Ссылка от читателя про RCE в nginx
https://twitter.com/alisaesage/status/1134400428899127296?s=19

Ещё интересное
Nginx web server security executive summary

- ~20 CVEs total since 2009
- just a handful of memory corruption RCE among them
- <3 PoCs in public (mostly directory traversal and similar)
- 0 security research / internals analysis publications
- 0 known exploits, public or private

A lawyer for Facebook argued in court Wednesday that the social media site’s users “have no expectation of privacy.”

According to Law360, Facebook attorney Orin Snyder made the comment while defending the company against a class-action lawsuit over the Cambridge Analytica scandal.

“There is no invasion of privacy at all, because there is no privacy,” Snyder said.

Privacy’s dead, baby. Privacy’s dead.

Бля, тоже мне нашли эксперта по киберзащите, извините

https://tjournal.ru/news/100080-roskomnadzor-vnes-tinder-v-reestr-rasprostraniteley-informacii

По закону «Об информации, информационных технологиях и о защите информации» регистрация в данном реестре обязывает компанию хранить логи сообщений в течение полугода и предоставлять спецслужбам ключи для расшифровки сообщений.

Берегите свою переписку в тиндере! :)

ФСБ запросила ключи шифрования «Яндекс.Почта» и «Яндекс.Диск», но компания отказывается их передать: ключи могут дать доступ к паролям пользователей всей экосистемы «Яндекса». За аналогичный отказ ранее был заблокирован Telegram

https://www.rbc.ru/technology_and_media/04/06/2019/5cf50e139a79474f8ab5494b?from=from_main

И комментарий Яндекса по этому поводу

https://vc.ru/legal/70451-yandeks-otvetil-na-novosti-o-trebovanii-fsb-vydat-klyuchi-shifrovaniya-i-prizval-reshit-vopros-bez-narusheniya-privatnosti

Я ещё в конце мая писал о том, что стало известно про взлом Flipboard (https://t.me/alexmakus/2863), но рассылка нотификаций у компании происходит очень медленно. Несколько читателей рисовало мне скриншоты уведомлений, полученных ими. А мне уведомление пришло только что. Не спешат они.

По наводке читателя - халява! Год бесплатного семейного 1Password, без ввода данных карты https://1password.com/promo/canva/

конференция, поглощающая почти все мое время, вот-вот закончится, и мы перейдем к гораздо более регулярным апдейтам. а пока что вот вам интересный материал Google о Triada - вредоносном ПО для смартфонов Android, создатели которого нашли метод установки своего вируса еще во время разработки и производства телефона. Подрядчики производителя телефона становятся объектом атаки и таким образом Triada попадает в прошивку телефона, который затем уже приобретают счастливые пользователи
https://security.googleblog.com/2019/06/pha-family-highlights-triada.html

кстати, вот еще она хорошая новость про то, как Microsoft сначала собрала базу фотографий на 10 млн штук (на ней тренировались системы распознавания лиц). Правда, оказалось, что Microsoft забыла спросить у людей, которые в эту базу попали, разрешения на использование их лица в базе. Короче, хорошая новость в том, что Microsoft базу удалила. опасносте везде

https://www.engadget.com/2019/06/06/microsoft-discreetly-wiped-its-massive-facial-recognition-databa/

Даже NSA (да, именно та NSA) призывает патчиться против CVE-2019-0708, она же известная как «BlueKeep». Можно, конечно, заподозрить подвох, но скорее они хотят избежать ещё одного скандала, как с WannaCry, когда используется утёкшая от них уязвимость
https://www.nsa.gov/News-Features/News-Stories/Article-View/Article/1865726/nsa-cybersecurity-advisory-patch-remote-desktop-services-on-legacy-versions-of/

В открытом доступе оказались данные примерно 900 тысяч россиян — клиентов крупных банков РФ. Любой человек, получивший доступ утекшим в интернет базам, сможет узнать имена, телефоны, данные паспортов и места работы пострадавших из-за утечки клиентов банков. Базы были выложены в сети в конце мая, содержащиеся в них данные не новые — им несколько лет, но большое количество информации вполне актуально.
https://www.kommersant.ru/doc/3997757

Сегодня с утра ездил сдавать кровь на анализы. Чем это примечательно для тематики канала? Я сдавал их в лаборатории компании Quest Diagnostics, которая на прошлой неделе объявила о том, что взлом через инфраструктуру их партнера, принимавшего платежи, привел к утечке почти 12 миллионов пользовательских данных, включая информацию о банковских картах, и других персональных данных. Данные о результатах анализов не попали в утечку.

Подача уведомления в комиссию по ценным бумагам (видимо, в связи с тем, что подобная информация может существенно повлиять на стоимость акций компании) https://www.sec.gov/Archives/edgar/data/1022079/000094787119000415/ss138857_8k.htm?g8oi23jg43g

Показательно, что конкурент Quest Diagnostics, компания LabCorp тоже использовала этого подрядчика, и там тоже утекли данные на 7,7 миллиона пациентов, включая имена, адреса, даты рождения.
https://www.sec.gov/Archives/edgar/data/920148/000119312519165091/d757830d8k.htm

Дополнительная информация тут https://krebsonsecurity.com/2019/06/labcorp-7-7m-consumers-hit-in-collections-firm-breach/

И большой привет администраторам. В официальных рекомендациях Microsoft для обеспечения безопаности Windows 10 компания рекомендует избавляться от политики, которая требует периодической замены пароля:

Dropping the password-expiration policies that require periodic password changes.

Мол, люди существа слабые, когда их заставляешь регулярно менять пароли, эти пароли становятся более предсказуемыми и слабыми. Или их записывают на бумажку. или забывают. Смысла в этой политике нет, так как единственная защита, которую обеспечивает такая политика — это против того, что пароль утечет и будет использован исключительно в период его валидности. А если пароль не крадут, то делать его устаревшим нет смысла. Поэтому эта политика уходит из базовых рекомендаций и настроек системы.

Больше информации: https://blogs.technet.microsoft.com/secguide/2019/05/23/security-baseline-final-for-windows-10-v1903-and-windows-server-v1903/

Телеграм потерял куда-то написанный мною вчера драфт, а жаль. Драфт был о том, что взлому подверглась компания Perceptics. О которой вы, скорей всего, никогда не слышали. Зато наверняка слышали о US Customs and Border Protection, таможенно-пограничной службе США. Так вот, вчера CBP опубликовали заявление, что их подрядчик (собственно, компания Perceptics) подверглась компьютерной атаке, в результате которой были украдены “до 100 тысяч” фотографий людей и автомобилей, пересекавших границу США. Якобы речь идет о фотографиях одного конкретного пропускного пункта в одном месте. Ничего святого у этих злодеев, конечно.

забавное еще палево у CBP случилось. Официально агентство не сообщало, у какого именно подрядчика произошел взлом. Но документ, который федеральное агентство рассылало в СМИ, называлось “CBP Perceptics Public Statement”.

https://www.npr.org/2019/06/11/731551123/hackers-grabbed-security-camera-images-taken-at-border-crossing-cbp-says

в мае я писал о том, что появились несколько zero-days для Windows, которые обнаружила исследователь под ником SandboxEscaper. Вчера у Microsoft был patch tuesday, и вышли апдейты для системы и приложений компании. в апдейты входят фиксы 88 уязвимостей, 21 из которых — критические, включая 4, обнаруженные SandboxEscaper. Вся информация об апдейтах по ссылке ниже. Вы знаете, что делать

https://portal.msrc.microsoft.com/en-us/security-guidance

https://twitter.com/unix_root/status/1138372837486596096

АПД пишут, что уже исправлена уязвимость
https://github.com/numirias/security/blob/master/doc/2019-06-04_ace-vim-neovim.md

Пару месяцев назад была история о том, как у Facebook обнаружилась программка для мониторинга пользователей на смартфонах, которую Facebook распространял в случае с iOS мимо App Store. Сама программка была типа исследовательской и предлагала деньги за мониторинг, но а) плохо рассказывала, что именно она мониторила, и б) в основном пользовалась популярностью у подростков, которым. (ну и по мелочи - нарушала правила Apple по использованию сертификата корпоративной разработки). Там было весело, с отзывом этого сертификата, и блокировкой работы всех внутренних приложений Facebook.

Почему внезапно я раскапываю эту стюардессу? У ТекКранча статья на базе письма, которое прислали Фейсбук сенатору по его запросу, в котором ФБ делится тем, что же они этой программой Research собрали. 31 тысяча пользователей из США, включая 4 тыс подростков, остальные более 150 тыс пользователей - из Индии. Данные не должны были включать в себя финансовую информацию и информацию о здоровье, и все, кроме данных по аналитике использования приложений, должно было удаляться. Но осадок остался 🙂
https://techcrunch.com/2019/06/12/facebook-project-atlas-research-apple-banned/

Эта новость в целом была бы не так важна, если бы не анонс ФБ о том, что компания снова запускает исследовательский проект, в этот раз только для Android (связываться с Эпол себе дороже). Приложение Study будет мониторить установленные приложения на телефоне, время, проведенное в приложениях, страну пользователя, и дополнительную информацию из приложений (но не конкретный контент вроде сообщений, посещенных сайтов и логинов-паролей). В отличие от предыдущего эксперимента, компания гораздо более открыто сообщает о сборе данных. Я, правда, не нашел, сколько за это платят в этот раз. Помните, что ваша информация стоит денег 🙂
https://newsroom.fb.com/news/2019/06/study-from-facebook/

В апреле Google объявила о возможности использовать смартфон с Android в качестве физического ключа для двухфакторной аутентификации (https://t.me/alexmakus/2780). Тогда в качестве устройств, с которыми работал смартфон, были устройства на ChromeOS, macOS, Windows. теперь же добавилась поддержка устройств на iOS. Для этого вам требуется устройство с Android 7.0 и выше, и с его помощью вы сможете авторизовать айфоны и айпады для входа в службы Google и Google Cloud
https://gsuiteupdates.googleblog.com/2019/06/android-2step-ios.html