Ссылка от читателя о новой волне вредоносных расширений для Firefox
https://www.ghacks.net/2019/05/29/another-malware-wave-hit-the-mozilla-firefox-extensions-store/
(очень это невовремя, на волне новостей о том, что Google чтото там мутит с адблокерами в Chrome и клятвами пользователей навсегда перейти на Firefox)
https://www.ghacks.net/2019/05/29/another-malware-wave-hit-the-mozilla-firefox-extensions-store/
(очень это невовремя, на волне новостей о том, что Google чтото там мутит с адблокерами в Chrome и клятвами пользователей навсегда перейти на Firefox)
используйте голосовые помощники, говорили они. Это удобно и почти безопасно, говорили они. Тут вот наисследовали, что амазоноские Echo сохраняют данные о детях и их запросах к голосовому помощнику(це) Alexa даже после того, как родители начинают пытаться удалить данные (данные для рекламы лишними не бывают)
https://www.echokidsprivacy.com
https://www.echokidsprivacy.com
меня тут читатели пинают уже, что новости о взломе два дня как, а я еще ни разу о ней не написал. Виноват, да. Flipboard, новостной агрегатор и инструмент для шаринга новостей, сбросил всем пользоваелям (десятки миллионов человек) пароли, после того, как оказалось, что злоумышленники получали за последние 9 месяцев неоднократно доступ к системам сервиса (включая, как оказалось, и данные учетных записей пользователей)
https://about.flipboard.com/support-information-incident-May-2019/
https://about.flipboard.com/support-information-incident-May-2019/
а вот пользователи камер Theta360 (производитель компания Ricoh) могли узнать, что фотографии, снятые их камерами, включая те, что были отмечены как приватные, доступны в интернете кому угодно. Фотки заливаются в облако, предоставленное производителем, и вот оказалось, что база данных была доступна в сети без соответствующей защиты. Классика рубрики “никогда такого не было, и вот опять”
https://www.vpnmentor.com/blog/report-theta360-leak/
https://www.vpnmentor.com/blog/report-theta360-leak/
vpnMentor
Report: Theta360 Data Breach Leaks Millions of Private Photographs
vpnMentor's research team has discovered that Theta360 experienced a huge data breach.
Hacktivists from our research team, Noam Rotem and Ran Locar, found the breach in Theta360's
Hacktivists from our research team, Noam Rotem and Ran Locar, found the breach in Theta360's
Microsoft тут всячески призывает не затягивать с установкой апдейта против уязвимости в Remote Desktop Services (та самая CVE-2019-0708, для которой недавно вышел апдейт для Windows, включая XP). Microsoft говорит, что эксплойт существует и применяется (читательница канала даже присылала мне ссылку на proof of concept для эксплуатации уязвимости), поэтому ставьте апдейты, пока не началось! Говорят, что в сети насчитывается еще более 1 миллиона компьютеров, которые уязвимы к этой баге.
https://blogs.technet.microsoft.com/msrc/2019/05/30/a-reminder-to-update-your-systems-to-prevent-a-worm/
https://blogs.technet.microsoft.com/msrc/2019/05/30/a-reminder-to-update-your-systems-to-prevent-a-worm/
Британская разведка продолжает настаивать, что было бы неплохо добавить их джеймсовбондов в виде “пользователя-привидения” в зашифрованные протоколы переписки сообщениями для проследующей прослушки и мониторинга переписки. Открытое письмо, подписанное 47 компаниями и организациями (Apple, Google, WhatsApp, Tor, Microsoft) и массой экспертов по безопасности, призывает британскую разведку узбагоиться и не гневить богов инфосека, потому что это может привести и к проблемам систем аутентификации, и к непредсказуемым уязвимостям. Как будто утечки инструментов ЦРУ и NSA происходили в какой-то другой вселенной.
Ссылки по теме: статья о предложении разведки https://www.lawfareblog.com/principles-more-informed-exceptional-access-debate
само письмо с призывами https://regmedia.co.uk/2019/05/30/letter_to_gchq_ghost_user_cryptobusting_plan.pdf
Ссылки по теме: статья о предложении разведки https://www.lawfareblog.com/principles-more-informed-exceptional-access-debate
само письмо с призывами https://regmedia.co.uk/2019/05/30/letter_to_gchq_ghost_user_cryptobusting_plan.pdf
Default
Principles for a More Informed Exceptional Access Debate
This is part of a series of essays from the Crypto 2018 Workshop on Encryption and Surveillance.
In any discussion of cyber security, details matter.
In any discussion of cyber security, details matter.
Ссылка от читателя про RCE в nginx
https://twitter.com/alisaesage/status/1134400428899127296?s=19
Ещё интересное
Nginx web server security executive summary
- ~20 CVEs total since 2009
- just a handful of memory corruption RCE among them
- <3 PoCs in public (mostly directory traversal and similar)
- 0 security research / internals analysis publications
- 0 known exploits, public or private
https://twitter.com/alisaesage/status/1134400428899127296?s=19
Ещё интересное
Nginx web server security executive summary
- ~20 CVEs total since 2009
- just a handful of memory corruption RCE among them
- <3 PoCs in public (mostly directory traversal and similar)
- 0 security research / internals analysis publications
- 0 known exploits, public or private
Twitter
Alisa Esage Шевченко
Got teaser pics, too :P
A lawyer for Facebook argued in court Wednesday that the social media site’s users “have no expectation of privacy.”
According to Law360, Facebook attorney Orin Snyder made the comment while defending the company against a class-action lawsuit over the Cambridge Analytica scandal.
“There is no invasion of privacy at all, because there is no privacy,” Snyder said.
According to Law360, Facebook attorney Orin Snyder made the comment while defending the company against a class-action lawsuit over the Cambridge Analytica scandal.
“There is no invasion of privacy at all, because there is no privacy,” Snyder said.
https://tjournal.ru/news/100080-roskomnadzor-vnes-tinder-v-reestr-rasprostraniteley-informacii
По закону «Об информации, информационных технологиях и о защите информации» регистрация в данном реестре обязывает компанию хранить логи сообщений в течение полугода и предоставлять спецслужбам ключи для расшифровки сообщений.
Берегите свою переписку в тиндере! :)
По закону «Об информации, информационных технологиях и о защите информации» регистрация в данном реестре обязывает компанию хранить логи сообщений в течение полугода и предоставлять спецслужбам ключи для расшифровки сообщений.
Берегите свою переписку в тиндере! :)
ФСБ запросила ключи шифрования «Яндекс.Почта» и «Яндекс.Диск», но компания отказывается их передать: ключи могут дать доступ к паролям пользователей всей экосистемы «Яндекса». За аналогичный отказ ранее был заблокирован Telegram
https://www.rbc.ru/technology_and_media/04/06/2019/5cf50e139a79474f8ab5494b?from=from_main
И комментарий Яндекса по этому поводу
https://vc.ru/legal/70451-yandeks-otvetil-na-novosti-o-trebovanii-fsb-vydat-klyuchi-shifrovaniya-i-prizval-reshit-vopros-bez-narusheniya-privatnosti
https://www.rbc.ru/technology_and_media/04/06/2019/5cf50e139a79474f8ab5494b?from=from_main
И комментарий Яндекса по этому поводу
https://vc.ru/legal/70451-yandeks-otvetil-na-novosti-o-trebovanii-fsb-vydat-klyuchi-shifrovaniya-i-prizval-reshit-vopros-bez-narusheniya-privatnosti
РБК
ФСБ потребовала ключи шифрования переписки пользователей у «Яндекса»
ФСБ запросила ключи шифрования «Яндекс.Почта» и «Яндекс.Диск», но компания отказывается их передать: ключи могут дать доступ к паролям пользователей всей экосистемы «Яндекса». За аналогичный отказ
Я ещё в конце мая писал о том, что стало известно про взлом Flipboard (https://t.me/alexmakus/2863), но рассылка нотификаций у компании происходит очень медленно. Несколько читателей рисовало мне скриншоты уведомлений, полученных ими. А мне уведомление пришло только что. Не спешат они.
Telegram
Информация опасносте
меня тут читатели пинают уже, что новости о взломе два дня как, а я еще ни разу о ней не написал. Виноват, да. Flipboard, новостной агрегатор и инструмент для шаринга новостей, сбросил всем пользоваелям (десятки миллионов человек) пароли, после того, как…
По наводке читателя - халява! Год бесплатного семейного 1Password, без ввода данных карты https://1password.com/promo/canva/
1Password
This promotion has ended | 1Password
You can still try 1Password free for 14 days. Get the password manager that's trusted by millions.
конференция, поглощающая почти все мое время, вот-вот закончится, и мы перейдем к гораздо более регулярным апдейтам. а пока что вот вам интересный материал Google о Triada - вредоносном ПО для смартфонов Android, создатели которого нашли метод установки своего вируса еще во время разработки и производства телефона. Подрядчики производителя телефона становятся объектом атаки и таким образом Triada попадает в прошивку телефона, который затем уже приобретают счастливые пользователи
https://security.googleblog.com/2019/06/pha-family-highlights-triada.html
https://security.googleblog.com/2019/06/pha-family-highlights-triada.html
Google Online Security Blog
PHA Family Highlights: Triada
Posted by Lukasz Siewierski, Android Security & Privacy Team We continue our PHA family highlights series with the Triada family, whi...
кстати, вот еще она хорошая новость про то, как Microsoft сначала собрала базу фотографий на 10 млн штук (на ней тренировались системы распознавания лиц). Правда, оказалось, что Microsoft забыла спросить у людей, которые в эту базу попали, разрешения на использование их лица в базе. Короче, хорошая новость в том, что Microsoft базу удалила. опасносте везде
https://www.engadget.com/2019/06/06/microsoft-discreetly-wiped-its-massive-facial-recognition-databa/
https://www.engadget.com/2019/06/06/microsoft-discreetly-wiped-its-massive-facial-recognition-databa/
Engadget
Microsoft discreetly wiped its massive facial recognition database | Engadget
Microsoft has been vocal about its desire to properly regulate facial recognition technology.
Даже NSA (да, именно та NSA) призывает патчиться против CVE-2019-0708, она же известная как «BlueKeep». Можно, конечно, заподозрить подвох, но скорее они хотят избежать ещё одного скандала, как с WannaCry, когда используется утёкшая от них уязвимость
https://www.nsa.gov/News-Features/News-Stories/Article-View/Article/1865726/nsa-cybersecurity-advisory-patch-remote-desktop-services-on-legacy-versions-of/
https://www.nsa.gov/News-Features/News-Stories/Article-View/Article/1865726/nsa-cybersecurity-advisory-patch-remote-desktop-services-on-legacy-versions-of/
www.nsa.gov
News & Features
NSA News and Features
В открытом доступе оказались данные примерно 900 тысяч россиян — клиентов крупных банков РФ. Любой человек, получивший доступ утекшим в интернет базам, сможет узнать имена, телефоны, данные паспортов и места работы пострадавших из-за утечки клиентов банков. Базы были выложены в сети в конце мая, содержащиеся в них данные не новые — им несколько лет, но большое количество информации вполне актуально.
https://www.kommersant.ru/doc/3997757
https://www.kommersant.ru/doc/3997757