Криптографическая атака на зашифрованный трафик, которая актуальна даже против TLS 1.3
https://www.zdnet.com/article/new-tls-encryption-busting-attack-also-impacts-the-newer-tls-1-3/

Помните историю с австралийским законом, по которому технологические компании должны предоставлять помощь правоохранительным органам в доступе к зашифрованной информации? (вплоть до скрытого рекрутинга сотрудников компаний с последующим встраиваением бекдоров). В статье сообщается, что уже пошла активная эксплуатация норм закона для доступа куда потребуется.
https://t.me/alexmakus/2542
https://www.innovationaus.com/2019/02/AA-bill-notices-already-issued

Статья о том, как Google и Apple размещают в своих магазинах приложение Absher, используемое мужчинами в Саудовской Аравии для контроля за перемещением своих жен (предупреждения о приближении к аэропортам, пересечении границ, и тд). Формально приложение отвечает требованиям правительства СА, но представители правоохранительных органов утверждают, что это приложение нарушает и притесняет права женщин, и поэтому приложение должно быть удалено из App Store/Google Play.
https://www.businessinsider.com/apple-google-criticised-for-saudi-government-app-activists-say-fuel-discrimination-2019-2

Amazon покупает компанию Eero, разработчика mesh-роутеров для домашнего WiFi, и что это может означать для конфиденциальности данных пользователей роутеров.
https://techcrunch.com/2019/02/12/amazon-eero-privacy/

Компания VFEmail, провайдер почты для компаний и индивидуальных лиц, подверглась атаке, в результате которой все данные (включая резервные копии) были удалены. Все, все что нажито непосильным трудом за 18 лет существования компании. Хакер просто отформатировал все сервера компании, включая те, на которых хранились бекапные данные.
https://krebsonsecurity.com/2019/02/email-provider-vfemail-suffers-catastrophic-hack/

В интернете появился очередной новый архив с паролями на продажу, в котором 617 млн записей, включая имена учетных записей, адреса электронной почты, и пароли в хеше. Некоторые пароли были захешированы с использованием MD5, что чревато.

В архив входят утечки со следующих сайтов:
Dubsmash (162 млн)
MyFitnessPal (151 млн)
MyHeritage (92 млн)
ShareThis (41 млн)
HauteLook (28 млн)
Animoto (25 млн)
EyeEm (22 млн)
8fit (20 млн)
Whitepages (18 млн)
Fotolog (16 млн)
500px (15 млн)
Armor Games (11 млн)
BookMate (8 млн)
CoffeeMeetsBagel (6 млн)
Artsy (1 млн)
DataCamp (700 тыс).

https://www.theregister.co.uk/2019/02/11/620_million_hacked_accounts_dark_web/

Некоторые сайты из этого списка ранее озвучивали уже тот факт, что они были взломаны, для некоторых это оказалось, похоже, новостью. В частности, сегодня сайт 500px рассылал пользователям уведомление о том, что их команда узнала о проблеме безопасности и заодно сбросила пароли всем пользователям. Взлом 500px произошел 5 июля 2018 года. Свидетельств несанкционированного доступа к пользовательским аккаунтам с использованием украденных данных пока что зафиксировано не было, пишет компания в письме пользователям.

PS полезная статья о хешировании паролей
https://medium.com/@cmcorrales3/password-hashes-how-they-work-how-theyre-hacked-and-how-to-maximize-security-e04b15ed98d

Набралась целая коллекция уязвимостей и патчей, о которых можно собрать один пост.

1. Вчера Microsoft выпустила традиционный вторничный патч, в котором исправляется уже эксплуатируемая уязвимость нулевого дня в Internet Explorer, а также проблема в Exchange Server, для которой в январе был представлен proof-of-concept.
Уязвимость в IE https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019-0676
Уязвимость в Exchange https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0686

Всего же в апдейте Microsoft исправляется более 70 уязвимостей, 20 из которых признаны критичными. Полный обзор содержимого патча тут: https://portal.msrc.microsoft.com/en-us/security-guidance/releasenotedetail/51503ac5-e6d2-e811-a983-000d3a33c573

2. Adobe тоже выпустила большой патч с исправлениями 43 критичных уязвимостей Acrobat и Reader, включая исправление для уязвимости нулевого дня, позволявшей удаленному злоумышленнику украсть NTLM хеши паролей.

Об апдейте https://blogs.adobe.com/psirt/?p=1705

Детальней об уявимости нулевого дня: https://blog.0patch.com/2019/02/sorry-adobe-reader-were-not-letting-you.html

3. В случае с Apple все хуже — уязвимость есть, а патча нет. Разработчик обнаружил, что все версии macOS Mojave, включая самую последнюю 10.14.3, позволяют получить доступ к папке ~/Library/Safari (которая обычно защищена от доступа для сторонних приложений без разрешения пользователя). Об уязвимости разработчик сообщил в Apple, а апдейт, исправляющий эту проблему, выйдет чуть позже, поэтому технические детали уязвимости не разглашаются.

Детальней об уязвимости: https://lapcatsoftware.com/articles/mojave-privacy3.html

Так что в случае доступных патчей вы знаете, что делать (обновляться).

Помните проект Bandersnatch на Netflix? Интерактивный фильм, позволяющий делать вам выбор за главного героя и таким образом менять сценарий. Думаю, не станет сюрпризом, если вы узнаете, что Netflix сохраняет то, какие варианты вы выбирали.
https://twitter.com/mikarv/status/1095110948908662784

А помните историю про Google и Facebook, использовавшие корпоративные сертификаты разработчиков Apple для распространения приложений среди аудитории в обход App Store? Логичным продолжением этой истории стало дальнейшее расследование журналистов, которое показало, что есть целый ряд приложений с порнографией и азартными играми, которые используют корпоративные сертификаты для распространения приложений для iOS среди пользователей (по правилам App Store, такие приложения не могут там находиться). Проблема и в том, что Apple недостаточно тщательно проверяет, кто и как регистрирует сертификаты корпоративных разработчиков, и в дальнейшем не мониторит использование этих сертификатов (зачастую — китайскими компаниями), но пообещала разобраться как следует и наказать кого попало.
https://techcrunch.com/2019/02/12/apple-porn-gambling-apps/

Intel Software Guard eXtensions (SGX) — функция современных процессоров Intel, которая позволяет разработчикам изолировать приложения в безопасных анклавах. А тут вот исследователи обнаружили, что SGX может использоваться как место для хранения вредоносного ПО, которое невозможно обнаружить.
https://arxiv.org/abs/1902.03256

Какая красота, кабель с WiFi адаптером, позволяющий удаленно контролировать его. Компьютер видит кабель как клавиатуру и мышь, и можно удаленно вводить команды в устройство. Избегайте чужих кабелей (что, впрочем, не новый совет).
https://www.bleepingcomputer.com/news/security/new-offensive-usb-cable-allows-remote-attacks-over-wifi/

Исследователи компании Wandera обнаружили, что системы электронных билетов некоторых авиакомпаний (AirFrance, KLM) зачастую шлют пассажирам ссылки для регистрации без шифрования персональных данных (там прямо в УРЛ имя, фамилия, номер подтверждения регистрации). В некоторых случаях, пишут исследователи, можно, получив такой УРЛ, изменить данные в билете.
http://www.wandera.com/mobile-security/airline-check-in-risk/

Я тут топлю за 2FA всячески. Но, похоже, её не все так же любят, как я. В частности, в США некий Джей Бродски подал в суд на Apple, за то, что компания форсит пользователей пользоваться двухфакторной аутентификацией, а это длинный процесс с паролями, логинами, доверием устройствам, и тд. И вообще весь процесс может занимать 2 до 5 минут, что недопустимо долго. Apple нанесла непоправимый и невозможный к вычислению урон тем, что не дала возможности истцу выбрать свой собственный уровень необходимой безопасности.
https://www.scribd.com/document/399265266/Brodsky-versus-Apple-alleging-that-two-factor-authentication-is-abusive-to-users

Электрические скутеры — это хорошо? Ну, в целом, да, для города это вполне удобный способ передвижения. Многие сервисы по предоставлению скутеров используют скутеры Xiaomi M365. Так вот, эксперты компании Zimperium продемонстрировали концепцию ПО, которое позволяет злоумышленнику подключиться по Bluetooth к скутеру, и без использования пароля отправлять на скутер различные команды, в том числе для того, чтобы резко ускорить или остановить определенный скутер, на котором в данный момент едет человек. Xiaomi подтвердила, что такая проблема в скутерах действительно присутствует, но пока что исправленной прошивки для скутеров нет. Осторожней там!
https://blog.zimperium.com/dont-give-me-a-brake-xiaomi-scooter-hack-enables-dangerous-accelerations-and-stops-for-unsuspecting-riders/

Ссылка от читателя на статью с хорошим списком замечаний о законопроекте об автономности российской части интернета. И правильно, потому что “все корневые… вот это всё корневое, не знаю, как это называется… ”
https://vc.ru/legal/58336-osnovnye-voprosy-k-zakonoproektu-ob-avtonomnosti-runeta-posle-ego-prinyatiya-v-pervom-chtenii

Смешная история о том, как у журналистки украли iPhone, а затем она подружилась по переписке с подростком, которому в итоге достался этот айфон (журналистка в Лондоне, подросток в Индии).
https://thenextweb.com/syndication/2019/02/14/how-i-became-pen-pals-with-the-kid-whole-stole-my-iphone/

Не менее смешная история о том, как ямайский телефонный мошенник позвонил человеку в США и, пытаясь развести его на деньги, рассказывал о том, что жертва выиграла 72 млн долларов в лотерею, но чтобы получить деньги, ему надо перевести 50 тыс долл. Схема, я так понимаю, даже иногда работает, раз ею продолжают промышлять. Только в этом случае мошенник попал на человека, который в прошлом был директором ЦРУ и ФБР (Уильям Вебстер, единственный человек в истории США, занимавший эти две должности). В общем, закончилось все плохо для мошенника.
https://www.washingtonpost.com/crime-law/2019/02/12/william-webster-ex-fbi-cia-director-helps-feds-nab-jamaican-phone-scammer/

Совсем недавно выходил пост про набор из 620 млн паролей, в котором некоторые компании обнаружили для себя новость, что, оказывается, они стали жертвами взлома. Так вот, тот же хакер объявил, что у него “завалялось” еще 127 миллионов пользовательских записей, включая:

18 млн с сайта Ixigo
40 млн с видео-стримингового сервиса YouNow
57 с сайта Houzz
1,8млн с Ge.tt
4 млн с Roll20
5 млн с Stronghold Kingdoms
1 млн с PetFlow
450 тыс с Coinmama

Некоторые сайты использовали для хранения паролей алгоритм хеширования MD5, что чревато расшифровкой. 6 из 16 сайтов, попавших в эту утечку, использовали базу PostgreSQL, которую никто не патчил от известных уязвимостей.
https://techcrunch.com/2019/02/14/hacker-strikes-again/

Статья о том, как компания Ring (принадлежит Amazon), производящая “умные” звонки с камерами для дома, предоставила доступ к порталу с видео со звонков для полиции, без всяких ордеров суда.
https://theintercept.com/2019/02/14/amazon-ring-police-surveillance/

Сначала была коллекция на 620 млн пользовательских записей… Потом появились еще 127 млн записей. Теперь появились еще 91 млн записей, что в сумме дает нам… (считает, загибая пальцы) почти 840 млн пользовательских записей, которые включают в себя логины и хешированные пароли.

В списке малознакомые мне Legendas.tv, OneBip, Storybird, Jobandtalent (какой-какой талант???), Gfycat, ClassPass, Pizap и StreetEasy. Не используйте повторные пароли, хотя бы в самых критичных местах типа вашей основной почты, на которую завязаны остальные аккаунты.

https://techcrunch.com/2019/02/16/classpass-gfycat-streeteasy-hacks/