у Evite унесли в начале года данные на пользователей, которые регистрировались в сервисе до 2013 года (потенциально имена, пароли и другую информацию). 101 млн записей, в основном адреса электронной почты приглашенных на события пользователей.
https://www.evite.com/security/update?usource=lc&lctid=1800182

полезная заметка о паролях и о том, что не так важна сила пароля, брат, как MFA
https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Your-Pa-word-doesn-t-matter/ba-p/731984

интересная тема с фоточками у Фейсбука. при загрузке фотографии на ФБ, я так понял, ФБ добавляет в фотографию немного своей информации в виде некоего тэга. Поэтому если кто-то, например, скачает такую фотографию, а потом зальет её на ФБ, то ФБ на основании своей добавленной инфы сможет просечь происхождение фотки и связать между собой этих двух людей.

https://twitter.com/oasace/status/1149181539000864769

Оказалось, что это не новость и обсуждалось еще в 2015 году
https://stackoverflow.com/questions/31120222/iptc-metadata-automatically-added-to-uploaded-images-on-facebook

вот еще комментарий на Реддите по этому поводу о возможностях трекинга
https://www.reddit.com/r/privacy/comments/ccndcq/facebook_is_embedding_tracking_data_inside_the/etoz2m9/

ничего удивительного в том, что у Инстаграмма тот же механизм обнаружился
https://www.reddit.com/r/privacy/comments/ccrtlv/instagram_is_also_embedding_tracking_data_in_the/

Корпорация добра!

Я, кстати, хотел добавить комментарий про FaceApp (модный в последние пару дней проект, в котором приложение, используя ML, “старит” человека на фотографии). А то там в интернете чего только не напишут по этому поводу, включая то, что якобы приложение передает всю библиотеку фотографий на сервер разработчиков приложения (на самом деле нет).

Тот факт, что разработчики из России, добавляет истеричности многим комментаторам. Исследования сетевого трафика показали, что передачи всех фотографий не происходит, а в iOS приложение использует специальное системное API, дающее пользователю возможность указать одну фотографию для доступа приложения. Но при этом обработка фотографии происходит на сервере, и разработчик недостаточно четко коммуницирует эту информацию, что фотография передается на сервер. Что еще происходит с собранными фотографиями на сервере — тоже непонятно; сколько они хранятся, удаляются ли после обработки, передаются ли третьим сторонам. Короче, на ваше усмотрение.

ВАЖНЫЙ АПДЕЙТ
Разработчики FaceApp написали касательно вопросов о приложении, включая про хранение и удаление фотографий

We are receiving a lot of inquiries regarding our privacy policy and therefore, would like to provide a few points that explain the basics:
1. FaceApp performs most of the photo processing in the cloud. We only upload a photo selected by a user for editing. We never transfer any other images from the phone to the cloud.
2. We might store an uploaded photo in the cloud. The main reason for that is performance and traffic: we want to make sure that the user doesn’t upload the photo repeatedly for every edit operation. Most images are deleted from our servers within 48 hours from the upload date.
3. We accept requests from users for removing all their data from our servers. Our support team is currently overloaded, but these requests have our priority. For the fastest processing, we recommend sending the requests from the FaceApp mobile app using “Settings->Support->Report a bug” with the word “privacy” in the subject line. We are working on the better UI for that.
4. All FaceApp features are available without logging in, and you can log in only from the settings screen. As a result, 99% of users don’t log in; therefore, we don’t have access to any data that could identify a person.
5. We don’t sell or share any user data with any third parties.
6. Even though the core R&D team is located in Russia, the user data is not transferred to Russia.
Additionally, we’d like to comment on one of the most common concerns: all pictures from the gallery are uploaded to our servers after a user grants access to the photos (for example, https://twitter.com/joshuanozzi/status/1150961777548701696).  We don’t do that. We upload only a photo selected for editing. You can quickly check this with any of network sniffing tools available on the internet.

Если вы создавали свою учетную запись в Slack до марта 2015 года, то сегодня вам могут сбросить пароль. Ситуация связана со взломом 4-летней давности, когда взломали инфраструктуру Slack, и украли некоторую пользовательскую информацию, включая хеши паролей. В свете свежеобнаруженной информации Slack решил еще вдогонку некоторым пользователям сделать принудительное повышение безопасности
https://slackhq.com/new-information-2015-incident

Тред у Мозиллы по поводу интернет-инноваций в Казахстане, где теперь все пользователи интернета должны улучшить свой интернет путем установки сертификата "для улучшения безопасности" — по сути, такая прекрасная государственная MiTM атака. Читать-то https-трафик хочется.
https://bugzilla.mozilla.org/show_bug.cgi?id=1567114

материал по поэтому поводу
https://meduza.io/news/2019/07/19/zhiteley-kazahstana-obyazali-ustanovit-sertifikat-bezopasnosti-dlya-zaschity-ot-hakerskih-atak-i-prosmotra-protivopravnogo-kontenta

Тут пошли дополнительные материалы (я видел на неделе, но ждал подтверждения) о «взломе ФСБ». На самом деле взломали вроде как субподрядчика - компанию Сайтэк, и украли 7.5ТБ различных данных, включая секретные проекты по деанону Тора. Будет весело.

https://www.bbc.com/russian/features-49050982

https://www.forbes.com/sites/zakdoffman/2019/07/20/russian-intelligence-has-been-hacked-with-social-media-and-tor-projects-exposed/#19519ccb6b11

Всеобщая компьютеризация до добра точно не доведет. Вот болгар не довела. Кто-то хакнул налоговую Болгарии и получил все данные на 5 миллионов человек (все население страны — 7 млн человек, видимо, остальные 2 миллиона это дети). Забавно, что злоумышленник увидел адрес файла архива в каком-то там телевизионном репортаже, где его показали, не особо опасаясь, потому что "файл же запаролен". В итоге чувак скачал файл, и попросил на каком-то сервисе взломать пароль. Ему пароль взломали, и внутри архива оказась персональная информация, включая финансовые данные. ну и база, конечно, оказалась и у СМИ, и в интернете. Так что теперь там у них весело.

https://www.zdnet.com/article/hacker-steals-data-of-millions-of-bulgarians-emails-it-to-local-media/
https://www.zdnet.com/article/bulgarias-hacked-database-is-now-available-on-hacking-forums/

PS пару лет назад взломали Equifax, кредитное бюро в США, украли все персональные данные на 150млн человек. Сегодня была новость о том, что Эквифакс заплатит 400 млн долларов "пострадавшим". Ага, вся информация человека, получается, стоит 2,5 доллара. Ну окей.

ссылка с прошлой недели о том, как расширения для Chrome/Firefox собирали пользовательские данные в виде истории браузера. Собирались адреса, названия сайтов, и часто — встроенные в странице ссылки. Это приводило к получению информации о видео в популярных сервисах видеонаблюдения, финансовых документов, информации о посещении врачей, информации о путешествиях, и тд

https://securitywithsam.com/
https://arstechnica.com/information-technology/2019/07/dataspii-inside-the-debacle-that-dished-private-data-from-apple-tesla-blue-origin-and-4m-people/

органам все не дает покоя сквозное шифрование. тут вот генпрокурор США убеждает всех, что потребителям придется сжиться с рисками безопасности при наличии бэкдоров в шифровании
https://techcrunch.com/2019/07/23/william-barr-consumers-security-risks-backdoors/

вчера у пользователей техники Apple был patch day, и, как обычно, есть хорошие поводы обновить свои устройства.

37 фиксов безопаcности в iOS 12.4, включая фиксы в WebKit, позволяющие получить контроль над смартфоном. Также исправлена дыра в сервисе walkie-talkie, которая позволяла активировать микрофон во время звонка
https://support.apple.com/en-us/HT210346

44 фикса в macOS, включая те же исправления в WebKit, а также баги в Siri и TimeMachine
https://support.apple.com/en-us/HT210348

Ну и там по мелочи (в основном то, что приезжает из iOS) — для watchOS и tvOS, и Safari
https://support.apple.com/en-us/HT210353
https://support.apple.com/en-us/HT210351
https://support.apple.com/en-us/HT210355

Так что, если вы не экспериментируете с бетами iOS 13/macOS 10.15, то апдейты лучше поставить

Компания Medtronic уже несколько раз фигурировала в этом канале, в основном с новостями об уязвимостях в кардиостимуляторах компании. Но компания также производит и дозаторы инсулина, которые (сюрприз!) тоже имеют в себе программные уязвимости. Два года назад исследователи обнаружили уязвимости в инсулиновых помпах , которые позволяют удаленно управлять этими помпами (радиоканал, по которому управляется такая помпа, достаточно легко вычислить, и он не зашифрован. достаточно знать серийный номер помпы). Однако, компания почему-то не хочет исправлять эти уязвимости, и ограничилась просто предупреждением к своим пользователям. Исследователи хотят донести реальную опасность этой уязвимости, и выпустили код, демонстрирующий действие этой уязвимости, надеясь, что это привлечет больше внимания.
https://www.wired.com/story/medtronic-insulin-pump-hack-app/

Читатель вот прислал ссылку. Казалось бы, что может пойти не так?
https://thebell.io/v-rossii-poyavitsya-baza-so-vsemi-dannymi-grazhdan-vesti-ee-budut-nalogoviki/

Корпоративные VPN-сервисы Palo Alto Networks, Pulse Secure и Fortinet содержат в себе уязвимости, которые делают их уязвимыми для проникновения внутрь сетей пользователей этих сервисов
https://devco.re/blog/2019/07/17/attacking-ssl-vpn-part-1-PreAuth-RCE-on-Palo-Alto-GlobalProtect-with-Uber-as-case-study/

Апдейты уже выкатывают
https://securityadvisories.paloaltonetworks.com/Home/Detail/158
https://fortiguard.com/psirt/FG-IR-18-384

ну как так вообще? Компания с сервисом для финансовых операций, и пароли в plain text, пусть даже во внутренних системах. Кстати, FB, Twitter, Google тоже этим отличились в свое время

Познакомтесь с Monokle, шпионским ПО, разработанным российской компанией Special Technology Centre, Ltd. ПО предназначено для перехвата коммуникаций Android-устройств путем контроля TCP-портов устройства. А дальше начинается веселье по доступу к практически всей информации на устройстве, включая календари, трафик, почту, текстовые сообщения, запись звонков, информации о местоположении и тд.

https://blog.lookout.com/monokle
https://arstechnica.com/information-technology/2019/07/advanced-mobile-surveillanceware-made-in-russia-found-in-the-wild/