познавательная статья о простой уязвимости сайта pwnedlist.com, которая позволяла бы выкачать почти 900 млн записей о скомпрометированных аккаунтах. сам сайт предоставлял сервис для компаний по трекингу того, всплывали ли домены этих компаний в различных утечках и взломах информации — например, я админ из Apple, я регистрируюсь как ответственный за apple.com, и каждый раз, когда какие-то юзеры где-то в очередном взломе всплыли с этим доменом в почте, я получаю уведомления — а теперь у них нашли уязвимость (уже исправили), которая позволяла слить всю их базу http://krebsonsecurity.com/2016/05/how-the-pwnedlist-got-pwned/

результаты исследования о том, как все плохо в платформе "умного дома" Samsung https://cdn2.vox-cdn.com/uploads/chorus_asset/file/6410049/Paper27_SP16_CameraReady_SmartThings_Revised_1_.0.pdf

если в крации — то все очень плохо

то есть используя уязвимости в фреймворке и приложении, можно сделать что угодно, например, открыть "умный замок", на который закрыта дверь дома или квартиры. или включить пожарную сигнализацию. очень удобно.

вот еще отчет Trend Micro о том, какими инструментами пользуются джихадисты или как их там правильно назвать. отчет построен на основе сканирования форумов, популярных среди террористов, и там собрали контактную информацию. Так вот, лидирует Telegram для чатов (а еще Signal, WhatsApp и Wickr). Для почты лидирует Gmail, но в основном потому, что он просто самый популярный, а так — Mail2Tor и SIGAINT. Так что превед, джихадисты! организуем взрывную вечеринку? :) (как бы после этого не взяли этот чат под контроль соответствующие органы) https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/overlapping-technologies-cybercriminals-and-terrorist-organizations

есть в америце такая компания, называется ADP — это компания, которая предоставляет услуги по учету рабочего времени, расчету зарплат, налогов и тд. 640 тыс компаний — ее клиенты. короче, тут, похоже, через их портал у злодеев получилось достать информацию по выплатам налогов на какое-то количество клиентов, в основном сотрудников компании U.S. Bancorp. в основном целью были формы W-2 — это что-то типа справки НДФЛ, которая показывает, сколько было всяких налогов выплачено, и это позволяет подать в налоговую форму о возврате переплаченных налогов. короче, business as usual на самом деле, как страшно жыть и все такое. http://krebsonsecurity.com/2016/05/fraudsters-steal-tax-salary-data-from-adp/

но больше всего меня зацепил вот этот текст: "ADP’s portal, like so many other authentication systems, relies entirely on static data that is available on just about every American for less than $4 in the cybercrime underground (SSN/DOB, address, etc)." — то есть вот можно пойти и за 4 доллара купить информацию практически о любом американце, причем данные, которые не меняются — дата рождения и налоговый номер (SSN). как дешево стоит "identity", эх...

но буквально сразу же я наткнулся на информацию о базе данных с 273 МЛН почтовых аккаунтов (большинство там, кстати, Mail.ru, но есть и gmail, yahoo, microsoft). так там в базе — логины И пароли. повторю — ЛОГИНЫ И ПАРОЛИ. после удаления дубликатов, там обнаружилось 57 млн аккаунтов Mail.ru — это из 64 млн активных-то пользователей. и всю базу вообще предлагали за 50 рублей, а потом вообще отдали бесплатно http://www.reuters.com/article/us-cyber-passwords-idUSKCN0XV1I6

Mail.ru пока не нашла действующих комбинаций логинов и паролей во взломанной хакерами базе

Google released patches for 40 security vulnerabilities affecting Android devices. Vulnerabilities include remote code execution, elevated privilege, and remote denial of service (DoS) flaws. Six of the vulnerabilities are rated as critical flaws and 10 vulnerabilities are rated as high severity.

http://www.scmagazine.com/google-patches-40-android-security-flaws/article/494038/

как полиция применяет StingRay — технологию, имитирующую базовые станции сотовых связей, позволяющую перехватывать данные телефонов, которую, по идее, нужно использовать только для расследований серьезных преступлений — как попало http://www.theregister.co.uk/2016/05/04/cops_deploy_antiterrorist_tech_against_50_chickenwing_thief/

почему регулярно заставлять пользователей менять пароли — плохо. рекомендации государственным организациям Великобритании от национального бюро по информационной безопасности https://www.cesg.gov.uk/articles/problems-forcing-regular-password-expiry

наконец-то полезная статья. к сожалению, для большинства из вас (а я подозреваю, что большинство из вас — из России или Украины), она не настолько полезная, но для тех, кто живет в Америце, может пригодиться (но хорошо, если не пригодится). Короче, статья о том, как попробовать предотвратить identity theft и что делать, если он уже произошел https://medium.com/@yanda/protecting-against-identity-theft-a7e6e7cd21bb#.rnoqnp5k2 надо бы заморочиться и усилить проверки на разных аккаунтах, пока не поздно

как американские законодатели накропали законопроект, которым, по сути, запрещаются браузеры (к счастью, только проект) https://www.justsecurity.org/30740/feinstein-burr-bill-bans-browser/

помните пару дней назад инфу про утечку логинов-паролей к почтовым сервисам? Mail.ru говорит, что проанализировала 57 млн этих записей, и 99,98% из них не соответствуют действительности https://motherboard.vice.com/read/hacker-272-million-email-logins-no-panic?update впрочем, я бы на их месте тоже так бы говорил, но вроде бы в этот раз похоже на правду

короче, еще про ту "утечку" логинов и паролей к почте. похоже, что это фейковый слив https://www.troyhunt.com/heres-how-i-verify-data-breaches/

чуваш прошел онлайн-курс по "тестированию безопасности сайтов" и решил проверить свои навыки на сайте для выборов в своем графстве. думал, что делает хорошее дело, но в итоге оказался в тюрьме за взлом сайта http://www.news-press.com/story/news/crime/2016/05/04/estero-man-arrested-hacking-into-state-lee-elections-website-david-levin-dan-sinclair/83921672/

вот тут все еще интересней. в Windows Store к приложениям выставляются довольно жесткие требования по sand-box, то есть приложения живут в своей песочнице и у них мало возможности сделать что-нибудь плохое в системе (таким образом, разумеется, повышается безопасность системы). однако, разработчики и тут умудрились обойти эту защиту и установить adware на windows http://www.zdnet.com/article/how-was-this-windows-store-app-able-to-download-adware-to-a-windows-10-pc/

полезное для безопасности твиттор-аккаунта https://twitter.com/settings/your_twitter_data