не все ключи безопасности одинаково полезны. некоторые ключи, которые раздавала Google — Titan Security Keys, используемые для двухфакторной аутентификации, оказались с уязвимым соединием Bluetooth. Теперь Google их бесплатно поменяет
https://security.googleblog.com/2019/05/titan-keys-update.html

В РАМКАХ ПЯТНИЦЫ

а помните, я пару дней назад писал об обнаруженной уязвимости в старых версиях Windows, да такой, что Microsoft выпустила апдейт даже для XP (https://t.me/alexmakus/2836)

Так вот, тут, похоже, шутники сделали красивый сайт по этому поводу, якобы предлагая утилиту, которая ищет непропатченные хосты и их имеет. Но, говорят, фейк, так что не верьте всему, что пишут в интернете

https://cve-2019-0708.com

а еще вот Stackoverflow немножко взломали
https://stackoverflow.blog/2019/05/16/security-update/

Антивирус для телевизора, куда катится этот мир

Немножко статистики о том, насколько полезно иметь хотя бы даже самый базовый уровень двухфакторной защиты:

Our research shows that simply adding a recovery phone number to your Google Account can block up to 100% of automated bots, 99% of bulk phishing attacks, and 66% of targeted attacks that occurred during our investigation.

https://security.googleblog.com/2019/05/new-research-how-effective-is-basic.html

защита аппаратным ключом дает 100 к броне

Правда, любители теорий заговоров наверняка скажут, что это Google специально такую информацию публикует, ведь ей просто хочется собрать побольше информации о пользователях, включая номера телефонов. И будут совершенно правы! Например, тут недавно обнаружилось, что Google активно парсит Gmail на предмет покупок, и собирает эти данные из приходящих писем

https://myaccount.google.com/purchases

Google утверждает, что не использует эту информацию для таргетирования рекламой, но кто ж ей теперь поверит? Причем удалить эту информацию не так-то просто (кликать по каждой можно реально задолбаться. И отключить этот парсинг и складывание покупок в отдельную страницу нельзя.

База данных пользователей Instagram c персональной контактной информацией пользователей оказалась доступной в интернете. Речь не об официальном сервере, а о сервере компании Chtrbox, которая занимается размещением рекламы в Инстаграмме среди всяких инфлюэнсеров и прочих создателей контента. Более 49 млн записей, каким-то образом собранной из профилей (Instagram официально блокирует такой сбор информации). никогда такого не было, и вот опять!
https://twitter.com/hak1mlukha

Аукцион за компьютер с 6 вирусами. Вы удивитесь, сколько за него УЖЕ предлагают денег, а еще неделя аукциона. «Пффф, подумаешь, у бухгалтерши тети Маши на компьютере 136 вирусов, и ничего, работает»
https://thepersistenceofchaos.com/

Google случайно хранила пароли некоторых пользователей G Suite в plain text в “инфраструктуре панели управления”, что, подозреваю, скорей всего, относится к логам. Пароли могли быть доступны сотрудникам Google или же злоумышленникам. Все это продолжалось с 2005 года. Вроде бы и ничего ужасного, но осадочек остается
https://cloud.google.com/blog/products/g-suite/notifying-administrators-about-unhashed-password-storage

Известная исследователь(ка) SandboxEscaper (известная прежде всего тем, что выкладывает zero-day уязвимости для Windows, не уведомляя об этом Microsoft), strikes again! Local privelege escalation на Win 10, может быть портирована вплоть до XP, эксплуатирует дыру в Task Scheduler.
https://web.archive.org/web/20190522011933/https://github.com/SandboxEscaper/polarbearrepo/tree/master/bearlpe

я удивлен, что эта новость не набрала большего внимания в прессе, но тут The Intercept пишет, как Facebook передает мобильным операторам в разных странах данные о пользователях, которые компания собирает из мобильных приложений Facebook, Messenger, Instagram на iOS и Android. Статистика по использованию мобильных сетей и сетей WiFi, местоположение, интересы и тд.
https://theintercept.com/2019/05/20/facebook-data-phone-carriers-ads-credit-score/

Я просто оставлю это здесь
https://www.rbc.ru/technology_and_media/23/05/2019/5ce53a039a79471bde8de739

Читатель прислал ссылку на изучение некоторых недостатков портала ГосУслуги. К сожалению, подобное характерно для многих крупных сайтов, не только государственных, и не только в России
https://telegra.ph/Vnutrennie-dokumenty-portala-GosUslugi-okazalis-v-otkrytom-dostupe-05-23

ЗЫ к материалу есть смысл относиться несколько скептично, и есть альтернативные мнения по этому поводу
https://twitter.com/_paly4_/status/1131612012620996608?s=12

История о том, как сотрудники Snapchat использовали внутренний инструмент для просмотра данных пользователей сервиса, включая информацию о местоположении, номер телефона и адрес электронной почты.
https://www.vice.com/en_us/article/xwnva7/snapchat-employees-abused-data-access-spy-on-users-snaplion

Joomla опубликовала интересный постмортем о взломе инфраструктуры компании, в результате чего на одном из серверов был установлен криптомайнер. Пользовательские данные не пострадали
https://community.joomla.org/blogs/leadership/jed-server-security-incident-report.html

Всего лишь на прошлой неделе я публиковал заметку о том, как были обнаружены некие внутренние документы портала Госуслуг путём перебора идентификаторов документов в ссылке. Я еще тогда написал, что такое бывает часто, и не только в России (пусть даже в том конкретном случае речь шла о несекретных данных). И вот вдогонку новость о том, как банк First American, который осуществляет страхование права собственности при сделках по недвижимости, допустил похожую ошибку. Только в этот раз доступными были данные о номерах банковских счетов, водительские удостоверения и налоговые формы, номера социального страхования и многое другое, что представляет собой критические персональные данные о пользователях. Любой, зная УРЛ, мог без пароля, перебирая цифры в адресе, получать данные на пользователей. Речь идёт о 885 миллионах записях, уходящих в далекий 2003 год. Пока что речь идет о том, что данные были доступны, а вот воспользовался ли кто-то этой информацией, чтобы скачать её, неизвестно. Банк подтвердил, что начал расследование со своей стороны, чтобы проверить, не было ли подобного несанкционированного доступа.
https://krebsonsecurity.com/2019/05/first-american-financial-corp-leaked-hundreds-of-millions-of-title-insurance-records/

Интересная тема о фингерпринтинге смартфонов на базе данных гироскопа, акселлерометра и магнитометра. Apple подкрутила фикс для этого в iOS 12.3, в случае с Android там немного сложнее - часть моделей, которые проверили исследователи, подвержена атаке, часть нет. Google исследует проблему.
https://sensorid.cl.cam.ac.uk/

Статья из NYT, которую за последние несколько дней мне прислали неоднократно. Статья рассказывает о том, как американский город Балтимор страдает от хакерской атаки, которая использует вредоносное ПО, написанное на базе уязвимости EternalBlue. О которой мир узнал благодаря хакерам Shadow Brokers, опубликовавшим информацию о ней. Которая, в свою очередь, узнала об этом из утечки материалов NSA (правда, есть слухи, что уязвимость фигурировала и раньше, но это не суть). Суть статьи, в основном, в том, что “вот плохие NSA, которые сидели на этой уязвимости много лет, и не раскрывали её Microsoft”, и только после того, как инфа утекла, Microsoft начала делать фиксы. В общем-то, ничего нового (конечно, NSA будет зажимать такую инфу, у них работа такая. Процесс разглашения уязвимостей — дело секретное, мутное и вообще “Такая корова нужна самому”.). Меня же во всей этой истории удивило, что сейчас, два года спустя после утечки, после всех историй про вымогательские атаки, и после апдейтов Microsoft, есть компы, на которых нет нужных апдейтов. Так-то, конечно, можно винить NSA, но было бы неплохо для начала апдейты вовремя ставить.
https://www.nytimes.com/2019/05/25/us/nsa-hacking-tool-baltimore.html

а вот еще интересная статья. Washington Post опубликовали материал о том, как приложения для iPhone под покровом ночи стучат куда-то там на сервера и что-то там передают компаниям, о которых владелец телефона зачастую даже не слышал. “Айфон напичкан тысячами трекеров”, пишут журналисты. Забывая, правда, при этом уточнить, что большинство этих “трекеров” — это инструменты аналитики приложений, используемые разработчиками для анализа работы приложений и последующих улучшений этих приложений. Эти инструменты получают данные в анонимном виде, без персональной информации пользователя. Многие приложения, по сути, работающие с облачными сервисами, делают это, потому что это их единственный метод работы. Есть, конечно, и повод для беспокойства: многие приложения не раскрывают подобный сбор информации, и журналисты призывают как-то централизовать этот процесс, чтобы пользователь был лучше в курсе ситуации.

https://www.washingtonpost.com/technology/2019/05/28/its-middle-night-do-you-know-who-your-iphone-is-talking/

Но я вообще об этом хотел сказать немного в другом разрезе. Когда заходишь на сайте Washington Post для того, чтобы почитать эту статью, как минимум 25 внешних доменов передают какую-то информацию о пользователе, просматривающем эту статью, включая IP-адрес и другие уникальные идентификаторы. Обладая этой и другой информацией, вполне можно в итоге вычислить и конкретного пользователя, который читает эту статью (чтобы показать ему, разумеется, рекламу поэффективней).

https://twitter.com/pinboard/status/1133430057802915843