Комментарии из первоисточника, так сказать

Этим летом мы создали полноценную политику конфиденциальности Telegram, чтобы соответствовать новым европейским законам об охране личных данных.

В политике конфиденциальности мы оставили за собой право передавать IP-адрес и номер телефона террористов соответствующим службам по решению суда. Независимо от того, будем ли мы когда-либо пользоваться этим правом, такая мера должна сделать Telegram менее притягательной площадкой для тех, кто занимается здесь рассылкой террористической пропаганды.

Может ли это изменение привести к прекращению попыток блокировки Telegram в России? Думаю, что нет - по двум причинам:

1. В России от Telegram требуют не номер и IP адрес террористов по решению суда, а нечто принципиально иное - доступ к сообщениям, причем всех пользователей.

2. Telegram в России находится вне закона; ежедневно блокируются сотни IP-адресов в попытках пресечь доступ к сервису. В этой связи какие-либо обращения от российских служб мы не рассматриваем, и наша политика конфиденциальности не касается ситуации в России.

Поэтому продолжаем сопротивление.

Привет,

Вечерний выпуск не получился, поэтому будет большой утренний выпуск с кучей интересных ссылок:
1.
Уязвимость нулевого дня в Windows, о которой сообщила обнаружившая её эксперт в Твиттере.
https://twitter.com/SandboxEscaper/status/1034125195148255235

Судя по тексту твита, что-то пошло не так с подачей информации в Microsoft, поэтому уязвимость выложена публично в GitHub
https://github.com/SandboxEscaper/randomrepo/blob/master/PoC-LPE.rar

Проблема — в планировщике задач Windows. При обработке средства ALPC для межпроцессного взаимодействия возникает возможность получить привилегии на уровне SYSTEM. Она может быть использована злоумышленниками для расширения возможностей вредоносных программ. Уязвимость, скорей всего, будет скоро исправлена, но вообще интересно.

2.
Телефон принесли в сервис, уже наверное, третий за неделю с вирусом, который рассылается через смс с другого заражённого устройства, при этом также списываются деньги с карт. Удалив вредоносное приложение через безопасный режим, решил повторить те действия которые необходимо выполнить, чтобы «заразить» устройство. У меня просто нет слов…

https://it.d3.ru/privet-ia-lenivyi-khaker-skachai-moi-virus-i-zapusti-ego-1648880/?sorting=rating

3.
Yahoo продолжает читать вашу почту для показа рекламы
https://www.wsj.com/articles/yahoo-bucking-industry-scans-emails-for-data-to-sell-advertisers-1535466959

И целая коллекция ссылок c новостями об авторизации

- Instagram открывает возможность двухфакторной авторизации в аккаунтах с помощью сторонних приложений
To use a third-party app to log into your Instagram account, go to your profile, tap the menu icon, select “Settings” at the bottom and then choose “Two-Factor Authentication.” Select “Authentication App” as your preferred form of authentication. If you already have an authentication app installed, we will automatically find the app and send a login code to it. Go to the app, retrieve the code and enter it on Instagram, and two-factor authentication will turn on automatically.

https://instagram-press.com/blog/2018/08/28/new-tools-to-help-keep-instagram-safe/

- Microsoft выпускает поддержку безпарольного подтверждения авторизации с помощью Apple Watch — на часы просто приходит пуш-уведомление о попытке входа, и пользователю остается только подтвердить логин
https://cloudblogs.microsoft.com/enterprisemobility/2018/08/27/microsoft-authenticator-companion-app-for-apple-watch-now-in-public-preview/


- Поддержка защиты учетной записи 1Password с помощью аппаратных ключей Yubikey
https://www.reddit.com/r/1Password/comments/9au31j/official_yubikey_support_is_here/

Я смотрю, вчерашний анонс Телеграма про изменение политики конфиденциальности таки повлиял на количество пользователей - от канала отвалилось почти 20 человек, которые, видимо, решили, что государство может посчитать их террористами, а телеграм их выдаст.

Небольшой апдейт вдогонку ко вчерашней новости про Инстаграм. Я так увлёкся тем фактом, что Инстаграм теперь позволяет использовать для 2ФА сторонние приложения, что совершенно пропустил тот факт, что социальная сеть теперь еще и позволяет проходить верификацию пользователей (чтобы получить, так сказать, голубую галочку для профиля). Но важный момент, на который стоит обратить внимание, заключается в том, что для верификации физическим лицам надо залить в Инстаграм для проверки фотографию документа, удостоверяющего личность:

Enter your full name and provide the required form of identification (example: government issued photo ID).

https://help.instagram.com/854227311295302

Ну не знаю, не знаю, я бы лично воздержался от заливания своего паспорта или водительского удостоверения в Фейсбук, паранойи много не бывает. Тем более, что Инстаграм ничего не говорит о том, что произойдёт с документами после верификации. Подозреваю, что они будут постоянно храниться в базе Фейсбука, привязанные к вашему аккаунту.

на прошлой неделе я писал о том, что мобильный оператор T-Mobile сообщил о взломе их системы, что привело к утечке пользовательских данных 2 миллионов человек. В первоначальном сообщении говорилось, что злоумышленники не получили доступа к паролям пользователей, но оказалось, что «encrypted passwords were included in the compromised data». Есть подозрение, что пароли были зашифрованы с помощью алгоритма MD5, что делает их уязвимыми для расшифровки. Так что пойду-ка я поменяю свой пароль у T-mobile
https://motherboard.vice.com/en_us/article/a3qpk5/t-mobile-hack-data-breach-api-customer-data

К предыдущим картинкам - целый тред на Реддит про всякие ужасы информационной опасносте в Тесле (насколько это правда, конечно, неизвестно, но читается увлекательно)
https://www.reddit.com/r/EnoughMuskSpam/comments/99sbwa/former_tesla_programmers_anecdotes_about_problems/

А вот еще ссылка от читателя о базе данных на 130 миллионов гостей китайских отелей, которая доступна в интернете за относительно недорого. Тоже очень хорошо
https://xakep.ru/2018/08/29/huazhu-leak/

Саша Плющев написал хороший и взвешенный текст о последних изменениях в политике конфиденциальности Телеграм, рекомендую почитать
https://t.me/F_S_C_P/25211

“зеркало” с 3Д камерами, которые сканируют тело. затем собираются все замеры, включая различные объемы и вес, а потом загружают данные в облако. Что может пойти не так?
https://nakedlabs.com

В это время в Канаде... Авиакомпания Air Canada сообщает о том, что произошёл взлом входа в систему со стороны мобильного приложения, и примерно 20 тысяч пользовательских записей, включая имена, адреса электронной почты и номера телефонов могли попасть к злоумышленникам. А если вдруг кто-то из пострадавших себе в профиль добавил паспортные данные и прочую личную информацию, то им тоже не повезло. Но данные кредитных карточек не затронуты, пишет компания
https://www.aircanada.com/ca/en/aco/home/book/travel-news-and-updates/2018/notice-air-canada-mobile-app-users.html

Вчера я писал про базу на 130млн пользователей - посетителей китайских отелей одной компании (https://t.me/alexmakus/2362). В статье в BBC говорится, что «базу случайно залили в интернет», в других источниках я видел, что базу залили на Гитхаб. Кто заливает случайно базу на 140ГБ на Гитхаб - я не очень понимаю.

https://www.bbc.com/news/technology-45349036

(Бонус - оцените иллюстрацию у ББС)

Опять же, еще похожая тема. На прошлой неделе я писал про сервер «мониторинга/слежки» за детьми и супругами, и как их информация стала публично доступной (https://t.me/alexmakus/2346). Точно так же отличился еще один похожий сервис Family Orbit. 281 гигабайт фотографий и видео пользователей оказались доступными хакеру, получившему доступ к системе.

https://motherboard.vice.com/en_us/article/ywk8gy/spyware-family-orbit-children-photos-data-breach

Так что если решите подписываться на подобный сервис, помните, что документы, фотографии и прочая информация, которую вы доверите подобному сервису, могут оказаться доступны не только вам (говорят, что некоторые хакеры устроили персональную вендетту против таких сервисов, считая их неэтичными)

Межведомственная комиссия, в состав которой вошли представители ФСБ, Роскомнадзора, Министерства цифрового развития, связи и массовых коммуникаций, с 6 августа проводит лабораторные испытания российских систем анализа и фильтрации трафика на сети Ростелекома в городе Реутов, говорится в протоколе заседания комиссии.

https://ru.reuters.com/article/topNews/idRUKCN1LF201-ORUTP

Я бы спросил читателей из Реутова, как там у них с Телеграмом, но они, наверно, как раз и не смогут прочитать :)

АПД пока что из Реутова пишут, что через прокси все работает

(PS кстати, добавлю отсебятины. Я приезжал на прошлой неделе в Москву и поразился тому, насколько часто был необходим VPN для нормального доступа к многим ресурсам. VPN - это не роскошь, а необходимость)

Привет!

Читатель прислал интересную ссылку. О том, что Ркн внедряет в реестр IPv6, была новость. Вот и рекомендации уже выложили с IPv6.

http://vigruzki.rkn.gov.ru/docs/description_for_operators_actual.pdf
(У меня издалека сайт не грузится, но есть файлик)

Я тут неоднократно писал о том, как рекламные площадки типа Фейсбука или Гугл (да и многие другие) пытаются следить за пользователями везде, где только можно. Межустройственная слежка - это прям эльдорадо для этих компаний, а слежка за пользователями в оффлайне - вообще сказка. Вот тут Блумберг рассказывает о том, что Google в США покупает у MasterCard данные о транзакциях по картам, что позволяет Google, используя алгоритмы компании, скрещивать данные об онлайн-показах рекламы и оффлайн-покупках. Понятное дело, что обычные пользователи ни сном, ни духом о подобной слежке, да и возможности отказаться от такого наблюдения тоже у пользователей нет. Так-то, конечно, все говорят, что данные о транзакциях анонимизированы, но с тем количеством данных о пользователях, которые есть у Гугл, скрестить и вычислить конкретных индивидуальных пользователей компании не составит труда. Такая вот крипота.

https://www.bloomberg.com/news/articles/2018-08-30/google-and-mastercard-cut-a-secret-ad-deal-to-track-retail-sales

Интересный отчёт о сканировании открытых git-репозиториев в интернете: из 230 млн доменов обнаружено 390 тысяч открытых .git директорий

https://lynt.cz/blog/global-scan-exposed-git