Обнаружилась очередная компания с программным продуктом для слежки (зачеркнуто) мониторинга детей и супругов, которая умудрилась тысячи изображений и записей аудио выложить на доступный всем сервер в интернете. Компания Mobiispy.com так и не ответила на письма экспертов, обнаруживших проблему, поэтому все закончилось тем, что хостинговая компания, на сервере которой хранились эти данные, была вынуждена погасить сервер, чтобы убрать данные из доступности. Помните о том, что за последние пару лет огромное количество этих “мониторинговых” сервисов продемонстрировали полное наплевательство по отношению к пользовательским данным, когда решите чем-то таким воспользоваться
https://motherboard.vice.com/en_us/article/j573k3/spyware-data-leak-pictures-audio-recordings
https://motherboard.vice.com/en_us/article/7xnybe/hosting-provider-takes-down-spyware-mobiispy

Помните хакера с почти миллиардом свежих записей с логинами и паролями? В очередном (четвертом) раунде раздачи данных он предложил еще 26 миллионов пользовательских записей, куда вошли уже менее известные сервисы, такие как GameSalad, Estante Virtual, Coubic, LifeBear, Bukalapak, YouthManual (часть из Бразилии, часть из Индонезии).
https://www.zdnet.com/article/round-4-hacker-returns-and-puts-26mil-user-records-for-sale-on-the-dark-web/

Кажется, в России пришли за VPN. Роскомнадзор направил требования о необходимости подключения к государственной информационной системе (ФГИС) владельцам 10 VPN-сервисов.

Соответствующие уведомления были направлены в адрес сервисов NordVPN, Hide My Ass!, Hola VPN, Openvpn, VyprVPN, ExpressVPN, TorGuard, IPVanish, Kaspersky Secure Connection и VPN Unlimited. Согласно Федеральному закону «Об информации..» указанные сервисы обязаны подключиться к ФГИС Роскомнадзора в течение 30 рабочих дней с момента направления требований.

https://rkn.gov.ru/news/rsoc/news66248.htm

В России еще и IoT не дает покоя властям. Минкомсвязь планирует одобрить концепцию развития в России интернета вещей (IoT). Она предусматривает, что правоохранительные органы смогут получать доступ к информации, хранящейся на IoT-платформах, а для защиты российского сегмента интернета вещей на территории страны будет создана его замкнутая сеть. У участников рынка остались вопросы к концепции: помимо подключения к СОРМ, их беспокоят перспективы импортозамещения в условиях нехватки отечественного оборудования.

https://www.kommersant.ru/doc/3924324

Исследователи обнаружили уязвимость в драйвере Huawei для компьютеров Windows, дающую возможность злоумышленникам получить полный контроль над компьютером (исправлена в январе)
https://www.zdnet.com/article/microsoft-windows-10-devices-open-to-full-compromise-from-huawei-pc-driver/

Кстати, о Huawei. Большой отчет британского государственного агентства по кибербезопасности, исследовавшей риски в случае применения оборудования Huawei в критических компонентах национальной инфраструктуры. Прямых доказательств шпионажа в пользу другого государства в результате исследований обнаружено не было, но были обнаружены другие серьезные уязвимости, которые могут дать возможность злоумышленникам получить доступ к пользовательским данным или изменить конфигурацию сетевых компонентов.
https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/790270/HCSEC_OversightBoardReport-2019.pdf
Тут статья с разбором одной такой уязвимости:
https://www.theregister.co.uk/2019/03/28/huawei_mirai_router_vulnerability/

В Израиле, кажется, взялись за технологические компании, занимающиеся ПО для различных видов “цифровой разведки”. В частности, одна из компаний, у которой отозвали лицензию на экспорт ПО, Ability, известна тем, что продает решения для эксплуатации уязвимостей в системе SS7, позволяющей перехватывать телефоны в мобильных сетях, не взламывая их.
https://www.timesofisrael.com/defense-ministry-rebukes-israeli-spy-tech-company-for-unlawful-exports/
В то же время другая израильская компания, NSO, продававшая свое вредоносное ПО различным диктаторским режимам, активно занялась отмыванием своего имиджа
https://motherboard.vice.com/en_us/article/qvy97x/israeli-nso-group-marketing-pr-push

Китайская сеть Rela — популярное приложение для знакомств лесбиянок — раскрыло данные на 5 миллионов пользователей, потому что у сервера не было защиты паролем.
https://techcrunch.com/2019/03/27/rela-data-exposed/

В какой-то мере новость на близкую тему. Популярная сеть для знакомств геев Grindr в свое время была продана китайским владельцам (компании Beijing Kunlun Tech Co Ltd). Теперь Комитет по зарубежным инвестициям в США (CFIUS) требует от китайских владельцев продать приложение, потому что “китайское владение этим сервисом представляет собой риск для национальной безопасности”. ШТОВООБЩЕ? (к сожалению, каким именно образом это риск для национальной безопасности, в статье не раскрывается).
https://www.reuters.com/article/us-grindr-m-a-exclusive/exclusive-us-pushes-chinese-owner-of-grindr-to-divest-the-dating-app-sources-idUSKCN1R809L

Apple недавно выпустила обновления для своих операционных систем, и, как обычно, опубликовала информацию о содержимом исправлений безопасности в этих обновлениях. В iOS 12.2 более 50 различных фиксов!
iOS 12.2 https://support.apple.com/en-us/HT209599
tvOS 12.2 https://support.apple.com/kb/HT209601
macOS 10.14.4 (и апдейты для High Sierra и Sierra) https://support.apple.com/kb/HT209600
watchOS 5.2 https://support.apple.com/en-us/HT209602

Ограничение работы VPN в России — немного апдейтов
https://mbk-news.appspot.com/news/hhennyx-sajtov/
ответ про уход TorGuard https://torguard.net/blog/why-torguard-has-removed-all-russian-servers/
ответ Vypr VPN https://www.goldenfrog.com/blog/russia-demands-vpn-providers-to-comply-with-censorship-vyprvpn-refuses

Еще парочка новостей, которые могут быть интересны читателям из России:
– Пользователи обнаружили, что при поиске по документам в соцсети «ВКонтакте» можно получить доступ к архивам аудиосообщений.
https://meduza.io/news/2019/04/01/v-poiske-po-dokumentam-vkontakte-nashli-tysyachi-audiosoobscheniy-sotsset-otklyuchila-vozmozhnost-poiska-po-nim

Про утечку данных о покупках — о том, как кассовая техника была перенастроена на передачу данных третьим лицам. Первоисточник так себе, но вообще, когда ваш банк присылает вам письмо “в этом году вы потратили больше всего денег на пиво”, помните, что хотя банк и знает о транзакциях по карте, он не должен знать, что именно вы покупали.
https://iz.ru/862205/dmitrii-grinkevich/chek-trustcoi-pochemu-i-kuda-utekaiut-personalnye-dannye-pokupatelei

Парочка новостей про Android
Исследователи (уже другие) также проанализировали 82 501 приложений, предустановленных на 1 742 смартфонах с Android, которые производятся 214 компаний. Масса предустановленных сторонних библиотек в приложениях, левые сертификаты, совершенно не нужные права доступа к информации, сбор пользовательских данных, и даже предустановленное вредоносное ПО. Детали по ссылке
https://haystack.mobi/papers/preinstalledAndroidSW_preprint.pdf

Приложения для слежки для пользователями, которые содержат в себе вредоносное ПО Exodus, доступные в Google Play, и, похоже, используемые правительством для слежки за совершенно конкретными лицами.
https://securitywithoutborders.org/blog/2019/03/29/exodus.html

А в Джорджии (не той, которая Грузия) хакер был признан виновным во взломе аккаунтов iCloud известных спортсменов и музыкантов, воруя их личные данные. Для взлома он использовал методику фишинга. Пока что непонятно, на сколько именно он сядет.
https://www.justice.gov/usao-ndga/pr/georgia-man-pleads-guilty-hacking-apple-accounts-professional-athletes-and-musicians

Сеть ресторанов, принадлежащих компании Earl enterprise, была взломана, и злоумышленники похитили данные на 2 миллиона банковских карт. В сеть входят такие рестораны, как Buca di Beppo, Earl of Sandwich, Planet Hollywood, Chicken Guy!, Mixology и Tequila Taqueria.
https://krebsonsecurity.com/2019/03/a-month-after-2-million-customer-cards-sold-online-buca-di-beppo-parent-admits-breach/

История с утечками личных фотографий Джеффа Безоса все страннее и страннее. Вроде бы даже договорились в какой-то момент, что фотографии утекли с телефона его любовницы благодаря её брату. Теперь руководитель расследования утверждает, что все-таки к взлому и утечке причастна Саудовская Аравия (из чего следует, что к этому может иметь отношение компания NSO, которая продает шпионское ПО для подобных целей).
https://www.thedailybeast.com/jeff-bezos-investigation-finds-the-saudis-obtained-his-private-information
NSO утверждает же, что никакого отношения к этому не имеет
https://motherboard.vice.com/en_us/article/7xnnea/nso-group-hack-jeff-bezos-saudi-arabia

Matthew Garrett, исследователь компьютерной безопасности, также работающий в Google, раскрыл уязвимость нулевого дня в роутерах TP-Link после того, как производитель никак не отреагировал на информацию о ней за 90 дней. Уязвимость позволяет удаленно исполнять скрипты в локальной сети, не требуя аутентификации.
https://www.theregister.co.uk/2019/03/28/tplink_router_flaw/

CloudFlare, разработчик безопасного DNS 1.1.1.1, также анонсировал бесплатный VPN-сервис Warp. Пока что на него можно подписаться через приложение 1.1.1.1 для Android и iOS, и ожидать официального запуска.
https://blog.cloudflare.com/1111-warp-better-vpn/

Автомобили, как и многое другое, становятся все более компьютеризированными. Электрические автомобили так вообще, по сути, один большой компьютер с колесами, а если добавить туда весь софт и железо для автономного вождения, то тем более. А компьютеризация в данном случае означает данные — их сбор, обработку и хранение. На прошлой неделе было очень интересно почитать про то, как исследователи взяли разбитую Tesla Model 3, и изучили, какая там информация хранится. Фишка в том, что когда машина разбита, данные с нее не удаляются, и все, что машина собирала за время её использования, может храниться в ней. В случае с GreenTheOnly (никнейм исследователя), на компьютере машины обнаружилась информация о местоположении, маршрутах, информация о владельце, информация с мобильных устройств, которые были связаны с автомобилем (включая адресные книги, календари, адреса электронной почты участников встреч), а также видео самой аварии. (Интересно, что за секунду до аварии в машину позвонил родственник водителя, что, видимо, и привело к аварии).

В статье еще говорится интересное о том, Tesla в целом довольно скрытно относится к информации о том, что, как и когда записывают камеры автомобиля. При этом отказ от сбора информации автоматически приводит к отказу от получения обновлений ПО (“а если откажутся, отключим газ”). Такие дела.
https://www.cnbc.com/2019/03/29/tesla-model-3-keeps-data-like-crash-videos-location-phone-contacts.html

Я неоднократно писал тут про различные сервисы слежки за партнерами, и о том, как эти сервисы, с одной стороны, в целом нарушают приватность людей, а в добавок к этому еще и зачастую оставляют свои сервера совершенно незащищенными. Это приводит к тому, что частная информация — переписка, фотографии, и тд — оказываются полностью доступными в интернете. Лаборатория Касперского опубликовала большой и интересный материал о подобных приложениях и сервисах, и о том, какую угрозу они таят для пользователей. Так что начиная с 3 апреля, мобильные продукты «Лаборатории Касперского» для Android будут оповещать пользователей о присутствии таких программ в системе при помощи специальной функции. Это очень здорово.
https://securelist.ru/beware-of-stalkerware/93771/

Пять VPN-сервисов из десяти отказались блокировать доступ к запрещённым в России сайтам по требованию Роскомнадзора
https://vc.ru/services/62917-pyat-vpn-servisov-iz-desyati-otkazalis-blokirovat-dostup-k-zapreshchennym-v-rossii-saytam-po-trebovaniyu-roskomnadzora