Facepalm дня — компания Comcast, один из крупнейших провайдеров связи в США, для телефонного сервиса Xfinity Mobile устанавливал в учетных записях пользователя PIN по умолчанию “0000”. Кто-то воспользовался этим, перехватив номер телефона жертвы, привязал номер к новому аккаунту в другой сети, привязал Samsung Pay к телефону, к номеру которого была прикреплена кредитная карта жертвы, и купил компьютер в Apple Store. Comcast подтвердил, что подобная история имела место быть.
https://www.washingtonpost.com/technology/2019/02/28/help-desk-digital-life-after-death-passwords-post-its-new-comcast-nightmare/

У звонков компании Ring (принадлежит Amazon), была уязвимость, позволяющая вставлять в поток видео со звонка фейковые фотографии, а также подслушивать аудио, транслируемое с устройства.
https://dojo.bullguard.com/dojo-by-bullguard/blog/ring/

Уязвимость нулевого дня в Chrome, эксплуатируемая с помощью специально подготовленных PDF. При загрузке файла позволяет собирать информацию с компьютера пользователя (IP адрес, версии ОС и Chrome, путь к файлу PD) и отправлять её на удаленный сервер.
https://securityaffairs.co/wordpress/81741/hacking/malicious-pdf-chrome-0day.html

О свежих взломах и утечках:
– У Dow Jones обнаружилась захощенная на AWS база Elasticsearch с 2,4 млн записей высокорискованных физлиц и юрлиц.
https://securitydiscovery.com/dow-jones-risk-screening-watchlist-exposed-publicly

– Компания Intuit, разработчик ПО для подачи налоговых деклараций, объявила, что некое количество аккаунтов пользователей подверглось несанкционированному доступу, используя комбинации логинов и паролей из других утечек. Тем, кому не повезло, пришлось поделиться со злоумышленниками различной конфиденциальной информацией, включая данными из налоговых форм, адресами, датами рождения, ИНН, номерами водительских удостоверений и прочей финансовой информацией.
https://ago.vermont.gov/wp-content/uploads/2019/02/2019-02-22-Intuit-Notice-of-Data-Breach-to-Consumers.pdf

Кстати, о подобных атаках. Эта тема называется “credentials stuffing”, и, с учетом объема утекшей информации о логинах и паролях, будет становиться только популярней. Akamai в своем отчете говорит, что с мая по декабрь 2018 года было зарегистрировано примерно 28 млрд попыток таких атак. Вы знаете что делать (завести менеджер паролей!) и что не делать (не использовать одинаковые пароли в разных местах).
https://www.bleepingcomputer.com/news/security/28-billion-credential-stuffing-attempts-during-second-half-of-2018/

Полезная статья от правоохранительной организации EFF о камерах наблюдения, как их идентифицировать и что нужно о них знать
https://www.eff.org/pages/surveillance-cameras

В интернете обнаружили базу на 364 млн частных сообщений пользователей китайских сетей WeChat и QQ, которая также содержала в себе ИНН граждан, фотографиии, адреса, информацию о геолокации, и информацию об использованных устройствах. Похоже, что эту информацию (включая приватные сообщения, которые вообще-то не должны быть доступны третьим сторонам), собирают правоохранительные органы на граждан страны.
https://twitter.com/0xDUDE/status/1101909112131080192

Ссылка от читателя о том, как мэрия Москвы следит за перемещениями горожан с помощью данных, которые мэрии продают мобильные операторы (молодцы какие). Там, конечно, обещают обезличенность данных, и все такое, но мы-то знаем, чего стоят и эти обещания, и обезличенность при больших объемах данных.
https://www.vedomosti.ru/technology/articles/2019/03/03/795527-moskvichi

Пару недель назад я писал про исследователя, обнаружившего уязвимость в Связке Ключей в macOS, но отказывавшегося делиться информацией с Apple, потому что у компании отсутствует программа вознаграждения за уязвимости в macOS? Он решил не ждать, пока компания найдет в себе силы такую программу запустить, и отправил информацию об уязвимости в Apple
https://twitter.com/LinusHenze/status/1101223563581943808

Говоря об уязвимостях в macOS. Google Project Zero обнаружил критическую ошибку в программном обеспечении ядра macOS, позволяющую получить доступ к компьютеру пользователя без его ведома. Ошибка была обнаружена еще в ноябре прошлого года, но тогда Apple не отреагировала. По прошествии 90 дней GPZ раскрыли информацию об уязвимости, и в Купертино наконец-то зашевелились. Обещают в будущем апдейте ошибку исправить.
https://bugs.chromium.org/p/project-zero/issues/detail?id=1726&q=

Честно говоря, я уже сбился со счета по поводу историй про лажи Facebook, касающиеся частной информации пользователей, которые бы хотелось начать словами "Никогда такого не было, и вот опять". Кажется, прослеживается тренд!

В этот раз в новости попала история о том, что делает Facebook с номером телефона пользователя, который тот добавляет для двухфакторной аутентификации. В частности, проблема заключается в том, что если добавить номер телефона для активации функции аутентификации путем получения дополнительных кодов по SMS на номер телефона, то потом другие пользователи Facebook смогут найти вас по этому номеру в поиске. Сюрприз! (Правда, меня преследует стойкое ощущение дежавю, что я уже это когда-то читал, и это было одной из причин отказаться от 2FA на Facebook через SMS и завести TOTP-аутентификацию вторым фактором, как только Facebook добавил такую возможность). А в прошлом году еще была новость о том, что номер телефона, используемый для 2FA, может также использоваться для таргетирования пользователя рекламой. Сплошное удобство и комфорт! А они еще и базы между сервисами (FB, IG, WA) как просинхронизируют, так еще удобней будет.

В любом случае, журналисты это раскопали сейчас и развели шум. Facebook на запросы о том, не хотят ли они в своей корпорации добра отключить от греха подальше эту фичу, что-то там промямлил, что про будущие планы не комментирует. Но фича совершенно идиотская и вообще непонятно, почему она даже вообще оказалась включена.
Вот еще интересный материал о том, почему это плохо:
https://prestonbyrne.com/2019/03/03/facebooks-new-10-digit-security-hole/

Шикарная ссылка, которую прислал читатель канала. Вполне приличный и безопасный на вид пароль ji32k7au4a83 оказывается на поверку, если я правильно понял, транслитом с китайского по системе Чжуинь фухао, переводится как "my password", и встречается в различных утечках аж 141 раз.
https://gizmodo.com/why-ji32k7au4a83-is-a-remarkably-common-password-1833045282

И тут с подачи читателя, в кои-то веки пришла в голову идея. Наберем в https://haveibeenpwned.com/Passwords "мойпароль" в латинской раскладке — vjqgfhjkm, и получим 9635 использований в различных взломах. Неплохо, да.

Еще больше упростим задачу, и наберем слово "пароль" — gfhjkm.

Oh no — pwned!
This password has been seen 262,774 times before
This password has previously appeared in a data breach and should never be used. If you've ever used it anywhere before, change it!

ДВЕСТИ ШЕСТЬДЕСЯТ ДВЕ ТЫСЯЧИ СЕМЬСОТ СЕМЬДЕСЯТ ЧЕТЫРЕ ИСПОЛЬЗОВАНИЯ

ААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААААА

фишеры обленились совсем, даже похожий дизайн не могут сделать

Помните историю с приложением Facebook research, которое компания распространяла среди пользователей в обход App Store? Когда скандал был в активной фазе, представители ФБ утверждали, что "да там совсем немного подростков было среди пользователей этого приложения, меньше 5%". Уже потом "оказалось", что среди пользователей приложения было около 18% подростков. Какая неожиданность. Это у FB такой modus operandi, во время скандала все отрицать или преуменьшать масштабы проблемы, чтобы потом потихоньку, постепенно раскрывать, что же было на самом деле.

Но, кажется, лед тронулся! Тут Марк Цукерберг внезапно объявил о том, что политика партии меняется, и теперь Facebook будет за конфиденциальность! Внезапно Facebook, после всех своих факапов со взломами, утечками данных, раздачей пользовательских данных направо и налево, обнаружил, что пользователи почему-то ценят конфиденциальность своих данных. Интересно, что же повлияло на это решение Цукерберга? Может, 15 млн пользователей социальной сети в США, решившие больше не пользоваться ею? Или то, что Конгресс США вплотную подбирается к Facebook с запросами о том, как работает компания и как там принимаются решения?

То, что предлагает Цукерберг — фокус на безопасных коммуникациях, личном общении, и тд — это, безусловно, очень хорошо и полезно. Уход от публичных постов и перефокусировка на шифрованные сообщения, а также автоматически исчезающие сообщения между троицей сервисов, принадлежащих компании — это все, к чему будет стремиться компания. Более того, Facebook якобы даже готов быть забаненным в странах, которые будут настаивать на раскрытии данных коммуникаций (Надеюсь, РосКомНадзор принял вызов?). Будет очень здорово, если у Цукерберга получится развернуть такую махину с 2 млрд пользователей в этом направлении. По сути, это практически разворот на 180 градусов от того успешного и денежного рекламного бизнеса, которым сейчас является Facebook.

“I believe the future of communication will increasingly shift to private, encrypted services where people can be confident what they say to each other stays secure and their messages and content won’t stick around forever. This is the future I hope we will help bring about.“

Но есть парочка небольших вопросов, которые возникают после прочтения поста Цукерберга:
1. Сможет ли действительно Facebook, после всех скандалов, только подчеркивавших полное неуважение к персональным и конфиденциальным пользовательским данным, полностью изменить свою бизнес-модель? Ведь, по сути, компании придется отказаться от ленты новостей, основного продукта Facebook, в котором пользователи проводят огромное количество времени.

2. Как Facebook планирует монетизировать такую новую "сеть", если идет речь об отказе от публичных постов и фокусе на приватных, шифрованных сообщениях? Если все равно в чатах надо будет показывать рекламу, даже, допустим, не читая шифрованные сообщения, то значит ли это, что Facebook продолжит практику сбора и анализа всевозможной информации о пользователях? Тогда разговоры о конфиденциальности — это пустая болтовня.

Весь пост Цукерберга, к сожалению, читается больше как пародия на него самого же, в котором он, по сути, рассказывает, как он внезапно для себя открыл концепцию конфиденциальности персональных пользовательских данных и желание людей минимизировать видимость своих личных данных для кого попало в интернете. Но если он действительно серьезно меняет свой подход от "коммуникации между людьми всего мира" (как будто кто-то об этом просил) к тому, что компании все-таки придется занять определенную позицию касательно конфиденциальности, это очень здорово. Жаль, что такой переход, если он на самом деле случится, займет очень много времени (годы, как пишет сам Цукерберг), и все это время компания будет продолжать заниматься тем, что у нее получается лучше всего — зарабатывать на персональных данных пользователей.

Вчера Google выпустила небольшое обновление к Chrome для всех платформ с совершенно простым и легко запоминающимся номером версии 72.0.3626.121. Оказалось, что апдейт был выпущен для исправления уязвимости нулевого дня CVE-2019-5786, позволявшей сайтам, эксплуатируя FileReader API, читать файлы на компьютере и исполнять вредоносный код. Браузер крайне рекомендуется к апдейту, если он у вас почему-то автоматически не обновился.
https://chromereleases.googleblog.com/2019/03/stable-channel-update-for-desktop.html

Spoiler alert! Тут новую уязвимость в процессорах Intel завезли, называется Spoiler. Очередная эксплуатация спекулятивного исполнения в в процессорах, позволяющая воровать различные секреты из памяти компьютера. Уязвимость, похоже, не может быть легко исправлена, и даже минимизация её эффекта представляется сложной без существенной переделки на уровне самого процессора. Процессоры ARM и AMD не затронуты, пишут исследователи. Никогда такого не было, и вот опять!
https://arxiv.org/pdf/1903.00446.pdf

90% взломанных в 2018 сайтов были на WordPress (написал я в посте блога на WordPress). Проблемы в первую очередь возникают у тех, кто забывает апдейтить сайт (движок, плагины и темы).
https://sucuri.net/reports/19-sucuri-2018-hacked-report.pdf

Обещанный в свое время релиз Ghidra случился! (напомню, это ПО от NSA по анализу и reverse engineering программного обеспечения — организация выложила проект в открытых исходных кодах). Правда, насколько вообще безопасно устанавливать себе ПО от NSA — это на ваше усмотрение. Там уже вроде как даже обнаружили то ли практически бэкдор в JDWP, то ли неудачную настройку, которая открывает порты и дает возможность удаленного исполнения кода. Впрочем, это же NSA, от них можно ожидать чего угодно.
https://www.ghidra-sre.org (этот URL из России у многих пользователей выдает ошибку 403)
https://github.com/NationalSecurityAgency/ghidra