В России 5 мая вступило в силу постановление правительства, обязывающее мессенджеры идентифицировать пользователей по номеру телефона.
Теперь мессенджеры должны будут проверять номера, с помощью которых регистрируются пользователи, у операторов связи, посылая им соответствующий запрос. В ответ на него оператор должен в течение 20 минут подтвердить личность человека.
Если оператор не ответит или сведений не окажется в базе, мессенджер должен будет запретить пользователю посылать сообщения.
Если пользователь поменяет номер телефона, он должен будет пройти идентификацию повторно.
https://meduza.io/news/2019/05/05/v-rossii-vstupilo-v-silu-pravilo-identifikatsii-polzovateley-messendzherov-po-nomeru-telefona-na-eto-budet-davatsya-20-minut
Теперь мессенджеры должны будут проверять номера, с помощью которых регистрируются пользователи, у операторов связи, посылая им соответствующий запрос. В ответ на него оператор должен в течение 20 минут подтвердить личность человека.
Если оператор не ответит или сведений не окажется в базе, мессенджер должен будет запретить пользователю посылать сообщения.
Если пользователь поменяет номер телефона, он должен будет пройти идентификацию повторно.
https://meduza.io/news/2019/05/05/v-rossii-vstupilo-v-silu-pravilo-identifikatsii-polzovateley-messendzherov-po-nomeru-telefona-na-eto-budet-davatsya-20-minut
Meduza
В России вступило в силу правило идентификации пользователей мессенджеров по номеру телефона. На это будет даваться 20 минут
В России 5 мая вступило в силу постановление правительства, обязывающее мессенджеры идентифицировать пользователей по номеру телефона.
Сразу две хорошие новости, я отлучился на небольшой отпуск, и за это время ничего катастрофического не произошло! Если, например, не считать того, что из-за проблем с сертификатом у Firefox, что привело к тому, что уже установленные расширения не запускались, а новые не устанавливались. Те 2,5 пользователя Firefox, которые пострадали, уже знают, что проблема была исправлена:
https://bugzilla.mozilla.org/show_bug.cgi?id=1548973
https://blog.mozilla.org/addons/2019/05/04/update-regarding-add-ons-in-firefox/
https://bugzilla.mozilla.org/show_bug.cgi?id=1548973
https://blog.mozilla.org/addons/2019/05/04/update-regarding-add-ons-in-firefox/
bugzilla.mozilla.org
1548973 - (armagadd-on-2.0) [meta] All extensions disabled due to expiration of intermediate signing cert
RESOLVED (nobody) in Toolkit - Add-ons Manager. Last updated 2025-03-02.
А вот в китайском аналоге AWS — на облачной платформе Alibaba Cloud — обнаружилась база данных жителей из нескольких районов Пекина, которую собрали власти города с помощью системы распознавания лиц. “Умный город”, говорили они, “общественный транспорт вовремя”, говорили они, устанавливая камеры наблюдения. Только базу забыли закрыть паролем, и она лежала доступной для кого угодно в интернете. Elasticsearch, гигабайты данных, включая данные о распознавании сотен лиц за несколько месяцев. Базу обнаружил эксперт по кибербезопасности Джон Ветингтон, рассказавший об этом изданию TechCrunch.
https://techcrunch.com/2019/05/03/china-smart-city-exposed/
https://techcrunch.com/2019/05/03/china-smart-city-exposed/
TechCrunch
Security lapse exposed a Chinese smart city surveillance system | TechCrunch
Smart cities are designed to make life easier for their residents: better traffic management by clearing routes, making sure the public transport is
Компания 1Password, разработчик одноименного менеджера паролей, предлагает бесплатную версию своего приложения для журналистов. Нужно зарегистрироваться на странице, компания проверит статус зарегистрировавшегося как журналиста, и после этого зарегистрировавшийся получит бесплатную версию приложения.
https://blog.1password.com/world-press-freedom-day-1password-journalism/
https://blog.1password.com/world-press-freedom-day-1password-journalism/
1Password Blog
World Press Freedom Day: 1Password for Journalism | 1Password Blog
Going further to support journalists on World Press Freedom Day. Sign up for a free 1Password for Journalism account today.
Я на прошлой неделе публиковал новость от Bloomberg о том, что в сети Vodafone Italy был обнаружен бэкдор в оборудовании Huawei, и как чувствовал, дополнив ту заметку комментарием, что Bloomberg уже облажался с новостью про китайские чипы в серверах Apple и Amazon. В этот раз все оказалось примерно так же: “не миллион, а тысячу, и не выиграл, а проиграл”. Бэкдором, о котором писали в Vodafone, оказался диагностический telnet, торчащий в локальную сеть, пусть и захардкоженный, и незадокументированный. У The Register хороший материал по этому поводу:
https://www.theregister.co.uk/2019/04/30/huawei_enterprise_router_backdoor_is_telnet/
Поводов верить Bloomberg с IT-материалами все меньше и меньше. Они еще за чип в серверах Apple/Amazon не извинились.
https://www.theregister.co.uk/2019/04/30/huawei_enterprise_router_backdoor_is_telnet/
Поводов верить Bloomberg с IT-материалами все меньше и меньше. Они еще за чип в серверах Apple/Amazon не извинились.
Theregister
Oh dear. Secret Huawei enterprise router snoop 'backdoor' was Telnet service, sighs Vodafone
We all want to see hard proof of deliberate espionage. This is absolutely not it
Популярные устройства (видеокамеры, дверные звонки, радионяни) различных производителей из Китая (откуда ж еще) предоставляют доступ без авторизации, если злоумышленник будет перебирать серийные номера. Все устройства работают под управлением одного приложения для удаленного управления — iLnkP2P. При первом подключении владельцу нужно просканировать штрихкод на корпусе устройства или ввести серийный номер вручную. Это позволяет злоумышленникам просканировать набор серийных номеров, обнаружить активные устройства и подключиться к ним, используя логин и пароль по умолчанию.
И прекрасный домен для этой истории: https://hacked.camera
И прекрасный домен для этой истории: https://hacked.camera
hacked.camera
Security cameras vulnerable to hijacking
Millions of security cameras, baby monitors and "smart" doorbells let hackers spy on their owners.
Злодей захватывает репозитории с кодом в заложники и требует выкуп, угрожая удалением данных. Атаки происходят на сервисы GitHub, Bitbucket и GitLab, и механизм атак пока что не до конца понятен. Злоумышленник скачивает код, удаляет его на сервере и требует заплатить 0,1 биткойна за возврат кода.
https://www.zdnet.com/article/a-hacker-is-wiping-git-repositories-and-asking-for-a-ransom/
https://www.zdnet.com/article/a-hacker-is-wiping-git-repositories-and-asking-for-a-ransom/
ZDNET
A hacker is wiping Git repositories and asking for a ransom
Hacker threatens to release the code if victims don't pay in 10 days.
На Хабре заметка о том, что делают бесплатные VPN-провайдеры с пользовательскими данными. Я неоднократно говорил о том, что подписываясь на сервис VPN, вы должны хорошо понимать, какие именно услуги предоставляет провайдер и что происходит с данными, которые проходят через этого провайдера. Для ультра-гиков есть варианты разворачивания своих VPN-серверов, что ОК, если вам не нужны разные локации (можно поискать тут же в канале, или просто в интернете).
https://habr.com/ru/company/hidemy_name/blog/450416/
https://habr.com/ru/company/hidemy_name/blog/450416/
Хабр
Как условно-бесплатные VPN-провайдеры продают ваши данные
Привет, Хабр. Мы к вам с новостью: бесплатных VPN не бывает. Вы платите всегда — просмотром рекламы или собственными данными. Для апологетов базовой идеи об анонимности в интернете последний способ...
Уязвимость в утилите компьютеров Dell (DellSupportAssist), которая позволяла исполнять на компьютере код с админскими правами, и получить контроль над компьютером. Апдейт вышел еще 23 апреля, но не факт, что все пользователи установили апдейт. Утилита по умолчанию встроена во все компьютеры Dell с Windows, и пользовательского взаимодействия не требуется, но дополнительный уровень защиты обеспечивает тот факт, что злоумышленник должен быть уже в сети жертвы.
https://www.zdnet.com/article/dell-laptops-and-computers-vulnerable-to-remote-hijacks/
https://www.zdnet.com/article/dell-laptops-and-computers-vulnerable-to-remote-hijacks/
ZDNET
Dell laptops and computers vulnerable to remote hijacks
Another security flaw in a vendor's bloatware apps puts users at risk.
Очень много английским по белому от сооснователя Facebook о проблемах конфиденциальности пользовательских данных, конкуренции в сфере социальных сетей и почему компанию Facebook надо разделить, и вообще ввести регулирование цифровой отрасли в плане защиты конфиденциальной пользовательской информации
https://www.nytimes.com/2019/05/09/opinion/sunday/chris-hughes-facebook-zuckerberg.html
https://www.nytimes.com/2019/05/09/opinion/sunday/chris-hughes-facebook-zuckerberg.html
Nytimes
Opinion | It’s Time to Break Up Facebook (Published 2019)
Mark Zuckerberg is a good guy. But the company I helped him build is a threat to our economy and democracy.
Привет! Вы же соскучились после длинных выходных по новостям в этом канале? 🙂
Популярный китайский GPS-трекер, используемый другими компаниями под своими брендами для, например, мониторинга детей, пожилых людей, автомобилей, оказался с уязвимостями, позволяющими управлять им удаленно, получать данные о текущем местоположении и даже активировать встроенный микрофон для прослушивания происходящего вокруг трекера. НИКОГДА ТАКОГО НЕ БЫЛО, И ВОТ ОПЯТЬ!
https://fidusinfosec.com/exploiting-10000-devices-used-by-britains-most-vulnerable/
Популярный китайский GPS-трекер, используемый другими компаниями под своими брендами для, например, мониторинга детей, пожилых людей, автомобилей, оказался с уязвимостями, позволяющими управлять им удаленно, получать данные о текущем местоположении и даже активировать встроенный микрофон для прослушивания происходящего вокруг трекера. НИКОГДА ТАКОГО НЕ БЫЛО, И ВОТ ОПЯТЬ!
https://fidusinfosec.com/exploiting-10000-devices-used-by-britains-most-vulnerable/
www.wavenet.co.uk
Fidus Information Security
2nd February 2023 - Wavenet announced the acquisition of Fidus Information Security Limited.
😁1
Я понимаю, что пользователей Амазона тут не так много, но все же вам может быть интересно почитать о том, что компания Amazon собирает о своих пользователях в разных сервисах компании, которых великое множество. Как ни странно при таком количестве собираемой информации, многое из этого даже нельзя отключить
https://www.axios.com/what-amazon-knows-about-you-2df28404-b975-4bc8-b2da-ac702e601cf8.html
https://www.axios.com/what-amazon-knows-about-you-2df28404-b975-4bc8-b2da-ac702e601cf8.html
Axios
What Amazon knows about you
If you use it much, the online retailer may know more about you than any other company does.
Вообще считается, что называть устройство термином “невзламываемое” — плохая примета, но некоторые продолжают наступать на эти грабли. Вот создатели невзламываемой USB-флешки собрали денег на Кикстартере, а потом оказалось, что резервный пароль устройства легко можно перехватить, сканируя USB-трафик с устройства. МОЛОДЦЫ
https://www.pentestpartners.com/security-blog/eyedisk-hacking-the-unhackable-again/
https://www.pentestpartners.com/security-blog/eyedisk-hacking-the-unhackable-again/
Pentestpartners
eyeDisk. Hacking the unhackable. Again | Pen Test Partners
The story of the “unhackable” USB stick called eyeDisk. Teardown, analysis, and findings. Is it unhackable? TL;DR: Nope, it is very hackable.
дыра во всех смартфонах Samsung, позволяющая превратить их в неработающие устройства при запуске приложения, эксплуатирующего эту ошибку. Самсунг считает, что проблема не требует исправления.
https://medium.com/@fs0c131y/how-to-brick-all-samsung-phones-6aae4389bea
https://medium.com/@fs0c131y/how-to-brick-all-samsung-phones-6aae4389bea
Medium
How to brick all Samsung phones
Few months ago, I bought a Samsung phone in order to analyse it. After few hours I found an unprotected receiver in the ContainerAgent…
бага в приложении Twitter позволяла сервису случайно собирать информацию о местоположении пользователя (которая впоследствии передавалась партнеру компании). Затрагивает пользователей, у которых больше одного аккаунта в приложении Twitter для iOS. Пишут, что партнер данные не использовал и удалял их.
https://help.twitter.com/en/location-data-collection
https://help.twitter.com/en/location-data-collection
Twitter
A bug impacting collection and sharing of location data on iOS devices
А) плохие новости: обнаружена серьезная уязвимость в WhatsApp, позволявшая злоумышленникам установить шпионское ПО на смартфоны iOS и Android
https://m.facebook.com/security/advisories/cve-2019-3568
Б) Хорошие новости в том, что уязвимость исправлена, поэтому всем рекомендуется обновиться на последнюю версию приложения (если она не установилась автоматически).
В) шпионское ПО, по всей видимости, было от израильской компании NSO Group, и применялось для таргетирования совершенно конкретных людей (в частности, юриста, который участвует в иске против NSO).
Г) примечательно, что для заражения телефона достаточно было позвонить на номер телефоны жертвы. На звонок было даже необязательно отвечать.
Первоисточник (пейволл) https://on.ft.com/2VAo02o
https://m.facebook.com/security/advisories/cve-2019-3568
Б) Хорошие новости в том, что уязвимость исправлена, поэтому всем рекомендуется обновиться на последнюю версию приложения (если она не установилась автоматически).
В) шпионское ПО, по всей видимости, было от израильской компании NSO Group, и применялось для таргетирования совершенно конкретных людей (в частности, юриста, который участвует в иске против NSO).
Г) примечательно, что для заражения телефона достаточно было позвонить на номер телефоны жертвы. На звонок было даже необязательно отвечать.
Первоисточник (пейволл) https://on.ft.com/2VAo02o
Ft
WhatsApp voice calls used to inject Israeli spyware on phones
Messaging app discovers vulnerability that has been open for weeks
Немного дополнений про историю с WhatsApp. Говорят, что последние попытки эксплуатации этой уязвимости были зарегистрированы еще даже вчера, так что эксплуатация была весьма активной. Правда, 99.9% пользователей переживать не стоит, потому что все было очень таргетировано против определенных целех.
В разговорах с экспертами они пока что озадачены, в частности, отсутствием технических деталей, поэтому не понятно, что именно и как эксплуатировалось, и где устанавливалось вредоносное ПО. В любом случае, эта история подчеркивает, что желательно обновлять приложения и операционные системы как можно скорее. Вон там, например, список фиксов из iOS 12.3, вышедшей вчера (https://support.apple.com/en-us/HT210118) — тоже хватает интересных вещей. Например, ходят слухи, что исправили некоторые вещи, позволявшие устройствам GrayShift выгружать данные с айфонов. It never ends 🙂
В разговорах с экспертами они пока что озадачены, в частности, отсутствием технических деталей, поэтому не понятно, что именно и как эксплуатировалось, и где устанавливалось вредоносное ПО. В любом случае, эта история подчеркивает, что желательно обновлять приложения и операционные системы как можно скорее. Вон там, например, список фиксов из iOS 12.3, вышедшей вчера (https://support.apple.com/en-us/HT210118) — тоже хватает интересных вещей. Например, ходят слухи, что исправили некоторые вещи, позволявшие устройствам GrayShift выгружать данные с айфонов. It never ends 🙂
Apple Support
About the security content of iOS 12.3
This document describes the security content of iOS 12.3.