Если вы пользовались клиентом Origin от Electronic Arts, рекомендуется обновиться до последней версии. EA исправили критическую уязвимость, которая могла привести к исполнению вредоносного кода на компьютере. Уязвимость затрагивает версию Origin для Windows, и связана с собственным форматом URL, который использует клиентское приложение origin://
https://techcrunch.com/2019/04/16/ea-origin-bug-exposed-hackers/

Отличный материал у New York Times о том, как полиция использует специальную базу Sensorvault у Google для слежки за местоположением пользователей. По словам сотрудников компании, впервые такое использование началось в 2016 году, и в этом году компания получала до 180 запросов в неделю. Если вкратце, то схема такая:
– полиция приходит с ордером, запрашивая определенное местоположение и время (расследуя определенное преступление)
– Google выдает информацию о том, какие устройства находились в указанном времени и месте
– полиция изучает полученные данные и определяет, какие устройства могут относиться к совершенному преступлению
– определив несколько конкретных устройств, полиция запрашивает (и получает) информацию об имени пользователей и другую информацию, включая адрес электронной почты и имя. (впоследствии могут запрашивать и информацию о дальнейшем перемещении устройств).

Интересно, что в базе Google будут как пользователи Android, так и пользователи iOS-устройств, у которых установлены приложения Google, и/или которые пользовались другими сервисами Google (поиск, например). Так что Apple, хоть и декларирует свой подход в борьбе за конфиденциальность пользовательских данных, не может в данном случае контролировать то, какие данные из приложений попадают в Google и каким образом они затем используются. Может, Apple могла бы отказаться от 10 млрд долл в год, которые Google платит за право быть поисковиком по умолчанию в iOS?
https://www.nytimes.com/interactive/2019/04/13/us/google-location-tracking-police.html

Пользователям Evernote для Мак рекомендуется убедиться, что их приложение обновилось до последней версии. В приложении была исправлена уязвимость, позволявшая исполнение вредоносного кода на компьютере жертвы:
https://www.inputzero.io/2019/04/evernote-cve-2019-10038.html

У систем удаленного управления некоторыми функциями автомобилей (обогрев салона, открытие-закрытие дверей, контроль сигнализации, и тд) MyCar обнаружили лажу — в мобильном приложении были прошиты логин-пароль для работы с системой. Они могли быть использованы вместо пользовательских логина и пароля для подключения к автомобилю и активации вышеуказанных функций кем-то вместо владельца автомобиля. Удобно!
https://kb.cert.org/vuls/id/174715/

Покупаете детям умные часы для мониторинга детей? Будьте готовы к тому, что кроме вас, их могут мониторить и другие люди, в том числе получать информацию об их местоположении и даже подслушивать их разговоры. Об этом узнала компания Tic Toc Track, продающая подобные часы под своим брендом. А на самом деле они продавали чужие часы Gator Kids GPS watch с незащищенной системой, позволявшей злоумышленникам наблюдать за чужими детьми.
https://www.pentestpartners.com/security-blog/tic-toc-pwned/
https://www.pentestpartners.com/security-blog/tracking-and-snooping-on-a-million-kids/

Взлом крупного аутсорсера Wipro, через сеть которого впоследствии были организованы атаки на клиентов компании
https://krebsonsecurity.com/2019/04/experts-breach-at-it-outsourcing-giant-wipro/

Свежие апдейты про Facebook

Я несколько дней назад писал о том, как Facebook при создании новой учетной записи в социальной сети требовал для проверки пользователей адрес электронной почты и заодно пароль от этого адреса, чтобы провести некую автоматическую проверку. У меня было тогда подозрение, что этим все не ограничится, и действительно, оказалось, что пароль это было только начало. Потому что дальше Facebook без запроса разрешения пользователя загружал адресную книгу пользователей себе на сервер. Business Insider запросили подтверждение у Facebook, и компания признала, что действительно "случайно" загрузила данные адресных книг 1,5 млн пользователей, и теперь собирается удалить эти данные.
https://www.businessinsider.in/Facebook-says-it-unintentionally-uploaded-1-5-million-peoples-email-contacts-without-their-consent/articleshow/68930320.cms


Еще один follow-up к истории про Facebook из марта, когда компания обнаружила в служебных файлах данные 600 млн паролей пользователей. Тогда шла речь о том, что среди этих паролей также "завалялись" пароли десятков тысяч пользователей Instagram. Сегодня у поста появилось обновление:

Update on April 18, 2019 at 7AM PT: Since this post was published, we discovered additional logs of Instagram passwords being stored in a readable format. We now estimate that this issue impacted millions of Instagram users. We will be notifying these users as we did the others. Our investigation has determined that these stored passwords were not internally abused or improperly accessed).

"Ой, кстати, мы тут еще обнаружили дополнительные файлы, и там оказались логи с паролями миллионов пользователей Instagram, которым теперь придет письмо счастья от Facebook об этом". Компания утверждает, что эти файлы те, кому не нужно, не видели, и ими никто не злоупотреблял. Я в конце прошлого года для одного подкаста давал комментарий с прогнозом, что там нам светит в 2019 году, и я сказал, что мы будем наблюдать еще больше новостей про Facebook. Кажется, я не ошибся. Отдельный бонус за публикацию этой новости апдейтом к посту месячной давности, в день, когда вся Америка обсуждает совсем другую тему. Эксперты по заметанию мусора под ковер.
https://newsroom.fb.com/news/2019/03/keeping-passwords-secure/


Мегастатья в Wired о периоде в полтора года в Facebook. 12 тысяч слов, и я рекомендую её почитать, если позволяет английский. (я бегло погуглил и не нашел перевода на русский, но если кто-то найдет — пришлите ссылку, я добавлю). Статья написана на основе интервью с десятками текущих и бывших сотрудников компании, и рассказывает о внутренней кухне компании, о конфликтах между топ-менеджерами, о решениях, касающихся конфиденциальности данных пользователей, о том, почему ушли основатели Instagram, и еще много чего интересного о жизни в Facebook. Запаситесь попкорном, пивом и не пожалейте пару часов на то, чтобы почитать эту статью.
https://www.wired.com/story/facebook-mark-zuckerberg-15-months-of-fresh-hell/

Топ 20 самых используемых паролей (по версии HIBP)

123456 (23.2m)

123456789 (7.7m)

qwerty (3.8m)

password (3.6m)

1111111 (3.1m)

12345678 (2.9m)

abc123 (2.8m)

1234567 (2.5m)

password1 (2.4m)

12345 (2.3m)

1234567890 (2.2m)

123123 (2.2 m)

000000 (1.9m)

Iloveyou (1.6m)

1234 (1.3m)

1q2w3e4r5t (1.2m)

Qwertyuiop (1.1m)

123 (1.02m)

Monkey (980, 209)

Dragon (968,625)

Прекрасная по своей трагичности история про студента, который использовал устройство USB killer (флешка, которая вставляется в USB-порт, и приводит к преждевременной смерти компьютера) для того, чтобы нанести вред колледже, в котором он учился. Он воткнул флешку в 66 компьютеров на кампусе, и наверняка получил от этого какое-то удовлетворение. Вреда на 58 тыс долларов, а штраф светит до 250 тыс долларов, плюс еще до 10 лет тюрьмы. Мотивация такого поступка что-то не очень ясна.
Тут можно почитать больше про эти самые USB Killer
https://arstechnica.com/information-technology/2015/10/usb-killer-flash-drive-can-fry-your-computers-innards-in-seconds/
О признании вины студента
https://www.justice.gov/usao-ndny/pr/former-student-pleads-guilty-destroying-computers-college-st-rose

Помните WannaCry? ((если не помните, то можно освежить память поиском по каналу запросами WCry, WannaCry, WannaCrypt, ETERNALBLUE). Короче, страшный вирус-вымогатель, эпидемию которого удалось остановить только благодаря тому, что в коде нашли незарегистрированный домен для kill-switch.

Герой, который остановил эту эпидемию — Marcus Hutchins, британский исследователь, которого потом неожиданно арестовали в Лас Вегасе на конференции Def Con в 2017 году. В итоге оказалось, что он в свое время написал ПО для воровства данных к банковским учетным записям. На прошлой неделе он признал свою вину по двум инцидентам, и теперь ему светит до 5 лет тюрьмы за каждый инцидент, и до 250 тыс долларов штрафа. Забавно, что после этого в infosec-сообществе развернулось бурное обсуждение на тему “кто из нас в детстве не был хакером, взламывающим банки”, но, кажется, все остались при своем мнении (и со своими скелетами в шкафах).
https://www.malwaretech.com/public-statement

О том, какие пароли не надо выбирать. Британский National Cyber Security Center проанализировали данные из утечек, хранящихся в Have I Been Pwned, и вот топ 10 самых популярных паролей оттуда
123456
123456789
qwerty
password
1111111
12345678
abc123
1234567
password1
12345
Рука, лицо, вот это все.

А вот список популярных вымышленных героев, имена которых используют в качестве паролей:
superman (333139)
naruto (242749)
tigger (237290)
pokemon (226947)
batman (203116)

По ссылке еще немножко паролей. В общем, гигиена паролей вас спасет!
https://www.ncsc.gov.uk/news/most-hacked-passwords-revealed-as-uk-cyber-survey-exposes-gaps-in-online-security

Французское правительство запустило мессенджер с оконечным шифрованием для конфиденциальной переписки между служащими правительства:
https://www.numerique.gouv.fr/espace-presse/lancement-de-tchap-la-messagerie-instantanee-des-agents-de-letat/
и в нем тут же обнаружили уязвимость, позволявшую зарегистрироваться в сервисе любому человеку:
https://twitter.com/fs0c131y/status/1118791420624687104

Из смешного. Апдейт прошивки к Nokia 9 PureView, у которой сканер отпечатков пальцев встроен в экран, улучшил функциональность распознавания отпечатков так, что разблокировать телефон можно было практически чем угодно.
https://www.zdnet.com/article/nokia-9-buggy-update-lets-anyone-bypass-fingerprint-scanner-with-a-pack-of-gum/

Утечка хакерских инструментов группировки APT34 (за ссылку спасибо читателю)
https://malware-research.org/apt34-hacking-tools-leak/

После небольшого затишья редакция возвращается в строй с коллекцией интересных ссылок из мира информационных опасностей.

Россиянам на заметку: материал от BBC о том, как продают ваши данные и доступ к ним.
"В России расцвел нелегальный рынок "онлайн-пробива", на котором можно за скромные деньги получить данные о перемещениях по городу по сигналу мобильного, детализацию телефонных разговоров или кодовое слово от банковской карты. Для эксперимента корреспондент Би-би-си купил актуальные персональные данные на себя и родственницу."
https://www.bbc.com/russian/features-48037582

В пятницу Docker Hub объявил о взломе и утечке данных на 190 тыс пользовательских записей (менее 5% от общего количества пользователей), включая логины, хешированные пароли, и токены доступа к GitHub и Bitbucket. Пользователям рекомендуется сменить пароли в Docker Hub, и переподключить их к репозитория, так как токены были отозваны. Также стоит проверить логи в Github и Bitbucket на предмет несанционированного доступа.
https://www.zdnet.com/article/docker-hub-hack-exposed-data-of-190000-users

Полезные советы от ЛК по хоть каким-то усилиям, которые могут предпринять пользователи по улучшению безопасности своих данных.
"Крупные утечки данных, темные личности, копающиеся в лентах соцсетей, вездесущие рекламщики, отслеживающие каждый шаг пользователей в цифровом мире, — может показаться, что конфиденциальности в Интернете просто не существует. На самом деле все не так плохо: у нас все же есть возможность контролировать наши данные и не делиться ими с кем попало. Вот несколько советов, которые в этом помогут."
https://www.kaspersky.ru/blog/privacy-ten-tips-2018/

Материал в Motherboard, которые в последнее время радуют очень интересными исследованиями, о том, как хакер получил доступ к системам GPS слежения, позволяющими наблюдать за перемещением автомобилей. Некоторые системы даже позволяют удаленно отключить двигатель автомобилю, который находится в движении (на небольшой скорости). Речь идет о сервисах iTrack и ProTrack, которые предоставляют свои услуги коммерческим организациям для мониторинга и управления парком автомобилей. Доступ был получен перебором логинов и паролей через API сервисов, и пострадали как раз те учетные записи, которые используют слабые пароли или пароли, уже замеченные в других утечках.
https://motherboard.vice.com/en_us/article/zmpx4x/hacker-monitor-cars-kill-engine-gps-tracking-apps

Помните историю про ASUS, у которых взломали сервер апдейтов, и размещали на сервере вредоносный сайт с бэкдором? На прошлой неделе ЛК опубликовали дополнительный материал о том, кто и зачем это делал.
https://www.kaspersky.ru/blog/details-shadow-hammer/22657/?es_p=9132446
https://securelist.com/operation-shadowhammer-a-high-profile-supply-chain-attack/90380/

Исследователи Sigital Citizens Alliance (DCA) и Dark Wolfe Consulting изучили 6 популярных устройств для трансляции пиратских фильмов и сериалов через интернет. Сюрприз, сюрприз. Оказалось, что эти устройства кишат вредоносными приложениями, которые умеют: отправлять данные беспроводной сети куда-то на удаленной сервер, сканировать сеть и передавать данные из нее, фишить аккаунты Netflix, и тд.
Отчет по ссылке: https://www.digitalcitizensalliance.org/clientuploads/directory/Reports/DCA_Fishing_in_the_Piracy_Stream_v6.pdf