тут такое дело… если вам слова eslint-scope что-то говорят, то эта ссылка для вас. там в версию 3.7.2 кто-то подложил что-то нехорошее, что пытается загрузить ваши данные вовне, поэтому будьте осторожны
https://github.com/eslint/eslint-scope/issues/39

Сразу две новости похожего плана

1. кто-то продавал данные по доступу к системам безопасности крупного международного аэропорта всего за 10 долларов (потому что доступ к RDP — кто там на него особо заморачивается)
https://securingtomorrow.mcafee.com/mcafee-labs/organizations-leave-backdoors-open-to-cheap-remote-desktop-protocol-attacks/

2. Кто-то продавал секретные военные документы о военных дронах всего за 150-200 долларов (потому что кто-то не сменил пароль на FTP-доступа на роутере)
https://www.bleepingcomputer.com/news/security/hacker-steals-military-docs-because-someone-didn-t-change-a-default-ftp-password/

еще очень полезная ссылка от читателя — браузер Chrome в борьбе за уменьшение рисков и последствий от проблемы Spectre (эксплуатация недостатков в спекулятивном исполнении команд в процессорах) включил изоляцию сайтов друг от друга. Таким образом, минимизируется риск, что вредоносный сайт сможет похитить информацию из памяти о другом сайте
https://security.googleblog.com/2018/07/mitigating-spectre-with-site-isolation.html

Еще раз сделаем попытку закрыть тему одной бургерной компании, их мобильного приложения и “слежки за пользователями”. Теперь — ответом разработчиков самого приложения

https://habr.com/company/e-Legion/blog/417043/

Тема с уязвимостями процессоров Intel и атаками Spectre тоже не отпускает. Еще два новых сценария уязвимости, приводящих к восстановлению данных в кэше процессора при спекулятивном исполнении инструкций

исследование на английском
https://people.csail.mit.edu/vlk/spectre11.pdf

статья об этом на русском
https://tproger.ru/news/new-spectre-vulnerabilities/

Кстати, новость про изоляцию сайтов в Chrome из вчера — как раз для защиты от подобных сценарией t.me/alexmakus/2234

и вдогонку про вчерашнее с eslint-scope — разработчики опубликовали post mortem о том, что произошло и как их заразили вирусом. Ключевое, что нужно знать всем: виной всему оказалось повторное использование паролей одним из администраторов на разных сайтах.

Package maintainers and users should avoid reusing the same password across multiple different sites. Ну и двухфакторную авторизацию никто не отменял

https://eslint.org/blog/2018/07/postmortem-for-malicious-package-publishes

Приложения со встроенным вредоносным кодом в Google Play, никогда такого не было, и вот опять! вирус Anubis под видом всяких полуполезных приложений попадал в Google Play, а после установки из магазина воровал пароли из банковских приложений, кошельков и проч.

https://securityintelligence.com/anubis-strikes-again-mobile-malware-continues-to-plague-users-in-official-app-stores/

Тут такое дело. Можно, конечно, верить или не верить во всемогущих российских хакеров, дело ваше. Но сегодня министерство юстиции США(ЭТО ВАЖНО) предъявило обвинение 12 хакерам, которые являлись сотрудниками ГРУ, и участвовали в незаконном взломе и доступе компьютерных систем во время президентских выборов 2016 года, в том числе к системам Демократического национального комитета, и к почте сотрудников некоторых избирательных кампаний. Полный текст обвинения, включая имена, адреса, номера военных частей, а также информация о методах взлома, доступна по ссылке в документе

https://www.justice.gov/file/1080281/download


Грубо говоря, обвинений 4

1: сговор для взлома DNC
2-9: identify theft (то, что использовалось для фишинга)
10: отмывание денег (потому что платежи через биткойны, и тд).
11: Сговор по взлому компьютеров избирательной системы в разных штатах

АААААААААА страницы 14 и 15 уапще... уровень детализации какой-то прям запредельный

Плюс: можно у ЦРУ запросить любую информацию и придёт ответ. Минус: ответ ничего не даст :)

Мне тут админы одной компании среднего размера (до 500 чел) рассказали о том, как они проводили фишинговое тестирование в компании. Около 20% пользователей кликнули по ссылке в письме и ввели пароль в поле на фейковой странице. Так что если вы ждали знака для того, чтобы ввести в компании двухфакторную авторизацию (или активировать её на своей учетке почты, ФБ или еще чего-то важного), то это — тот самый знак.

Кстати, о фишинге. Я на прошлой неделе писал о российских хакерах, против которых было выдвинуто обвинение в несанкционированном доступе к почте участников избирательной кампании президента США в 2016 году. Там шла речь как раз в том числе и о взломе почты руководителя штаба Хиллари Клинтон Джона Подесты. Вот так выглядели письмо со ссылкой и страница, которая открывалась по клику по ссылке в письме. Я не уверен, что я бы на такое не повелся. А вот двухфакторная авторизация помогла бы защитить от доступа к почтовому ящику, даже если гдето лоханулся и ввел пароль. (через фильтры Gmail письмо прорвалось, как я понимаю, путем использования нелатинских символов в нужных местах)

Сразу несколько человек прислали мне статью про китайские смартчасы для детей (кто бы мог подумать, что Пикабу станет таким источником контента для канала?). В статье маловато деталей, поэтому я не рвался её публиковать, но ладно уж. Собственно, автор статьи пишет о том, что обнаружил в китайских часах для детей (типа часы для того, чтобы следить за перемещением детей) уязвимость, позволяющую следить не только за своими детьми, но и за любыми. Производитель Wherecom (часы продаются под разными брендами, в том числе в России под брендом Elari) весьма неохотно и вяло реагирует на информацию об уязвимостях и чинит не спеша. Так что родители, вы там внимательно следите за тем, что покупаете своим детям (и критично относитесь к рекламе).

https://pikabu.ru/story/detskie_smartchasyi_i_illyuziya_bezopasnosti_6029400

Тут читатели сообщают, что у Яндекса опять найдётся все! Павел Медведев обнаружил новую утечку документов граждан РФ на множестве сайтов, в том числе в доменах Сбербанка и других, через поисковые запросы к Яндексу. Яндекс — найдётся всё (и ваши паспорта тоже)!
https://habr.com/post/417219/

С вот таким вот примером запроса в поисковик можно найти много всего интересного:
https://yandex.ru/search/touch/?text=inurl%3A0%20inurl%3Ab%20inurl%3A1%20inurl%3Ac%20%D1%81%D1%82%D0%B0%D1%82%D1%83%D1%81%20%D0%B7%D0%B0%D0%BA%D0%B0%D0%B7%D0%B0&lr=213&redircnt=1531472731.1

АПД все новое - это хорошо забытое старое. Ещё 2011 год
https://ezhoping.wordpress.com/2011/07/27/inurl-0-inurl-b-inurl-1-inurl-c/

========== РЕКЛАМА ==========

В продолжение темы фишинга. Разовые проверки — это хорошо, но для корпоративной безопасности важнее регулярно проверять и обучать всех сотрудников. Делать это можно с помощью системы Антифишинг: www.antiphish.ru. В лицензию входят курсы по безопасности: www.antiphish.ru/courses и поддержка с подпиской на шаблоны целевых атак для вашей компании. Ребята ведут собственные психологические исследования, а интересные примеры фишинга и других атак на людей каждую неделю собирают в открытом дайджесте: blog.antiphish.ru. Для подписчиков канала к лицензии Антифишинга на год добавится месяц в подарок, промо-код: «Информация опасносте».

==============================

Привет! Есть такой файл-шаринговый сервис Mega, который когда-то с большой помпой запускал известный интернет-предприниматель Kim Dotcom. В интернете нашли файлик, в котором содержится около 15,5 тысяч пользовательских логинов, паролей, и списки файлов, размещенных в этих аккаунтах (всего в сервисе зарегистрировано 115 млн пользователей). В одном из аккаунтов обнаружили имена файлов, которые позволяют предположить, что там хранятся видео, содержащие сцены насилия над детьми. Сервис утверждает, что весь контент шифруется, поэтому они знать не знают, что там хранится, но при этом не предлагают двухфакторной авторизации для защиты от несанкционированного доступа

https://www.zdnet.com/article/thousands-of-mega-logins-dumped-online-exposing-user-files/

10 базовых и полезных советов о том, как обезопасить себя и свои данные в интернете. Статья от ЛК, поэтому изобилует ссылками на продукты компании, но от этого суть советов не меняется:

- Проверяйте настройки приватности социальных сервисов
- Не пользуйтесь публичными сервисами для хранения файлов с личной информацией
- Избегайте трекинга (приватные режимы в браузере, блокировщики рекламы и трекеров, и тд)
- Не раздавайте свои имейлы и телефоны направо и налево
- Пользуйтесь мессенджерами с шифрованием end-to-end
- Гигиена паролей (сложные пароли, избегайте повторного использования паролей)
- Проверяйте, каким приложениям и с какими правами вы даете доступ к своим социальным сервисам
- Защищайте телефоны и компьютеры паролями и биометрией
- Отключайте уведомления, показывающиеся на экране блокировки
- Используйте VPN в публичных сетях (хотя, впрочем, и не только там)

https://me-en.kaspersky.com/blog/privacy-ten-tips-2018/11419/?es_p=7138309

говоря, кстати, о настройках приватности. В штатах есть такой популярный сервис для платежей с мобильного телефона, или же переводов денег между физлицами — Venmo (принадлежит PayPal). Так вот, у них по умолчанию данные о транзакциях пользователей — ПУБЛИЧНЫЕ. Реально, платежи и переводы видны кому угодно в интернете. (кстати, 7 миллионов активных пользователей в месяц). Кому пришла такая прекрасная идея в голову — не понимаю. Но вот тут опубликовали интересный проект об изучении поведения пользователей на базе 207 миллионов транзакций — имена, время транзакции (сумма транзакции недоступна), юзерпик, комментарии к транзакции.

https://22-8miles.com/public-by-default/

(все доступно по совершенно открытому и публичному API https://venmo.com/api/v5/public?limit=1)

И немножко юмора разбавить все это. Буквально «выдернуть шнур, выдавить стекло», только в немного другом порядке.