - это возможность поиграться с внутренностями системы, а для кого-то - возможность взломать чей-то телефон и украсть с него данные. iOS, конечно, в целом относительно безопасная система, но только в случае, если вы устанавливаете выходящие апдейты.

Кстати, еще про Apple. Тут читатель прислал ссылку на статью о том, что iPhone в iOS 12 (которая выйдет осенью) при звонке 911 будет автоматически передавать местоположение пользователя «куда надо» - в смысле в колл-центр 911, для того, чтобы облегчить поиск звонящего службам спасения (раньше-то определяли местоположение по номеру наземной линии, а сейчас 80% звонков в 911 происходит с мобильных устройств). Читатель предположил, что эта информация вписывается в тематику канала про «опасносте», мол, тут вам и информация о местоположении, и передаётся непонятно кому в коллцентр. Apple утверждает, что подобная информация будет передаваться только при звонках по номеру 911, и будет интегрирована с программным обеспечением, уже используемым в коллцентрах, и вообще они о сохранении частной информации при реализации такой функциональности думали в первую очередь.
В принципе, о сохранности информации надо беспокоиться всегда, и беспокойство пользователей тоже можно понять. Но судя по описанию проекта, там вполне должно получиться реализовать все безопасно без ущерба для пользователей
https://www.apple.com/newsroom/2018/06/apple-ios-12-securely-and-automatically-shares-emergency-location-with-911/

Наверно, сегодня уже будет «день Эпол». Подключаешь зашифрованный диск к Маку, вводишь пароль. Что-то там своё делаешь, потом отключаешь диск.... а осадочек-то остался. Если точнее, то не «осадочек», и скриншоты предварительного просмотра файлов с этого диска, который система QuickLook проиндексировала и наштамповала превьюшек файлов, из которых можно добыть информацию. Конечно, это требует физического доступа к Маку, но все равно как-то не очень приятно

https://objective-see.com/blog/blog_0x30.html

Сразу несколько читателей прислали мне ссылку с продолжением на рассказ о супербезопасном «умном» замке Tapplock, о котором я писал на прошлой неделе

https://t.me/alexmakus/2145

Так вот, там с этим замком оказалось все гораздо хуже. Выяснилось, что если зарегистрировать учетную запись в сервисе этой компании и залогиниться в неё, то можно вычислить и ID других аккаунтов (потому что они выдаются подряд), и можно стать авторизованным пользователем замков других пользователей, а также получить доступ к их персональной информации (включая адрес, по которому замок используется). ОЧЕНЬ УДОБНО

Компания, конечно, в спешке правит самые явные лажи, но помните об этом в следующий раз, когда решите, что настало время умных домов.

https://nakedsecurity.sophos.com/2018/06/18/the-worlds-worst-smart-padlock-its-even-worse-than-we-thought/

Хехехе. домашние гаджеты, познакомьтесь с DNS Rebinding
https://medium.com/@brannondorsey/attacking-private-networks-from-the-internet-with-dns-rebinding-ea7098a2d325

К предыдущей новости proof of concept и исходный код
https://github.com/brannondorsey/dns-rebind-toolkit

Готовый темплейт: «Криптовалютную биржу Х взломали, похитили Y денег»
http://bithumb.cafe/archives/33189

https://twitter.com/bithumbofficial/status/1009236771287150592?s=21

Немножко накопившихся за последнее время ссылок:

- коллекция всяких экспериментов по взлому айфонов
https://ramtin-amin.fr/#nvmedma

- ещё небольшая коллекция описанных уязвимостей iOS и Android
https://github.com/externalist/exploit_playground

- интересная статья про группировку Olympic Destroyer (считается, что это хакеры из Серверной Кореи)
https://securelist.com/olympic-destroyer-is-still-alive/86169/

- Google пообещала исправить утечку данных о местоположении из Google Home и Chromecast
https://krebsonsecurity.com/2018/06/google-to-fix-location-data-leak-in-google-home-chromecast/

В июне исполнилось 18 лет с появления, как говорят, первого мобильного вируса - Cabir. Распространялся по Bluetooth, заражал телефоны с Symbian (если кто помнит ещё такую ОС). Безвредный :)

Самые популярные четырехзначные пин-коды (по частоте использования в утечках, опубликованных на HIBP):
1234
1111
1342
0000
1212
1986
4444
7777
6969
1989
2222
5555
2004
1984
1987
1985
1313
5678
8888
9999

еще в тему — научное исследование по поводу вероятности использования пин-кода в виде даты рождения человека
http://www.jbonneau.com/doc/BPA12-FC-banking_pin_security.pdf

Забыл дополнить, что использование 4-значных пинов для телефонов и карточек (если банк поддерживает) сильно не рекомендуется

как чувак путем поиска и перебора данных подключался в случайные конференции Skype for Business
https://twitter.com/redeemedHacker/status/1009592415659941889

Ведя этот канал, постоянно ощущаю чувство дежавю. Вот опять, детский монитор Fredi легким движением руки превращается в камеру слежения…

https://www.sec-consult.com/en/blog/2018/06/true-story-the-case-of-a-hacked-baby-monitor-gwelltimes-p2p-cloud/

Будьте очень осторожны, замазывая важную информацию с помощью markup инструмента на iPhone - если использовать неправильный инструмент, то, задрав яркость на скриншоте, можно увидеть замазанный текст. Советуют использовать, например, прямоугольник с заливкой
https://twitter.com/thejohnwickham/status/1009525745864134656

Я тут пару раз уже писал о теме слежки за пользователями мобильных телефонов и их местоположении в США. Вкратце — был такой скандал, где мобильные операторы продавали эти данные другим компаниям, а те перепродавали этот сервис кому попало и как попало, включая их сайты с уязвимостями, позволявшие смотреть информацию вообще без всякой авторизации:

https://t.me/alexmakus/2065
https://t.me/alexmakus/2079

Так вот, сразу несколько новостей по этому поводу:
1. мобильные операторы в США сказали, что они разрывают свои контракты о передаче информации о местоположении телефонов с третьими сторонами
https://krebsonsecurity.com/2018/06/verizon-to-stop-sharing-customer-location-data-with-third-parties/
Вот ответы операторов сенатору Вайдену на его “депутатский” запрос “ДОКОЛЕ?”:
- Verizon https://www.wyden.senate.gov/imo/media/doc/Verizon%20Response%20to%20Sen%20Wyden%2006_15_18.pdf
- AT&T https://www.wyden.senate.gov/imo/media/doc/at&t%20letter%20to%20RW%206.15.pdf
- T-Mobile USA https://www.wyden.senate.gov/imo/media/doc/T%20Mobile%206-15-18%20Ltr%20to%20Sen.%20Wyden.pdf
- Sprint https://www.wyden.senate.gov/imo/media/doc/Sprint%20Letter%20to%20Sen.%20Wyden%206.15.18.pdf

2. Верховный Суд США сегодня принял решение, что правоохранительные органы должны получать ордер суда для того, чтобы запрашивать информацию о местоположении мобильного устройства у мобильных операторов. там еще речь идет о куче другой частной информации, включая банковскую информацию, переписку в СМС и почте, историю поиска в интернете и тд.
https://www.supremecourt.gov/opinions/17pdf/16-402_h315.pdf

3. Такое решение должно окончательно добить бизнесы типа перепродажи информации о местоположении людей, которые внесли залог в суде, но потом в суде не появились. В США существует целая отрасль “bounty hunters”, которые охотятся за сбежавшими из-под залога, чтобы обеспечить доставку таких людей в суд. Вокруг этого есть еще пачка компаний, вносящих залог “в долг”, а bounty hunters потом находят сбежавших за процент. Короче, мутный бизнес, который активно пользовался сервисами по поиску людей через местоположение мобильного телефона. Большая статья с деталями на motherboard
https://motherboard.vice.com/en_us/article/9k873e/captira-phone-tracking-verizon-tmobile-sprint-securus-locationsmart-bounty-hunters

Если вдруг еще почему-то пользуетесь ICQ, то вам будет интересно узнать об уязвимости, которая позволяла подключаться к любому чату (уязвимость уже исправлена). За ссылку спасибо читателю
https://habr.com/post/414915/