Про утечку данных о покупках — о том, как кассовая техника была перенастроена на передачу данных третьим лицам. Первоисточник так себе, но вообще, когда ваш банк присылает вам письмо “в этом году вы потратили больше всего денег на пиво”, помните, что хотя банк и знает о транзакциях по карте, он не должен знать, что именно вы покупали.
https://iz.ru/862205/dmitrii-grinkevich/chek-trustcoi-pochemu-i-kuda-utekaiut-personalnye-dannye-pokupatelei
https://iz.ru/862205/dmitrii-grinkevich/chek-trustcoi-pochemu-i-kuda-utekaiut-personalnye-dannye-pokupatelei
Известия
Чек трусцой: почему и куда «утекают» персональные данные покупателей
Кассы торговых точек программируют на передачу сведений о покупках «на сторону»
Парочка новостей про Android
Исследователи (уже другие) также проанализировали 82 501 приложений, предустановленных на 1 742 смартфонах с Android, которые производятся 214 компаний. Масса предустановленных сторонних библиотек в приложениях, левые сертификаты, совершенно не нужные права доступа к информации, сбор пользовательских данных, и даже предустановленное вредоносное ПО. Детали по ссылке
https://haystack.mobi/papers/preinstalledAndroidSW_preprint.pdf
Приложения для слежки для пользователями, которые содержат в себе вредоносное ПО Exodus, доступные в Google Play, и, похоже, используемые правительством для слежки за совершенно конкретными лицами.
https://securitywithoutborders.org/blog/2019/03/29/exodus.html
Исследователи (уже другие) также проанализировали 82 501 приложений, предустановленных на 1 742 смартфонах с Android, которые производятся 214 компаний. Масса предустановленных сторонних библиотек в приложениях, левые сертификаты, совершенно не нужные права доступа к информации, сбор пользовательских данных, и даже предустановленное вредоносное ПО. Детали по ссылке
https://haystack.mobi/papers/preinstalledAndroidSW_preprint.pdf
Приложения для слежки для пользователями, которые содержат в себе вредоносное ПО Exodus, доступные в Google Play, и, похоже, используемые правительством для слежки за совершенно конкретными лицами.
https://securitywithoutborders.org/blog/2019/03/29/exodus.html
А в Джорджии (не той, которая Грузия) хакер был признан виновным во взломе аккаунтов iCloud известных спортсменов и музыкантов, воруя их личные данные. Для взлома он использовал методику фишинга. Пока что непонятно, на сколько именно он сядет.
https://www.justice.gov/usao-ndga/pr/georgia-man-pleads-guilty-hacking-apple-accounts-professional-athletes-and-musicians
https://www.justice.gov/usao-ndga/pr/georgia-man-pleads-guilty-hacking-apple-accounts-professional-athletes-and-musicians
www.justice.gov
Georgia man pleads guilty to hacking apple accounts of professional
Kwamaine Jerell Ford has pleaded guilty to logging into Apple accounts belonging to high-profile professional athletes and musicians without authorization and stealing credit card information from
Сеть ресторанов, принадлежащих компании Earl enterprise, была взломана, и злоумышленники похитили данные на 2 миллиона банковских карт. В сеть входят такие рестораны, как Buca di Beppo, Earl of Sandwich, Planet Hollywood, Chicken Guy!, Mixology и Tequila Taqueria.
https://krebsonsecurity.com/2019/03/a-month-after-2-million-customer-cards-sold-online-buca-di-beppo-parent-admits-breach/
https://krebsonsecurity.com/2019/03/a-month-after-2-million-customer-cards-sold-online-buca-di-beppo-parent-admits-breach/
История с утечками личных фотографий Джеффа Безоса все страннее и страннее. Вроде бы даже договорились в какой-то момент, что фотографии утекли с телефона его любовницы благодаря её брату. Теперь руководитель расследования утверждает, что все-таки к взлому и утечке причастна Саудовская Аравия (из чего следует, что к этому может иметь отношение компания NSO, которая продает шпионское ПО для подобных целей).
https://www.thedailybeast.com/jeff-bezos-investigation-finds-the-saudis-obtained-his-private-information
NSO утверждает же, что никакого отношения к этому не имеет
https://motherboard.vice.com/en_us/article/7xnnea/nso-group-hack-jeff-bezos-saudi-arabia
https://www.thedailybeast.com/jeff-bezos-investigation-finds-the-saudis-obtained-his-private-information
NSO утверждает же, что никакого отношения к этому не имеет
https://motherboard.vice.com/en_us/article/7xnnea/nso-group-hack-jeff-bezos-saudi-arabia
The Daily Beast
Bezos Investigation Finds the Saudis Obtained His Private Data
The National Enquirer’s lawyer tried to get me to say there was no hacking.
Matthew Garrett, исследователь компьютерной безопасности, также работающий в Google, раскрыл уязвимость нулевого дня в роутерах TP-Link после того, как производитель никак не отреагировал на информацию о ней за 90 дней. Уязвимость позволяет удаленно исполнять скрипты в локальной сети, не требуя аутентификации.
https://www.theregister.co.uk/2019/03/28/tplink_router_flaw/
https://www.theregister.co.uk/2019/03/28/tplink_router_flaw/
www.theregister.co.uk
TP-Link 'smart' router proves to be anything but smart – just like its maker: Zero-day vuln dropped after silence
Google security engineer emits SR20 PoC exploit after manufacturer fails to respond
CloudFlare, разработчик безопасного DNS 1.1.1.1, также анонсировал бесплатный VPN-сервис Warp. Пока что на него можно подписаться через приложение 1.1.1.1 для Android и iOS, и ожидать официального запуска.
https://blog.cloudflare.com/1111-warp-better-vpn/
https://blog.cloudflare.com/1111-warp-better-vpn/
The Cloudflare Blog
Introducing WARP: fixing mobile Internet performance and security
Today we're excited to announce what we began to plan more than two years ago: the 1.1.1.1 App with WARP performance and security technology. We built Warp from the ground up to thrive in the harsh conditions of the modern mobile Internet.
Автомобили, как и многое другое, становятся все более компьютеризированными. Электрические автомобили так вообще, по сути, один большой компьютер с колесами, а если добавить туда весь софт и железо для автономного вождения, то тем более. А компьютеризация в данном случае означает данные — их сбор, обработку и хранение. На прошлой неделе было очень интересно почитать про то, как исследователи взяли разбитую Tesla Model 3, и изучили, какая там информация хранится. Фишка в том, что когда машина разбита, данные с нее не удаляются, и все, что машина собирала за время её использования, может храниться в ней. В случае с GreenTheOnly (никнейм исследователя), на компьютере машины обнаружилась информация о местоположении, маршрутах, информация о владельце, информация с мобильных устройств, которые были связаны с автомобилем (включая адресные книги, календари, адреса электронной почты участников встреч), а также видео самой аварии. (Интересно, что за секунду до аварии в машину позвонил родственник водителя, что, видимо, и привело к аварии).
В статье еще говорится интересное о том, Tesla в целом довольно скрытно относится к информации о том, что, как и когда записывают камеры автомобиля. При этом отказ от сбора информации автоматически приводит к отказу от получения обновлений ПО (“а если откажутся, отключим газ”). Такие дела.
https://www.cnbc.com/2019/03/29/tesla-model-3-keeps-data-like-crash-videos-location-phone-contacts.html
В статье еще говорится интересное о том, Tesla в целом довольно скрытно относится к информации о том, что, как и когда записывают камеры автомобиля. При этом отказ от сбора информации автоматически приводит к отказу от получения обновлений ПО (“а если откажутся, отключим газ”). Такие дела.
https://www.cnbc.com/2019/03/29/tesla-model-3-keeps-data-like-crash-videos-location-phone-contacts.html
CNBC
Tesla cars keep more data than you think, including this video of a crash that totaled a Model 3
The computers contain info about previous owners, including video, location and navigational data showing what happened just before a crash.
Я неоднократно писал тут про различные сервисы слежки за партнерами, и о том, как эти сервисы, с одной стороны, в целом нарушают приватность людей, а в добавок к этому еще и зачастую оставляют свои сервера совершенно незащищенными. Это приводит к тому, что частная информация — переписка, фотографии, и тд — оказываются полностью доступными в интернете. Лаборатория Касперского опубликовала большой и интересный материал о подобных приложениях и сервисах, и о том, какую угрозу они таят для пользователей. Так что начиная с 3 апреля, мобильные продукты «Лаборатории Касперского» для Android будут оповещать пользователей о присутствии таких программ в системе при помощи специальной функции. Это очень здорово.
https://securelist.ru/beware-of-stalkerware/93771/
https://securelist.ru/beware-of-stalkerware/93771/
securelist.ru
Stalkerware: средства повседневного шпионажа
Может показаться, что шпионские программы – это что-то из голливудских фильмов, однако коммерческие версии таких программ (т.н. stalkerware) являются реальностью.
Пять VPN-сервисов из десяти отказались блокировать доступ к запрещённым в России сайтам по требованию Роскомнадзора
https://vc.ru/services/62917-pyat-vpn-servisov-iz-desyati-otkazalis-blokirovat-dostup-k-zapreshchennym-v-rossii-saytam-po-trebovaniyu-roskomnadzora
https://vc.ru/services/62917-pyat-vpn-servisov-iz-desyati-otkazalis-blokirovat-dostup-k-zapreshchennym-v-rossii-saytam-po-trebovaniyu-roskomnadzora
vc.ru
Пять VPN-сервисов из десяти отказались блокировать доступ к запрещённым в России сайтам по требованию Роскомнадзора — Сервисы на…
Один согласился.
Странная и подозрительная история о том, как в курортном отеле Mar-a-Lago, принадлежащем президенту США Трампу, в котором он сам часто бывает, задержали жительницу Китая. В маленькой женской сумочке (которые, как известно, гораздо больше внутри, чем выглядят снаружи), были обнаружены 4 смартфона, внешний жесткий диск, ноутбук, и флешка с вредоносным ПО. Женщина утверждала, что прилетела на несуществующее мероприятие, и настаивала, что пришла к бассейну, хотя и купальника у нее с собой не было. Кто из нас, идя к бассейну, не берет с собой несколько смартфонов, ноутбуков и жестких дисков?
https://www.nytimes.com/2019/04/02/us/mar-a-lago-zhang-chinese-secret-service.html
https://www.nytimes.com/2019/04/02/us/mar-a-lago-zhang-chinese-secret-service.html
NY Times
Woman From China Carrying Malware Arrested After Entering Mar-a-Lago
Federal authorities have arrested a 32-year-old Chinese woman who allegedly made false statements when she sought to enter Mar-a-Lago over the weekend.
Не менее странная история с Facebook, который как всегда! Ладно уж все многочисленные утечки, и обнаруженные завалы из паролей 600 млн пользователей. Тут обнаружилось, что при создании новых аккаунтов Facebook требовал для проверки пользователей адрес электронной почты и заодно пароль от этого адреса — “мы сделаем за вас проверку автоматической”. Отличный шаг, вполне в духе move fast and break things, как любил говорить Цукерберг.
https://www.thedailybeast.com/beyond-sketchy-facebook-demanding-some-new-users-email-passwords
С момента выхода статьи Facebook уже успели сказать, что они отменят эту порочную практику, но на этом этапе хочется только спросить WTF? (F, разумеется, означает Facebook).
https://twitter.com/kpoulsen/status/1113271858969731073
https://www.thedailybeast.com/beyond-sketchy-facebook-demanding-some-new-users-email-passwords
С момента выхода статьи Facebook уже успели сказать, что они отменят эту порочную практику, но на этом этапе хочется только спросить WTF? (F, разумеется, означает Facebook).
https://twitter.com/kpoulsen/status/1113271858969731073
The Daily Beast
‘Beyond Sketchy’: Facebook Demanding Some New Users’ Email Passwords
Mark Zuckerberg admitted recently that Facebook doesn’t have a ‘strong reputation’ for privacy. An odd new request for private data probably won’t help with that rep.
540 млн записей о юзерах ФБ в открытом доступе, да когда же это кончится???
https://www.upguard.com/breaches/facebook-user-data-leak
https://www.upguard.com/breaches/facebook-user-data-leak
Upguard
Losing Face: Two More Cases of Third-Party Facebook App Data Exposure | UpGuard
Third-party Facebook apps gather Facebook data about the people who use them. While Facebook struggles to contain these exposures, insecure third-party data practices & misconfigured cloud systems continue to leak Facebook data to the internet. See how UpGuard…
Когда я вчера написал про очередную утечку учетных записей пользователей Facebook, у меня не было возможности внимательно изучить детали утечки. Там, напомню, шла речь о том, что на сервере AWS обнаружили базу на 540 миллионов записей с данными пользователей Facebook, но в реальности все оказалось не так плохо и не так трагично.
а) это не очередная лажа Facebook, в данном случае данные, лежащие на открытом бакете S3, принадлежали сторонней компании, приложения которой интегрировались с Facebook.
б) компания — Cultura Colectiva, медиа-компания из Мексики.
в) данные, которые входили в набор, содержали в себе имена пользователей Facebook, их комментарии, лайки и информацию об отношениях. Эти данные о пользователях формально являются публичными, и доступны всем пользователям, у которых есть доступ к Facebook.
г) проблема не столько в самом Facebook в данном случае, сколько в экосистеме приложений, которую Facebook плохо контролирует. Таких приложений масса, которые выкачивали и выкачивают из Facebook информацию о пользователях (раньше больше, сейчас Facebook немного прикрутил краник). Но ни пользователи, ни Facebook не знают, как эти компании собирают и хранят пользовательские данные, и как они обеспечивают их безопасность.
д) ну а UpGuard больше погналась за медиа-скандалом, раздувая это как огромную утечку.
Фарш, как известно, невозможно провернуть. Пользователям можно только посоветовать меньше связываться со сторонними приложениями и отдавать им свои данные, если закрыть аккаунт Facebook не вариант.
а) это не очередная лажа Facebook, в данном случае данные, лежащие на открытом бакете S3, принадлежали сторонней компании, приложения которой интегрировались с Facebook.
б) компания — Cultura Colectiva, медиа-компания из Мексики.
в) данные, которые входили в набор, содержали в себе имена пользователей Facebook, их комментарии, лайки и информацию об отношениях. Эти данные о пользователях формально являются публичными, и доступны всем пользователям, у которых есть доступ к Facebook.
г) проблема не столько в самом Facebook в данном случае, сколько в экосистеме приложений, которую Facebook плохо контролирует. Таких приложений масса, которые выкачивали и выкачивают из Facebook информацию о пользователях (раньше больше, сейчас Facebook немного прикрутил краник). Но ни пользователи, ни Facebook не знают, как эти компании собирают и хранят пользовательские данные, и как они обеспечивают их безопасность.
д) ну а UpGuard больше погналась за медиа-скандалом, раздувая это как огромную утечку.
Фарш, как известно, невозможно провернуть. Пользователям можно только посоветовать меньше связываться со сторонними приложениями и отдавать им свои данные, если закрыть аккаунт Facebook не вариант.
Telegram
Информация опасносте
540 млн записей о юзерах ФБ в открытом доступе, да когда же это кончится???
https://www.upguard.com/breaches/facebook-user-data-leak
https://www.upguard.com/breaches/facebook-user-data-leak
Очень ироничная новость про компанию Xiaomi. У той на телефоне предустановлено неудаляемое приложение Guard Provider, которое должно обнаруживать вредоносное ПО. Вместо этого приложение ходило на свой сервер по незащищенному подключению, что, как известно, может окончиться не очень хорошо. Например, это могло позволить злоумышленникам, находясь в той же сети WiFi, создать атаку MITM (Man-in-the-middle), отключить защиту и делать дальше что угодно с телефоном: устанавливать вредоносное ПО, инструменты слежки и тд. Компания Check Point, обнаружившая эту уязвимость, сообщила о ней в Xiaomi, и компания выпустила обновление, исправляющее эту проблему.
https://research.checkpoint.com/vulnerability-in-xiaomi-pre-installed-security-app/
https://research.checkpoint.com/vulnerability-in-xiaomi-pre-installed-security-app/
Check Point Research
Vulnerability in Xiaomi Pre-Installed Security App - Check Point Research
Research by: Slava Makkaveev Smartphones usually come with pre-installed apps, some of which are useful and some that never get used at all. What a user does not expect, however, is for a preinstalled app to be an actual liability to their privacy and security.…
Говоря об исправленных уязвимостях. Тут вот Huawei тоже выкатил апдейт для своих ноутбуков MateBook, где исправлен драйвер, позволяющий создавать бесправным пользователям создавать процессы с правами суперпользователей.
Информация о том, как была обнаружена проблема, от Microsoft: https://www.microsoft.com/security/blog/2019/03/25/from-alert-to-driver-vulnerability-microsoft-defender-atp-investigation-unearths-privilege-escalation-flaw/
Описание проблемы у Ars https://arstechnica.com/gadgets/2019/03/how-microsoft-found-a-huawei-driver-that-opened-systems-up-to-attack/
Информация о том, как была обнаружена проблема, от Microsoft: https://www.microsoft.com/security/blog/2019/03/25/from-alert-to-driver-vulnerability-microsoft-defender-atp-investigation-unearths-privilege-escalation-flaw/
Описание проблемы у Ars https://arstechnica.com/gadgets/2019/03/how-microsoft-found-a-huawei-driver-that-opened-systems-up-to-attack/
Microsoft Security Blog
From alert to driver vulnerability: Microsoft Defender ATP investigation unearths privilege escalation flaw - Microsoft Security…
Our discovery of two privilege escalation vulnerabilities in a driver highlights the strength of Microsoft Defender ATP’s sensors. These sensors expose anomalous behavior and give SecOps personnel the intelligence and tools to investigate threats, as we did.
Вдогонку о вчерашней новости о том, как ЛК начала определять своим ПО инструменты шпионажа:
статья на русском об исследовании таких приложений-шпионов
https://securelist.ru/beware-of-stalkerware/93771/
Статья в Wired об активистке, которая в целом борется против такого ПО https://www.wired.com/story/eva-galperin-stalkerware-kaspersky-antivirus/
статья на русском об исследовании таких приложений-шпионов
https://securelist.ru/beware-of-stalkerware/93771/
Статья в Wired об активистке, которая в целом борется против такого ПО https://www.wired.com/story/eva-galperin-stalkerware-kaspersky-antivirus/
securelist.ru
Stalkerware: средства повседневного шпионажа
Может показаться, что шпионские программы – это что-то из голливудских фильмов, однако коммерческие версии таких программ (т.н. stalkerware) являются реальностью.
А еще про полумиллиардные утечки. Исследователи обнаружили за первые три месяца этого года около 590 миллионов резюме, утекших через незащищенные базы MongDB и ElasticSearch:
https://www.zdnet.com/article/chinese-companies-have-leaked-over-590-million-resumes-via-open-databases/
https://www.zdnet.com/article/chinese-companies-have-leaked-over-590-million-resumes-via-open-databases/
ZDNet
Chinese companies have leaked over 590 million resumes via open databases
Leaks have taken place in the first three months of the year, via either ElasticSearch or MongoDB databases.
И немного крипоты на закуску. Сюжет о компании, которая разработала бейдж сотрудника, который может мониторить разговоры сотрудников, движения и перемещение по офису. Информация, собираемая бейджем, интегрируется с календарями и почтой сотрудников. Компания, разрабатывающая эти бейджи, рассказывает, что это для “улучшения производительности сотрудников”, но наверняка какие-то работодатели захотят использовать это и для более тщательного наблюдения за сотрудниками. Где заканчиваются права работодателя, который платит зарплату за работу, и начинается прайваси сотрудника, сказать сложно.
https://twitter.com/TheEconomist/status/1112778211262332928
https://twitter.com/TheEconomist/status/1112778211262332928
Twitter
The Economist
A technology company has created an electronic badge that can monitor workers’ conversations, posture and even time spent in the toilet. This type of office surveillance raises concerns about workers’ rights and privacy https://t.co/q38PoYn9A9
Наверно, новость дня — это утечка базы данных пациентов подмосковной скорой помощи
https://www.rbc.ru/society/09/04/2019/5cac54129a7947344a0f4e3f
И интересный анализ этой “утечки” на Пикабу(!)
https://pikabu.ru/story/mamkinyi_khakeryi_na_strazhe_nezalezhnosti_6629474
https://www.rbc.ru/society/09/04/2019/5cac54129a7947344a0f4e3f
И интересный анализ этой “утечки” на Пикабу(!)
https://pikabu.ru/story/mamkinyi_khakeryi_na_strazhe_nezalezhnosti_6629474
РБК
В Сети появилась база данных пациентов подмосковной скорой помощи
В открытом доступе в интернете появилась база данных пациентов скорой помощи нескольких подмосковных городов. Из нее можно узнать имена, адреса и телефоны, а также о состоянии здоровья обратившихся к врачам