бага в приложении Twitter позволяла сервису случайно собирать информацию о местоположении пользователя (которая впоследствии передавалась партнеру компании). Затрагивает пользователей, у которых больше одного аккаунта в приложении Twitter для iOS. Пишут, что партнер данные не использовал и удалял их.
https://help.twitter.com/en/location-data-collection
https://help.twitter.com/en/location-data-collection
Twitter
A bug impacting collection and sharing of location data on iOS devices
А) плохие новости: обнаружена серьезная уязвимость в WhatsApp, позволявшая злоумышленникам установить шпионское ПО на смартфоны iOS и Android
https://m.facebook.com/security/advisories/cve-2019-3568
Б) Хорошие новости в том, что уязвимость исправлена, поэтому всем рекомендуется обновиться на последнюю версию приложения (если она не установилась автоматически).
В) шпионское ПО, по всей видимости, было от израильской компании NSO Group, и применялось для таргетирования совершенно конкретных людей (в частности, юриста, который участвует в иске против NSO).
Г) примечательно, что для заражения телефона достаточно было позвонить на номер телефоны жертвы. На звонок было даже необязательно отвечать.
Первоисточник (пейволл) https://on.ft.com/2VAo02o
https://m.facebook.com/security/advisories/cve-2019-3568
Б) Хорошие новости в том, что уязвимость исправлена, поэтому всем рекомендуется обновиться на последнюю версию приложения (если она не установилась автоматически).
В) шпионское ПО, по всей видимости, было от израильской компании NSO Group, и применялось для таргетирования совершенно конкретных людей (в частности, юриста, который участвует в иске против NSO).
Г) примечательно, что для заражения телефона достаточно было позвонить на номер телефоны жертвы. На звонок было даже необязательно отвечать.
Первоисточник (пейволл) https://on.ft.com/2VAo02o
Ft
WhatsApp voice calls used to inject Israeli spyware on phones
Messaging app discovers vulnerability that has been open for weeks
Немного дополнений про историю с WhatsApp. Говорят, что последние попытки эксплуатации этой уязвимости были зарегистрированы еще даже вчера, так что эксплуатация была весьма активной. Правда, 99.9% пользователей переживать не стоит, потому что все было очень таргетировано против определенных целех.
В разговорах с экспертами они пока что озадачены, в частности, отсутствием технических деталей, поэтому не понятно, что именно и как эксплуатировалось, и где устанавливалось вредоносное ПО. В любом случае, эта история подчеркивает, что желательно обновлять приложения и операционные системы как можно скорее. Вон там, например, список фиксов из iOS 12.3, вышедшей вчера (https://support.apple.com/en-us/HT210118) — тоже хватает интересных вещей. Например, ходят слухи, что исправили некоторые вещи, позволявшие устройствам GrayShift выгружать данные с айфонов. It never ends 🙂
В разговорах с экспертами они пока что озадачены, в частности, отсутствием технических деталей, поэтому не понятно, что именно и как эксплуатировалось, и где устанавливалось вредоносное ПО. В любом случае, эта история подчеркивает, что желательно обновлять приложения и операционные системы как можно скорее. Вон там, например, список фиксов из iOS 12.3, вышедшей вчера (https://support.apple.com/en-us/HT210118) — тоже хватает интересных вещей. Например, ходят слухи, что исправили некоторые вещи, позволявшие устройствам GrayShift выгружать данные с айфонов. It never ends 🙂
Apple Support
About the security content of iOS 12.3
This document describes the security content of iOS 12.3.
В этом вашем интернете вообще нельзя ни шагу сделать, чтобы какие-то очередные мудаки не стали использовать данные не так, как предполагалось. Есть такой стартап Ever, обещающий пользователям няшные альбомчики из фотографий, которые пользователь в этот сервис закачает. И что? Конечно же, оказалось, что эти прекрачные люди использовали данные для тренировки своих систем распознавания лиц. А затем эти алгоритмы распознавания собирались продавать частным компаниями, правоохранительным органам и военным ведомствам. Речь не идет, к счастью, о продаже прям данных конкретных людей, но c учетом того, как завуалированно это было описано в EULA, осадочек остается еще огого какой. Пользователи, в общем, ни сном, ни духом не ведали, что их приложения собирались использовать для обучения алгоритмов, которые потом могут быть использованы в военных или полицейских целях. Когда продукт бесплатен, то в продукт превращается пользователь. https://www.nbcnews.com/tech/security/millions-people-uploaded-photos-ever-app-then-company-used-them-n1003371
NBC News
Millions of people uploaded photos to the Ever app. Then the company used them to develop facial recognition tools.
“The app developers were not clear about their intentions," one Ever user said. "I believe it’s a huge invasion of privacy.”
===== РЕКЛАМА ======
Курс по анонимности и безопасности в сети
Канал с топовым курсом по анонимности и безопасности в сети. Ловушки для хакеров, маскировка данных, экстренное уничтожение информации, искусство анонимности, обход любой цензуры - все это для вас абсолютно бесплатно.
ВИДЕО+ТЕКСТ
Язык русский (+English)
2019 год
👉🏿 Ссылка
https://t.me/joinchat/AAAAAEbakFlT976E_5B7IQ
===== РЕКЛАМА ======
Курс по анонимности и безопасности в сети
Канал с топовым курсом по анонимности и безопасности в сети. Ловушки для хакеров, маскировка данных, экстренное уничтожение информации, искусство анонимности, обход любой цензуры - все это для вас абсолютно бесплатно.
ВИДЕО+ТЕКСТ
Язык русский (+English)
2019 год
👉🏿 Ссылка
https://t.me/joinchat/AAAAAEbakFlT976E_5B7IQ
===== РЕКЛАМА ======
Алярма, котаны! Тут в Windows обнаружилась весьма неприятная уязвимость (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708), потребовавшая срочных апдейтов для старых версий Windows, включая XP! Уязвимость в Remote Desktop Services, не требует никаких действий от пользователя. Специально подготовленный запрос через RDP приводит к удаленному исполнению кода, в результате чего злоумышленники могут просматривать и удалять данные, и создавать учетные записи с полными правами.При этом, как предупреждает Microsoft, вредоносный код, эксплуатирующий уязвимость, может распространяться примерно как это делал WannaCry, от компьютера к компьютеру. Так что дырка серьезная, и Microsoft призывает патчиться как можно скорее.
Дополнительная инфа и ссылки на апдейты тут
https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/
Дополнительная инфа и ссылки на апдейты тут
https://blogs.technet.microsoft.com/msrc/2019/05/14/prevent-a-worm-by-updating-remote-desktop-services-cve-2019-0708/
АНАРХИЯ, ВСЕМ ДАННЫЕ, КОТАНЫ!
Роскомнадзор проверил информацию об обнаружении в информационных системах госорганов 360 тысяч записей с личными данными россиян. Об этом сообщается на сайте ведомства. Среди записей в том числе были данные бывших вице-премьеров Анатолия Чубайса и Аркадия Дворковича.
Согласно ответу ведомства, такое опубликование персональных данных «попадает под правовые основания, предусмотренные статьёй 6 Федерального закона „О персональных данных“».
https://tjournal.ru/tech/97259-roskomnadzor-ne-uvidel-narusheniya-zakona-v-publikacii-dannyh-360-tysyach-polzovateley-na-gossaytah
Роскомнадзор проверил информацию об обнаружении в информационных системах госорганов 360 тысяч записей с личными данными россиян. Об этом сообщается на сайте ведомства. Среди записей в том числе были данные бывших вице-премьеров Анатолия Чубайса и Аркадия Дворковича.
Согласно ответу ведомства, такое опубликование персональных данных «попадает под правовые основания, предусмотренные статьёй 6 Федерального закона „О персональных данных“».
https://tjournal.ru/tech/97259-roskomnadzor-ne-uvidel-narusheniya-zakona-v-publikacii-dannyh-360-tysyach-polzovateley-na-gossaytah
Роскомнадзор
Роскомнадзор
Сегодня прям какой-то день АЛЯРМОВ. Обнаружен новый набор уязвимостей в процессорах Intel (выпущенных, начиная с 2011 года), похожих на Meltdown/Spectre, эксплуатирующих “слабость” предположительных вычислений в современных процессорах. Новая атака называется ZombieLoad и состоит из 4 отдельных багов. Суть, как я понял, заключается в том, что специально подготовленный код позволяет заставить процессор выдать данные из других приложений. Проблема затрагивает как персональные компьютеры, так и виртуальные машины в облаке, где в результате атаки можно получить доступ к данным из других виртуальных машин. На данный момент следов реальных атак не было зафиксировано, но это не значит, что их не было. Для обычных пользователей это означает, что какое-то вредоносное ПО, установленное на компьютер, может запустить такую атаку и перехватить из процессора конфиденциальную информацию. Intel выпустила апдейт микрокода процессора, который, по словам представителя компании, может привести к снижению производительности персональных компьютеров до 3%, а компьютеров в облачных датацентрах — до 9%.
Ссылки по теме:
Информация об атаке https://zombieloadattack.com
Производители компьютеров выпускают апдейты:
Apple выпустила 10.14.5, что предотвращает атаку через Safari. Для желающих защититься полностью от подобных угроз, в этом апдейте добавили также возможность полного отключения Hyper-Threading в процессоре, но это приведет к снижению производительности компьютеров на 40%
https://support.apple.com/en-gb/HT210108
Google выпустила обновление для устройств Android на процессорах Intel
https://support.google.com/faqs/answer/9330250
Обновление для датацентров Google
https://support.google.com/faqs/answer/9330250
Обновление для компьютеров с Windows
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv190013
https://support.microsoft.com/en-us/help/4093836/summary-of-intel-microcode-updates
https://support.microsoft.com/en-us/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in
Amazon обновила AWS
https://aws.amazon.com/security/security-bulletins/AWS-2019-004/
#КАКСТРАШНОЖИТЬ
Ссылки по теме:
Информация об атаке https://zombieloadattack.com
Производители компьютеров выпускают апдейты:
Apple выпустила 10.14.5, что предотвращает атаку через Safari. Для желающих защититься полностью от подобных угроз, в этом апдейте добавили также возможность полного отключения Hyper-Threading в процессоре, но это приведет к снижению производительности компьютеров на 40%
https://support.apple.com/en-gb/HT210108
Google выпустила обновление для устройств Android на процессорах Intel
https://support.google.com/faqs/answer/9330250
Обновление для датацентров Google
https://support.google.com/faqs/answer/9330250
Обновление для компьютеров с Windows
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv190013
https://support.microsoft.com/en-us/help/4093836/summary-of-intel-microcode-updates
https://support.microsoft.com/en-us/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in
Amazon обновила AWS
https://aws.amazon.com/security/security-bulletins/AWS-2019-004/
#КАКСТРАШНОЖИТЬ
Apple Support
How to enable full mitigation for Microarchitectural Data Sampling (MDS) vulnerabilities
This option is available for macOS Mojave, High Sierra, and Sierra after installing security updates.
список уязвимостей в различных приложениях и операционных системах, которые были обнаружены "в естественной среде", так сказать, и использовались в реальных атаках. Список собирает Google в рамках Project Zero.
https://docs.google.com/spreadsheets/d/1lkNJ0uQwbeC1ZTRrxdtuPLCIl7mlUreoKfSIgajnSyY/htmlview?sle=true#
https://docs.google.com/spreadsheets/d/1lkNJ0uQwbeC1ZTRrxdtuPLCIl7mlUreoKfSIgajnSyY/htmlview?sle=true#
не все ключи безопасности одинаково полезны. некоторые ключи, которые раздавала Google — Titan Security Keys, используемые для двухфакторной аутентификации, оказались с уязвимым соединием Bluetooth. Теперь Google их бесплатно поменяет
https://security.googleblog.com/2019/05/titan-keys-update.html
https://security.googleblog.com/2019/05/titan-keys-update.html
Google Online Security Blog
Advisory: Security Issue with Bluetooth Low Energy (BLE) Titan Security Keys
Posted by Christiaan Brand, Product Manager, Google Cloud We’ve become aware of an issue that affects the Bluetooth Low Energy (BLE) vers...
В РАМКАХ ПЯТНИЦЫ
а помните, я пару дней назад писал об обнаруженной уязвимости в старых версиях Windows, да такой, что Microsoft выпустила апдейт даже для XP (https://t.me/alexmakus/2836)
Так вот, тут, похоже, шутники сделали красивый сайт по этому поводу, якобы предлагая утилиту, которая ищет непропатченные хосты и их имеет. Но, говорят, фейк, так что не верьте всему, что пишут в интернете
https://cve-2019-0708.com
а помните, я пару дней назад писал об обнаруженной уязвимости в старых версиях Windows, да такой, что Microsoft выпустила апдейт даже для XP (https://t.me/alexmakus/2836)
Так вот, тут, похоже, шутники сделали красивый сайт по этому поводу, якобы предлагая утилиту, которая ищет непропатченные хосты и их имеет. Но, говорят, фейк, так что не верьте всему, что пишут в интернете
https://cve-2019-0708.com
Telegram
Информация опасносте
Алярма, котаны! Тут в Windows обнаружилась весьма неприятная уязвимость (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708), потребовавшая срочных апдейтов для старых версий Windows, включая XP! Уязвимость в Remote Desktop Services…
а еще вот Stackoverflow немножко взломали
https://stackoverflow.blog/2019/05/16/security-update/
https://stackoverflow.blog/2019/05/16/security-update/
Немножко статистики о том, насколько полезно иметь хотя бы даже самый базовый уровень двухфакторной защиты:
Our research shows that simply adding a recovery phone number to your Google Account can block up to 100% of automated bots, 99% of bulk phishing attacks, and 66% of targeted attacks that occurred during our investigation.
https://security.googleblog.com/2019/05/new-research-how-effective-is-basic.html
Our research shows that simply adding a recovery phone number to your Google Account can block up to 100% of automated bots, 99% of bulk phishing attacks, and 66% of targeted attacks that occurred during our investigation.
https://security.googleblog.com/2019/05/new-research-how-effective-is-basic.html
Google Online Security Blog
New research: How effective is basic account hygiene at preventing hijacking
Posted by Kurt Thomas and Angelika Moscicki Every day, we protect users from hundreds of thousands of account hijacking attempts. Most at...
Правда, любители теорий заговоров наверняка скажут, что это Google специально такую информацию публикует, ведь ей просто хочется собрать побольше информации о пользователях, включая номера телефонов. И будут совершенно правы! Например, тут недавно обнаружилось, что Google активно парсит Gmail на предмет покупок, и собирает эти данные из приходящих писем
https://myaccount.google.com/purchases
Google утверждает, что не использует эту информацию для таргетирования рекламой, но кто ж ей теперь поверит? Причем удалить эту информацию не так-то просто (кликать по каждой можно реально задолбаться. И отключить этот парсинг и складывание покупок в отдельную страницу нельзя.
https://myaccount.google.com/purchases
Google утверждает, что не использует эту информацию для таргетирования рекламой, но кто ж ей теперь поверит? Причем удалить эту информацию не так-то просто (кликать по каждой можно реально задолбаться. И отключить этот парсинг и складывание покупок в отдельную страницу нельзя.
База данных пользователей Instagram c персональной контактной информацией пользователей оказалась доступной в интернете. Речь не об официальном сервере, а о сервере компании Chtrbox, которая занимается размещением рекламы в Инстаграмме среди всяких инфлюэнсеров и прочих создателей контента. Более 49 млн записей, каким-то образом собранной из профилей (Instagram официально блокирует такой сбор информации). никогда такого не было, и вот опять!
https://twitter.com/hak1mlukha
https://twitter.com/hak1mlukha
X (formerly Twitter)
Anurag Sen (@hak1mlukha) on X
| Security Researcher | | Privacy is a Myth |
| Secured 173+ Companies & Data Leaks |
| Secured 173+ Companies & Data Leaks |
Аукцион за компьютер с 6 вирусами. Вы удивитесь, сколько за него УЖЕ предлагают денег, а еще неделя аукциона. «Пффф, подумаешь, у бухгалтерши тети Маши на компьютере 136 вирусов, и ничего, работает»
https://thepersistenceofchaos.com/
https://thepersistenceofchaos.com/
The Persistence Of Chaos
"The Persistence Of Chaos" is the most dangerous art piece. This laptop, turned art, is filled with some of the worst malware known to man, and has caused over $90 billion worth of damage.
Google случайно хранила пароли некоторых пользователей G Suite в plain text в “инфраструктуре панели управления”, что, подозреваю, скорей всего, относится к логам. Пароли могли быть доступны сотрудникам Google или же злоумышленникам. Все это продолжалось с 2005 года. Вроде бы и ничего ужасного, но осадочек остается
https://cloud.google.com/blog/products/g-suite/notifying-administrators-about-unhashed-password-storage
https://cloud.google.com/blog/products/g-suite/notifying-administrators-about-unhashed-password-storage
Google Cloud Blog
Notifying Administrators About Unhashed Password Storage | Google Cloud Blog