Привет! У меня тут накопилось много интересных ссылок за период затишья с пятницы, так что начнём!

Помните, я бросал ссылку на Инстаграм с заброшенным отделением полиции и документами в нем? https://t.me/alexmakus/2322

Так вот, возмездие не заставило себя ждать
https://telegra.ph/Bolshe-10-policejskih-strogo-nakazany-za-zabroshennyj-otdel-v-Moskve-Sredi-nih--bolshie-nachalniki-CHto-im-budet-08-24

А вот веселая история о том, как команда российских и украинских хакеров взламывала информационные агентства и получала заранее доступ к пресс-релизам, запланированным к публикации. Потом они брали эти пресс-релизы и отдавали трейдерам на рынке ценных бумаг (за 40%), которые использовали инсайдерскую информацию для торгов акциями. Наторговали на 100 млн долларов. По ссылке - очень большой лонгрид на английском, с кучей интересных деталей, так что начинайте, если у вас много времени

https://www.theverge.com/2018/8/22/17716622/sec-business-wire-hack-stolen-press-release-fraud-ukraine

Кстати, о лонгридах. Тоже очень интересная статья в Wired о нашумевшем в прошлом году вирусе NotPetya, которую в издании назвали самой разрушительной кибератакой в истории, с потерями, превышающими 10 млрд долл

https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/

Компания Spyfone, которая разрабатывает приложение и сервис для мониторинга детей родителями, или сотрудников работодателями (обе темы, конечно, весьма спорные изначально), отличилась. В незащищенном бакете Amazon S3 обнаружились публично доступные терабайты данных пользователей тысяч пользователей сервиса: текстовые сообщения, фотографии, аудиозаписи, сообщения в Facebook, история просмотров страниц в браузере и многое-многое другое. Там еще и бекэнд оказался незащищенным, и позволял создавать админские аккаунты и просматривать пользовательскую информацию. В качестве бонуса оказалось возможным получить список всех пользователей компании (11 тысяч уникальных адресов электронной почты). Вот такой сервис, который мало того, что оперирует в том, что можно назвать достаточно неоднозначной сфере), так еще и бестолочи, неспособные обеспечить сколько-нибудь нормальную защиту для данных пользователей.

https://motherboard.vice.com/en_us/article/9kmj4v/spyware-company-spyfone-terabytes-data-exposed-online-leak

Кстати, об утечках клиентских данных. Также отличилась известная, наверно, всем компания Abbyy. Публичная MongoDB (конечно же!) с более чем 200 тысяч конфиденциальных документов - контрактов, NDA, замёток и прочего, уходящего историей в 2012 год - все это принадлежит одному неназванному клиенту компании. После уведомления исследователем, который обнаружил эту дыру, компания прикрыла доступ к этой базе данных. Успел ли кто-то из злоумышленников получить доступ к этой информации - неизвестно.


https://www.linkedin.com/pulse/abbyy-exposed-its-document-storage-database-more-than-bob-diachenko

И еще один follow-up к ранее фигурировавшей тут теме. Помните, я писал про Fortnite на Android и как EA решила сэкономить на комиссии Google, и вместо распространения через Google Play, решила распространять приложение самостоятельно?

Я писал об этом тут https://t.me/alexmakus/2295 и тут https://t.me/alexmakus/2296

Все оказалось даже хуже :) Практически сразу представители Google обнаружили Man-in-the-Disk вектор атаки для этого приложения, что позволяло вредоносным приложениям перехватить процесс установки игры и установить другие вредоносные приложения. Версия 2.1.0 исправляет эту уязвимость. Детали атаки по ссылке
https://www.bleepingcomputer.com/news/security/fortnite-android-app-vulnerable-to-man-in-the-disk-attacks/

(Там, кстати, еще интересное про срачик между Epic и Google, так как последние раскрыли детали уязвимости раньше, чем Epic выпустила патч. Наверняка это была расплата за то, что Эпик решили не делиться с Гугл комиссией за внутриигровые покупки).

Читатель канала просил обратить ваше внимание на то, что ФСБ в своих обращениях принимает данные паспорта по HTTP, так что будьте осторожны, если вдруг для вас это актуально :)
http://www.fsb.ru/fsb/webreception.htm

Странно как-то это все

Кто подавал данные на заведение CVE через https://iwantacve.org могут с удивлением обнаружить, что заявки помещаются в открытый Google Docs (несмотря на то, что там об этом написано). Причем можно посмотреть как на утвержденные уязвимости (прошедшие модерацию, им присвоили номер), так и на новые заявки.
Забавно получается, CVE еще нет (может и патча), а информация об уязвимости уже доступна ¯\_(ツ)_/¯

Сегодня новость дня - это изменение политики конфиденциальности Телеграма
https://telegram.org/privacy#8-3-law-enforcement-authorities

8.3. Law Enforcement Authorities
If Telegram receives a court order that confirms you're a terror suspect, we may disclose your IP address and phone number to the relevant authorities. So far, this has never happened. When it does, we will include it in a semiannual transparency report published at: https://t.me/transparency.

Об этом изменении мне написали, кажется, все пользователи Телеграма. При этом представители компании говорят, что мессенджер не станет предоставлять переписку и ключи для дешифровки сообщений (как того хотела ФСБ в России). Я пока что подожду с выводами, чтобы посмотреть, как Телеграм будет в реальности оперировать с этими условиями, но хочу отметить, что передача информации о пользователях по решению суда - это нормальная практика у тех же Google, Apple или Amazon. Другое дело, что они никогда и не обещали не выдавать информацию о пользователях. Ну и в некоторых странах решение суда можно получить легче, чем в других, если вы понимаете, о чем я. Короче, если у вас паранойя и вам кажется, что ваше государство готово назвать вас террористом, то Телеграмом, конечно, вам лучше не пользоваться.

Комментарии из первоисточника, так сказать

Этим летом мы создали полноценную политику конфиденциальности Telegram, чтобы соответствовать новым европейским законам об охране личных данных.

В политике конфиденциальности мы оставили за собой право передавать IP-адрес и номер телефона террористов соответствующим службам по решению суда. Независимо от того, будем ли мы когда-либо пользоваться этим правом, такая мера должна сделать Telegram менее притягательной площадкой для тех, кто занимается здесь рассылкой террористической пропаганды.

Может ли это изменение привести к прекращению попыток блокировки Telegram в России? Думаю, что нет - по двум причинам:

1. В России от Telegram требуют не номер и IP адрес террористов по решению суда, а нечто принципиально иное - доступ к сообщениям, причем всех пользователей.

2. Telegram в России находится вне закона; ежедневно блокируются сотни IP-адресов в попытках пресечь доступ к сервису. В этой связи какие-либо обращения от российских служб мы не рассматриваем, и наша политика конфиденциальности не касается ситуации в России.

Поэтому продолжаем сопротивление.

Привет,

Вечерний выпуск не получился, поэтому будет большой утренний выпуск с кучей интересных ссылок:
1.
Уязвимость нулевого дня в Windows, о которой сообщила обнаружившая её эксперт в Твиттере.
https://twitter.com/SandboxEscaper/status/1034125195148255235

Судя по тексту твита, что-то пошло не так с подачей информации в Microsoft, поэтому уязвимость выложена публично в GitHub
https://github.com/SandboxEscaper/randomrepo/blob/master/PoC-LPE.rar

Проблема — в планировщике задач Windows. При обработке средства ALPC для межпроцессного взаимодействия возникает возможность получить привилегии на уровне SYSTEM. Она может быть использована злоумышленниками для расширения возможностей вредоносных программ. Уязвимость, скорей всего, будет скоро исправлена, но вообще интересно.

2.
Телефон принесли в сервис, уже наверное, третий за неделю с вирусом, который рассылается через смс с другого заражённого устройства, при этом также списываются деньги с карт. Удалив вредоносное приложение через безопасный режим, решил повторить те действия которые необходимо выполнить, чтобы «заразить» устройство. У меня просто нет слов…

https://it.d3.ru/privet-ia-lenivyi-khaker-skachai-moi-virus-i-zapusti-ego-1648880/?sorting=rating

3.
Yahoo продолжает читать вашу почту для показа рекламы
https://www.wsj.com/articles/yahoo-bucking-industry-scans-emails-for-data-to-sell-advertisers-1535466959

И целая коллекция ссылок c новостями об авторизации

- Instagram открывает возможность двухфакторной авторизации в аккаунтах с помощью сторонних приложений
To use a third-party app to log into your Instagram account, go to your profile, tap the menu icon, select “Settings” at the bottom and then choose “Two-Factor Authentication.” Select “Authentication App” as your preferred form of authentication. If you already have an authentication app installed, we will automatically find the app and send a login code to it. Go to the app, retrieve the code and enter it on Instagram, and two-factor authentication will turn on automatically.

https://instagram-press.com/blog/2018/08/28/new-tools-to-help-keep-instagram-safe/

- Microsoft выпускает поддержку безпарольного подтверждения авторизации с помощью Apple Watch — на часы просто приходит пуш-уведомление о попытке входа, и пользователю остается только подтвердить логин
https://cloudblogs.microsoft.com/enterprisemobility/2018/08/27/microsoft-authenticator-companion-app-for-apple-watch-now-in-public-preview/


- Поддержка защиты учетной записи 1Password с помощью аппаратных ключей Yubikey
https://www.reddit.com/r/1Password/comments/9au31j/official_yubikey_support_is_here/

Я смотрю, вчерашний анонс Телеграма про изменение политики конфиденциальности таки повлиял на количество пользователей - от канала отвалилось почти 20 человек, которые, видимо, решили, что государство может посчитать их террористами, а телеграм их выдаст.

Небольшой апдейт вдогонку ко вчерашней новости про Инстаграм. Я так увлёкся тем фактом, что Инстаграм теперь позволяет использовать для 2ФА сторонние приложения, что совершенно пропустил тот факт, что социальная сеть теперь еще и позволяет проходить верификацию пользователей (чтобы получить, так сказать, голубую галочку для профиля). Но важный момент, на который стоит обратить внимание, заключается в том, что для верификации физическим лицам надо залить в Инстаграм для проверки фотографию документа, удостоверяющего личность:

Enter your full name and provide the required form of identification (example: government issued photo ID).

https://help.instagram.com/854227311295302

Ну не знаю, не знаю, я бы лично воздержался от заливания своего паспорта или водительского удостоверения в Фейсбук, паранойи много не бывает. Тем более, что Инстаграм ничего не говорит о том, что произойдёт с документами после верификации. Подозреваю, что они будут постоянно храниться в базе Фейсбука, привязанные к вашему аккаунту.

на прошлой неделе я писал о том, что мобильный оператор T-Mobile сообщил о взломе их системы, что привело к утечке пользовательских данных 2 миллионов человек. В первоначальном сообщении говорилось, что злоумышленники не получили доступа к паролям пользователей, но оказалось, что «encrypted passwords were included in the compromised data». Есть подозрение, что пароли были зашифрованы с помощью алгоритма MD5, что делает их уязвимыми для расшифровки. Так что пойду-ка я поменяю свой пароль у T-mobile
https://motherboard.vice.com/en_us/article/a3qpk5/t-mobile-hack-data-breach-api-customer-data

К предыдущим картинкам - целый тред на Реддит про всякие ужасы информационной опасносте в Тесле (насколько это правда, конечно, неизвестно, но читается увлекательно)
https://www.reddit.com/r/EnoughMuskSpam/comments/99sbwa/former_tesla_programmers_anecdotes_about_problems/

А вот еще ссылка от читателя о базе данных на 130 миллионов гостей китайских отелей, которая доступна в интернете за относительно недорого. Тоже очень хорошо
https://xakep.ru/2018/08/29/huazhu-leak/