Привет. Тут какая-то история разворачивается про то, как различные сторонние сервисы (не говоря уже о разработчиках самой Google) могут читать почту пользователей Gmail. Открыла эту тему WSJ (статья за пейволлом)
https://www.wsj.com/articles/techs-dirty-secret-the-app-developers-sifting-through-your-gmail-1530544442?mod=hp_lead_pos4

А вот версия на русском:
https://thebell.io/gryaznyj-sekret-gmail-pisma-polzovatelej-chitayut-ne-tolko-sotrudniki-google/


В принципе, история примерно та же, что и у ФБ: пользователь входит в какой-то сервис или приложение через аккаунт Google, потом оказывается, что этот сервис или приложение запрашивало какие-то права доступа к почте, на которые пользователь не обратил внимание и дал разрешение на доступ, а после этого этот сервис стал анализировать эти данные для какой-то там своей (чаще рекламной) деятельности. А Гугл, как и ФБ, особо за этим всем не следила, хотя и правилами прописано, что могут или не могут делать разработчики

Вот по этой ссылке можно посмотреть, какие приложения и сервисы имеют доступ к вашей учётке Google (и удалить, если что)
https://myaccount.google.com/permissions

620 миллионов закачек у 2,7 млн приложений для Android и iOS, которые благодаря неправильно настроенным базам Firebase сливали все - от паролей в plain text до финансовых и медицинских данных пользователей. 113ГБ данных с кучей информации

https://www.androidauthority.com/firebase-apps-user-details-leaks-882316/
в статье есть ссылка на отчёт, который требует регистрации для скачивания.

Ну и история дня - о том, как польские исследователи птиц прикрепили к аисту трекер, чтобы отследить его миграцию в Африку. В трекере была вставлена СИМ-карта для передачи данных. В Африке c птицы сняли трекер, вынули СИМ-карту, и наговорили 20 часов разговоров на 2700 долларов. Счета придётся оплатить
http://www.thenews.pl/1/11/Artykul/370157,Stork-incurs-hefty-phone-bill

Ещё ссылка от читателя - Плагин stylish с января помимо своих основных функций ещё и передаёт историю браузера в SimilarWeb, вот тут подробности:

https://robertheaton.com/2018/07/02/stylish-browser-extension-steals-your-internet-history/

Это я тут посмотрел на Нетфликсе фильм Anon про общество, в котором приватности не существует (фильм художественный), и чето накатило

кому-то понадобился мой вордпресс-аккаунт

Ой какая прекрасная штука. Яндекс начал индексировать документы Google, а там такооооое... жми, чтобы узнать больше (via мдк)

https://yandex.ru/search/pad/?text=%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D0%B8&lr=213&site=docs.google.com&redircnt=1530734243.1

С публичными досками Трелло была та же история, я тут об этом писал неоднократно. Так что настройки приватности для документов лучше пересмотреть

АПД. Яндекс что-то там подкрутил и документы в результатах поиска больше не показываются
зато по-прежнему можно искать в Google
https://www.google.com/search?q=%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D0%B8+site%3Adocs.google.com&oq=%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D0%B8+site%3Adocs.google.com

АПД. Ну и чтобы два раза не вставать. это не уязвимость Google Docs, это их фича с 2009 года https://www.cnet.com/news/your-google-docs-soon-in-search-results/ 

а ведь яндекс говорил, что “найдется все”

Вы думали, что Гуглдокс в поиске яндекса - это круто? (Там, кстати, какая-то мутная история с происхождением этих данных у Яндекса, о котором мы, скорей всего, никогда не узнаем. Ну да ладно). Вот читатель прислал очень полезную ссылку с базой данных всяких полезных запросов в Google, которые позволяют найти различную открытую информацию в интернете, которая, возможно, и не должна быть открытой (и если это только были пароли)

https://www.exploit-db.com/google-hacking-database/

Заметка, которая будет интересна читателям канала из Украины. Сергей Петренко кратко и по сути изложил что не так с идеей народных избранников навести порядок в Украине (пользовательский сертификат для DPI, ммммм, вкусненько)
https://blognot.co/56730

Полезно в свете того, что многие открывают для себя интернет и индексирование контента в нем

​​Вчера появилась новость о том, что Яндекс стал индексировать файлы с доступом по ссылке. Это значит, что все ваши документы с таким доступом могут быть найдены кем-угодно в поиске Яндекса. Вот примеры того, что еще вчера можно было там найти.

Я задался вопросом «Как найти только те документы, у которых включен доступ по ссылке?» и увидел, что Netpeak уже подготовил статью о том, как закрыть такой доступ к своим файлам в Google Docs.

Я протестировал первый вараинт (код на R) — все работает. Единственное, советую 5 строку в коде:

all_files <- drive_find()

заменить на:

all_files <- drive_find(q = c("visibility = 'anyoneWithLink'"))

,чтобы автоматически менять права только тем документам, которые расшарены по ссылке и в которых email из поля «emailAddress» указан владельцем.

Не забудьте проверить и свои отчеты в Data Studio и Power BI — их тоже могут индексировать поисковые системы, если там указан доступ всем по ссылке.

via @webanalyst

Тему файлов в интернете можно, конечно, продолжать бесконечно. Вот, например, файлообменник со всякими интересными файлами, прям открыто без всяких яндексов и гуглов
http://fayloobmennik.cloud/files/list.html

Пишут ещё, что Яндекс вчера убрал из выдачи файлы Google Docs, а домен Google drive оставил, что позволило ещё накопать интересных файлов

Вот еще Гугл Россия ответили, примерно «пользователи сами виноваты»
https://russia.googleblog.com/2018/07/google_5.html

Привет. К счастью, можно сделать перерыв с темой поисковых движков и файлов с паролями в открытом доступе, и поговорить о чем-то более интересном. Например, вот отличная концепция малвари для Windows, которая мониторит буфер обмена на предмет наличия в нем адреса кошелька с криптовалютой (потому что помнить их не так просто, и многие юзеры просто делают copy-paste при каких-то транзакциях оплаты). Так вот, малварь просто подменяет адрес на “нужный”, чтобы деньги ушли на нужный адрес. Сама идея не нова, но тут обнаружили семпл с 2,3 млн адресов

https://www.bleepingcomputer.com/news/security/clipboard-hijacker-malware-monitors-23-million-bitcoin-addresses/

(вторая попытка - в первый раз запостил слишком рано. Товарищ майор все проверил и разрешил!)

но гораздо интересней исследование университета Northeastern, в котором они попытались подтвердить или опровергнуть популярный миф о том, что ваш телефон слушает ваши разговоры. Они проанализировали трафик более 17 тыс приложений, включая приложения Facebook, и (spoiler alert!) не нашли подтверждений этой теории.

однако, они обнаружили другую проблему с некоторыми приложениями — они записывали содержимое экрана пользователя (скриншоты, видео) и отправляли в какие-то аналитическое компании (Appsee).

вот подробный отчет об исследовании, чтобы можно было сложить представление об основательности подхода к исследованию. Правда, вряд ли это убедит тех, кто считает, что Фейсбук все равно все пишет. Только шапочки из фольги, только хардкор!
https://recon.meddle.mobi/papers/panoptispy18pets.pdf

кибератаки они такие, всегда внезапно. Хотя известно, что медицинское оборудование работает зачастую под управлением старых операционных систем, и не все разработчики делают апдейты для этого оборудования. А администраторы часто тоже не спешат устанавливать даже доступные обновления. Короче, все плохо, как обычно. Но хорошо, что в случае с этой конкретной операцией все хорошо.
https://snob.ru/news/162977

по своему веселая история о том, как сотрудник компании NSO, известной своими вредоносными приложениями для смартфонов (которые она продает правительственным организациям), решил предложить эти инструменты кому-то на сторону за 50 млн долларов. (бэкдоры - это безопасно, говорили они… они не утекут, говорили они…)
https://motherboard.vice.com/en_us/article/9km99z/nso-group-employee-stole-code-sell-dark-web-50-million