у Gentoo на Github какие-то не очень хорошие новости
https://gentoo.org/news/2018/06/28/Github-gentoo-org-hacked.html

читатель прислал ссылку, что вроде как взломали сайт американского Adidas — по крайней мере, компания уведомляет покупателей, которые регистрировались на сайте и что-то там покупали, о том, что ничего важного вроде как не украли.

Today, we are alerting you about a potential data security incident involving information about certain consumers who purchased on adidas.com/US. On June 26, we became aware that an unauthorized party claims to have acquired limited data associated with these consumers. We are notifying you out of an abundance of caution.

adidas is committed to the privacy and security of our consumers' personal data. We immediately began taking steps to determine the scope of the issue and to alert relevant consumers. adidas is working with leading data security firms and law enforcement authorities to investigate the issue. According to the preliminary investigation, the limited data includes contact information, usernames and encrypted passwords. We have no reason to believe that any credit card or fitness information was impacted.

adidas understands the importance of your personal information. We take the protection of that information very seriously and we are sorry to have to write to you in these circumstances.

Should you have questions please reach out to our Customer Service Team on +1-800-982-9337 or customerservice@us.adidas.com.

The adidas team
————
И ссылка по теме https://cnet.com/news/adidas-says-certain-customers-may-have-been-impacted-by-data-breach/

Я тут как-то писал про эпидемию скрытых камер в Южной Корее (https://t.me/alexmakus/2135). А вот тут интересная новость из штата Висконсин, о том, что у мужчины, у которого была встроена камера в туфлю для подглядывания за подюбочным пространством женщин, взорвалась батарейка, и он попал в больницу с мелкими травмами. Не знаю, насколько этому можно верить, как и тому, что он добровольно признался в этом (учитывая, что в штате такое подглядывание запрещено, с наказанием до 3,5 лет заключения), но новость вот есть, да
https://host.madison.com/wsj/news/local/crime/shoe-camera-explodes-foiling-man-s-plans-to-take-videos/article_8c5f90f5-ef35-5baf-9f83-92ab70317cfd.html

Вот еще тоже ссылка от читателя, полезно будет всем, кто из России:

https://www.vedomosti.ru/technology/articles/2018/06/28/774110-pravitelstvo-yarovoi

записи переговоров в интернете, текстовые сообщения, видео- и иной контент, пересылаемый их клиентами, должен храниться полгода. Это касается данных пользователей, зарегистрировавшихся и авторизующихся с российских IP-адресов, указавших при регистрации российский номер телефона, паспорт или иной документ государственного образца. Также предписано записывать и хранить электронную переписку пользователей, о нахождении которых в России онлайн-сервисам сообщат правоохранительные органы.

Туда же - статья о том, как это все будет работать
https://www.kommersant.ru/doc/3670738

Лол

Несколько ссылок на почитать на выходных, которые прислали читатели канала (за что им спасибо):

- https://xakep.ru/2018/06/29/rampage/

Специалисты Амстердамского свободного университета, индийского Университета «Амрита», Калифорнийского университета в Санта-Барбаре, а также эксперты EURECOM опубликовали доклад (PDF) об уязвимости RAMpage, получившей идентификатор CVE-2018-9442. Баг является новейшей вариацией атаки Rowhammer и угрожает всем устройствам на Android, произведенным после 2012 года. новая техника атак концентрируется на подсистеме памяти Android, ION, появившейся в составе ОС в 2011 году, после релиза Android 4.0 (Ice Cream Sandwich). По сути, ION – это часть операционной системы, отвечающая за распределение ячеек памяти между приложениями и ОС. RAMpage помогает атакующему нарушить границы между приложениями и ОС, что в итоге позволяет установить абсолютный контроль над уязвимым устройством.


- https://www.wired.com/story/exactis-database-leak-340-million-records/

Очередная утечка данных на проживающих в америке, на 340 миллионов человек и десятки миллионов компаний: телефоны, адреса, имейлы, и тд. Файл маркетинговой компании лежал в открытом доступе


- https://habr.com/post/415251/

Хороший материал с кучей ссылок, как сотрудники крупнейших компаний протестуют против контрактов с правительством и отказываются разрабатывать проекты, которые помогли бы властям следить за людьми

Привет! Сегодня в связи с большой загрузкой тоже сразу несколько ссылок с комментариями, часть ссылок прислали читатели канала, и я нашел их интересными:

Тему про Spectre все помнят? Там еще разработчики операционных систем выпускали всякие апдейты, чтобы минимизировать последствия атак с использованием этой уязвимости. Так вот, есть предположение, что эту защиту удалось обойти:

https://alephsecurity.com/2018/06/26/spectre-browser-query-cache/

вот ссылка на русском
https://xakep.ru/2018/07/02/browsers-spectre/

Proof-of-concept эксплоиты специалистов сумели обмануть защиту Edge, Chrome и Safari, а затем, эксплуатируя оригинальную уязвимость Spectre (CVE-2017-5753, она же вариант 1), извлечь через браузеры пользовательские данные. Так как инженеры Mozilla реализовали свою версию защиты иначе, тот же трюк не удалось повторить с браузером Firefox.

А вот в России собираются принять закон по борьбе с кражами смартфонов и серым ввозом устройств, пишут Ведомости (за paywall). Тема-то такая давно фигурирует, но она опять получила новое дыхание. Формально повод хороший, но я так понимаю, что уже имеюущиеся на рынке телефоны нужно будет тоже зарегистрировать. А когда будет существовать некая единая база телефонов и привязанных к ним владельцам, то это может быть очень удобно одним и очень неудобно другим

https://www.vedomosti.ru/technology/articles/2018/07/02/774308-blokirovat-kradenie-telefoni

Объединенная группа исследователей из Рурского и Нью-Йоркского университетов опубликовала доклад , в котором описала три типа атак, эксплуатирующих уязвимости в стандарте 4G LTE. Две из них являются пассивными и позволяют отследить LTE трафик и узнать различные подробности о целевом объекте. С помощью третьей, получившей название aLTEr, атакующие могут подменять отправляемые на устройство данные и определить, какие сайты посещает жертва с гаджета.

https://www.securitylab.ru/news/494194.php

Хорошие новости для пользователей Tinder. Похоже, что Tinder наконец-то начал шифровать изображения пользователей
https://twitter.com/matthew_d_green/status/1012717738236743680

машинное обучение распознает лица даже под гримом. Никуда не скрыться от этого всего вообще
https://twitter.com/tahkion/status/1013547463758643200

тот неловкий момент, когда хранишь в базе пароли в hash и в plain text (via troyhunt)

Тут пишут, что смартфоны Самсунг внезапно начали случайным образом отправлять на случайные контакты случайно выбранные фотографии

https://gizmodo.com/a-bug-in-samsungs-default-texting-app-is-sending-random-1827291759

https://www.reddit.com/r/GalaxyS9/comments/8u36jz/my_s9_sent_my_entire_photo_gallery_to_my/

https://us.community.samsung.com/t5/Galaxy-S9-Questions-and-Answers/Samsung-Messages-Bugs-With-the-RCS-Advanced-Messg-Update-on-T-Mo/td-p/350134

В некоторых случаях отправлялись все фотографии, через приложение Сообщения от Samsung. Возможно, это как-то связано с обновлениями инфраструктуры операторов для системы передачи сообщений

Привет. Тут какая-то история разворачивается про то, как различные сторонние сервисы (не говоря уже о разработчиках самой Google) могут читать почту пользователей Gmail. Открыла эту тему WSJ (статья за пейволлом)
https://www.wsj.com/articles/techs-dirty-secret-the-app-developers-sifting-through-your-gmail-1530544442?mod=hp_lead_pos4

А вот версия на русском:
https://thebell.io/gryaznyj-sekret-gmail-pisma-polzovatelej-chitayut-ne-tolko-sotrudniki-google/


В принципе, история примерно та же, что и у ФБ: пользователь входит в какой-то сервис или приложение через аккаунт Google, потом оказывается, что этот сервис или приложение запрашивало какие-то права доступа к почте, на которые пользователь не обратил внимание и дал разрешение на доступ, а после этого этот сервис стал анализировать эти данные для какой-то там своей (чаще рекламной) деятельности. А Гугл, как и ФБ, особо за этим всем не следила, хотя и правилами прописано, что могут или не могут делать разработчики

Вот по этой ссылке можно посмотреть, какие приложения и сервисы имеют доступ к вашей учётке Google (и удалить, если что)
https://myaccount.google.com/permissions

620 миллионов закачек у 2,7 млн приложений для Android и iOS, которые благодаря неправильно настроенным базам Firebase сливали все - от паролей в plain text до финансовых и медицинских данных пользователей. 113ГБ данных с кучей информации

https://www.androidauthority.com/firebase-apps-user-details-leaks-882316/
в статье есть ссылка на отчёт, который требует регистрации для скачивания.

Ну и история дня - о том, как польские исследователи птиц прикрепили к аисту трекер, чтобы отследить его миграцию в Африку. В трекере была вставлена СИМ-карта для передачи данных. В Африке c птицы сняли трекер, вынули СИМ-карту, и наговорили 20 часов разговоров на 2700 долларов. Счета придётся оплатить
http://www.thenews.pl/1/11/Artykul/370157,Stork-incurs-hefty-phone-bill

Ещё ссылка от читателя - Плагин stylish с января помимо своих основных функций ещё и передаёт историю браузера в SimilarWeb, вот тут подробности:

https://robertheaton.com/2018/07/02/stylish-browser-extension-steals-your-internet-history/

Это я тут посмотрел на Нетфликсе фильм Anon про общество, в котором приватности не существует (фильм художественный), и чето накатило

кому-то понадобился мой вордпресс-аккаунт