Странно как-то это все

Кто подавал данные на заведение CVE через https://iwantacve.org могут с удивлением обнаружить, что заявки помещаются в открытый Google Docs (несмотря на то, что там об этом написано). Причем можно посмотреть как на утвержденные уязвимости (прошедшие модерацию, им присвоили номер), так и на новые заявки.
Забавно получается, CVE еще нет (может и патча), а информация об уязвимости уже доступна ¯\_(ツ)_/¯

Сегодня новость дня - это изменение политики конфиденциальности Телеграма
https://telegram.org/privacy#8-3-law-enforcement-authorities

8.3. Law Enforcement Authorities
If Telegram receives a court order that confirms you're a terror suspect, we may disclose your IP address and phone number to the relevant authorities. So far, this has never happened. When it does, we will include it in a semiannual transparency report published at: https://t.me/transparency.

Об этом изменении мне написали, кажется, все пользователи Телеграма. При этом представители компании говорят, что мессенджер не станет предоставлять переписку и ключи для дешифровки сообщений (как того хотела ФСБ в России). Я пока что подожду с выводами, чтобы посмотреть, как Телеграм будет в реальности оперировать с этими условиями, но хочу отметить, что передача информации о пользователях по решению суда - это нормальная практика у тех же Google, Apple или Amazon. Другое дело, что они никогда и не обещали не выдавать информацию о пользователях. Ну и в некоторых странах решение суда можно получить легче, чем в других, если вы понимаете, о чем я. Короче, если у вас паранойя и вам кажется, что ваше государство готово назвать вас террористом, то Телеграмом, конечно, вам лучше не пользоваться.

Комментарии из первоисточника, так сказать

Этим летом мы создали полноценную политику конфиденциальности Telegram, чтобы соответствовать новым европейским законам об охране личных данных.

В политике конфиденциальности мы оставили за собой право передавать IP-адрес и номер телефона террористов соответствующим службам по решению суда. Независимо от того, будем ли мы когда-либо пользоваться этим правом, такая мера должна сделать Telegram менее притягательной площадкой для тех, кто занимается здесь рассылкой террористической пропаганды.

Может ли это изменение привести к прекращению попыток блокировки Telegram в России? Думаю, что нет - по двум причинам:

1. В России от Telegram требуют не номер и IP адрес террористов по решению суда, а нечто принципиально иное - доступ к сообщениям, причем всех пользователей.

2. Telegram в России находится вне закона; ежедневно блокируются сотни IP-адресов в попытках пресечь доступ к сервису. В этой связи какие-либо обращения от российских служб мы не рассматриваем, и наша политика конфиденциальности не касается ситуации в России.

Поэтому продолжаем сопротивление.

Привет,

Вечерний выпуск не получился, поэтому будет большой утренний выпуск с кучей интересных ссылок:
1.
Уязвимость нулевого дня в Windows, о которой сообщила обнаружившая её эксперт в Твиттере.
https://twitter.com/SandboxEscaper/status/1034125195148255235

Судя по тексту твита, что-то пошло не так с подачей информации в Microsoft, поэтому уязвимость выложена публично в GitHub
https://github.com/SandboxEscaper/randomrepo/blob/master/PoC-LPE.rar

Проблема — в планировщике задач Windows. При обработке средства ALPC для межпроцессного взаимодействия возникает возможность получить привилегии на уровне SYSTEM. Она может быть использована злоумышленниками для расширения возможностей вредоносных программ. Уязвимость, скорей всего, будет скоро исправлена, но вообще интересно.

2.
Телефон принесли в сервис, уже наверное, третий за неделю с вирусом, который рассылается через смс с другого заражённого устройства, при этом также списываются деньги с карт. Удалив вредоносное приложение через безопасный режим, решил повторить те действия которые необходимо выполнить, чтобы «заразить» устройство. У меня просто нет слов…

https://it.d3.ru/privet-ia-lenivyi-khaker-skachai-moi-virus-i-zapusti-ego-1648880/?sorting=rating

3.
Yahoo продолжает читать вашу почту для показа рекламы
https://www.wsj.com/articles/yahoo-bucking-industry-scans-emails-for-data-to-sell-advertisers-1535466959

И целая коллекция ссылок c новостями об авторизации

- Instagram открывает возможность двухфакторной авторизации в аккаунтах с помощью сторонних приложений
To use a third-party app to log into your Instagram account, go to your profile, tap the menu icon, select “Settings” at the bottom and then choose “Two-Factor Authentication.” Select “Authentication App” as your preferred form of authentication. If you already have an authentication app installed, we will automatically find the app and send a login code to it. Go to the app, retrieve the code and enter it on Instagram, and two-factor authentication will turn on automatically.

https://instagram-press.com/blog/2018/08/28/new-tools-to-help-keep-instagram-safe/

- Microsoft выпускает поддержку безпарольного подтверждения авторизации с помощью Apple Watch — на часы просто приходит пуш-уведомление о попытке входа, и пользователю остается только подтвердить логин
https://cloudblogs.microsoft.com/enterprisemobility/2018/08/27/microsoft-authenticator-companion-app-for-apple-watch-now-in-public-preview/


- Поддержка защиты учетной записи 1Password с помощью аппаратных ключей Yubikey
https://www.reddit.com/r/1Password/comments/9au31j/official_yubikey_support_is_here/

Я смотрю, вчерашний анонс Телеграма про изменение политики конфиденциальности таки повлиял на количество пользователей - от канала отвалилось почти 20 человек, которые, видимо, решили, что государство может посчитать их террористами, а телеграм их выдаст.

Небольшой апдейт вдогонку ко вчерашней новости про Инстаграм. Я так увлёкся тем фактом, что Инстаграм теперь позволяет использовать для 2ФА сторонние приложения, что совершенно пропустил тот факт, что социальная сеть теперь еще и позволяет проходить верификацию пользователей (чтобы получить, так сказать, голубую галочку для профиля). Но важный момент, на который стоит обратить внимание, заключается в том, что для верификации физическим лицам надо залить в Инстаграм для проверки фотографию документа, удостоверяющего личность:

Enter your full name and provide the required form of identification (example: government issued photo ID).

https://help.instagram.com/854227311295302

Ну не знаю, не знаю, я бы лично воздержался от заливания своего паспорта или водительского удостоверения в Фейсбук, паранойи много не бывает. Тем более, что Инстаграм ничего не говорит о том, что произойдёт с документами после верификации. Подозреваю, что они будут постоянно храниться в базе Фейсбука, привязанные к вашему аккаунту.

на прошлой неделе я писал о том, что мобильный оператор T-Mobile сообщил о взломе их системы, что привело к утечке пользовательских данных 2 миллионов человек. В первоначальном сообщении говорилось, что злоумышленники не получили доступа к паролям пользователей, но оказалось, что «encrypted passwords were included in the compromised data». Есть подозрение, что пароли были зашифрованы с помощью алгоритма MD5, что делает их уязвимыми для расшифровки. Так что пойду-ка я поменяю свой пароль у T-mobile
https://motherboard.vice.com/en_us/article/a3qpk5/t-mobile-hack-data-breach-api-customer-data

К предыдущим картинкам - целый тред на Реддит про всякие ужасы информационной опасносте в Тесле (насколько это правда, конечно, неизвестно, но читается увлекательно)
https://www.reddit.com/r/EnoughMuskSpam/comments/99sbwa/former_tesla_programmers_anecdotes_about_problems/

А вот еще ссылка от читателя о базе данных на 130 миллионов гостей китайских отелей, которая доступна в интернете за относительно недорого. Тоже очень хорошо
https://xakep.ru/2018/08/29/huazhu-leak/

Саша Плющев написал хороший и взвешенный текст о последних изменениях в политике конфиденциальности Телеграм, рекомендую почитать
https://t.me/F_S_C_P/25211

“зеркало” с 3Д камерами, которые сканируют тело. затем собираются все замеры, включая различные объемы и вес, а потом загружают данные в облако. Что может пойти не так?
https://nakedlabs.com

В это время в Канаде... Авиакомпания Air Canada сообщает о том, что произошёл взлом входа в систему со стороны мобильного приложения, и примерно 20 тысяч пользовательских записей, включая имена, адреса электронной почты и номера телефонов могли попасть к злоумышленникам. А если вдруг кто-то из пострадавших себе в профиль добавил паспортные данные и прочую личную информацию, то им тоже не повезло. Но данные кредитных карточек не затронуты, пишет компания
https://www.aircanada.com/ca/en/aco/home/book/travel-news-and-updates/2018/notice-air-canada-mobile-app-users.html

Вчера я писал про базу на 130млн пользователей - посетителей китайских отелей одной компании (https://t.me/alexmakus/2362). В статье в BBC говорится, что «базу случайно залили в интернет», в других источниках я видел, что базу залили на Гитхаб. Кто заливает случайно базу на 140ГБ на Гитхаб - я не очень понимаю.

https://www.bbc.com/news/technology-45349036

(Бонус - оцените иллюстрацию у ББС)

Опять же, еще похожая тема. На прошлой неделе я писал про сервер «мониторинга/слежки» за детьми и супругами, и как их информация стала публично доступной (https://t.me/alexmakus/2346). Точно так же отличился еще один похожий сервис Family Orbit. 281 гигабайт фотографий и видео пользователей оказались доступными хакеру, получившему доступ к системе.

https://motherboard.vice.com/en_us/article/ywk8gy/spyware-family-orbit-children-photos-data-breach

Так что если решите подписываться на подобный сервис, помните, что документы, фотографии и прочая информация, которую вы доверите подобному сервису, могут оказаться доступны не только вам (говорят, что некоторые хакеры устроили персональную вендетту против таких сервисов, считая их неэтичными)

Межведомственная комиссия, в состав которой вошли представители ФСБ, Роскомнадзора, Министерства цифрового развития, связи и массовых коммуникаций, с 6 августа проводит лабораторные испытания российских систем анализа и фильтрации трафика на сети Ростелекома в городе Реутов, говорится в протоколе заседания комиссии.

https://ru.reuters.com/article/topNews/idRUKCN1LF201-ORUTP

Я бы спросил читателей из Реутова, как там у них с Телеграмом, но они, наверно, как раз и не смогут прочитать :)

АПД пока что из Реутова пишут, что через прокси все работает

(PS кстати, добавлю отсебятины. Я приезжал на прошлой неделе в Москву и поразился тому, насколько часто был необходим VPN для нормального доступа к многим ресурсам. VPN - это не роскошь, а необходимость)