очень странная история про то, как к Apple и Google пришло министерство правды (зачеркнуто) юстиции и потребовало данные на пользователей определенного приложения. Приложение Obsidian позволяет управлять и настраивать оптические прицелы компании ATNC. Якобы ведется расследование о незаконном экспорте прицелов, и следователи хотят получить информацию о том, где и как использовалось приложение. но странно, что они пришли к магазинам, а не к разработчикам приложения. Видимо, вычислять индивидуумов хотят в том числе и по информации о покупке приложения. Пока непонятно, что будут делать компании, но предыдущие подобные запросы в Apple заканчивались отказом о передаче данных (в основном потому, что такие групповые запросы, без таргетинга конкретного лица, в целом не приветствуются, и считаются нарушением личной жизни. ХАХА, то-то NSA слушала всех американцев подряд в поисках террористов)
https://www.forbes.com/sites/thomasbrewster/2019/09/06/exclusive-feds-order-apple-and-google-to-hand-over-names-of-10000-users-of-a-gun-scope-app/
https://www.forbes.com/sites/thomasbrewster/2019/09/06/exclusive-feds-order-apple-and-google-to-hand-over-names-of-10000-users-of-a-gun-scope-app/
Forbes
Exclusive: Feds Demand Apple And Google Hand Over Names Of 10,000+ Users Of A Gun Scope App
Apple and Google have been ordered by the U. S. government to hand over names, phone numbers and IP addresses of thousands of gun scope owners. It's an unprecedented move by the U.S. government in asking Silicon Valley to support a weapons export investigation.
Кажется, у Эпол немножко бомбануло от отчета Гугл о сайтах, направленных на взлом айфонов. В целом яблочная аргументация, кстати, вполне здравая, но попкорн пригодится
И ответ Google не заставил себя ждать:
Project Zero posts technical research that is designed to advance the understanding of security vulnerabilities, which leads to better defensive strategies. We stand by our in-depth research which was written to focus on the technical aspects of these vulnerabilities. We will continue to work with Apple and other leading companies to help keep people safe online.
https://www.apple.com/newsroom/2019/09/a-message-about-ios-security/
И ответ Google не заставил себя ждать:
Project Zero posts technical research that is designed to advance the understanding of security vulnerabilities, which leads to better defensive strategies. We stand by our in-depth research which was written to focus on the technical aspects of these vulnerabilities. We will continue to work with Apple and other leading companies to help keep people safe online.
https://www.apple.com/newsroom/2019/09/a-message-about-ios-security/
Apple Newsroom
A message about iOS security
iOS security is unmatched because we take end-to-end responsibility for the security of our hardware and software.
На прошлой неделе «МаксимаТелеком» в тестовом режиме запустила закрытую Wi-Fi сеть с использованием технологии Hotspot 2.0 в московском метро. В этой статье разбираемся, что это за технология и как она может повлиять на безопасность интернет-соединения пользователей.
https://vc.ru/tech/82308-chto-nuzhno-znat-o-profilyah-konfiguracii-v-ios-na-primere-istorii-s-maksimatelekom
https://vc.ru/tech/82308-chto-nuzhno-znat-o-profilyah-konfiguracii-v-ios-na-primere-istorii-s-maksimatelekom
vc.ru
Что нужно знать о профилях конфигурации в iOS на примере истории с «МаксимаТелеком» — Техника на vc.ru
На прошлой неделе «МаксимаТелеком» в тестовом режиме запустила закрытую сеть Wi-Fi с использованием технологии Hotspot 2.0 в московском метро. В этой статье разбираемся, что это за технология и как она может повлиять на безопасность интернет-соединения пользователей.
уязвимость в интерфейсе Data-Direct I/O процессоров Intel, когда сетевая карта может обращаться напрямую к кешу процессора. Так вот, уязвимость, которая позволяет злоумышленникам при наличии сетевого подключения к серверу перехватывать информацию
https://www.vusec.net/projects/netcat/
совет Intel — отключить DDIO или RDMA
https://software.intel.com/security-software-guidance/insights/more-information-netcat
https://www.vusec.net/projects/netcat/
совет Intel — отключить DDIO или RDMA
https://software.intel.com/security-software-guidance/insights/more-information-netcat
vusec
NetCAT - vusec
NetCAT shows that network-based cache side-channel attacks are a realistic threat. Cache attacks have been traditionally used to leak sensitive data on a local setting (e.g., from an attacker-controlled virtual machine to a victim virtual machine that share…
Бага в Телеграме (уже исправленная), когда удаленные изображения для обоих собеседников удалялись из чата, но оставались сохраненными на диске (по крайней мере, в версии на Android).
https://www.inputzero.io/2019/09/telegram-privacy-fails-again.html?/telegram-privacy-fails.html
https://www.inputzero.io/2019/09/telegram-privacy-fails-again.html?/telegram-privacy-fails.html
www.inputzero.io
Telegram addresses another privacy issue
Telegram Vulnerability | CVE-2019-16248
"Международная антивирусная компания ESET подготовила отчет об актуальных угрозах для владельцев мобильных устройств на платформе iOS. Число вредоносных программ и обнаруженных уязвимостей для этой системы значительно выросло.
Так, за первое полугодие 2019 года эксперты обнаружили 155 уязвимостей в мобильной платформе Apple. Это на 24% больше, чем за аналогичный период 2018 года, — и почти вдвое больше, чем количество уязвимостей в ОС Android.
Но есть и хорошие новости: лишь 19% уязвимостей в iOS являются критическими для мобильного устройства или приватности личных данных владельца."
ничоси хорошие новости, ПЯТАЯ ЧАСТЬ — критические.
Так, за первое полугодие 2019 года эксперты обнаружили 155 уязвимостей в мобильной платформе Apple. Это на 24% больше, чем за аналогичный период 2018 года, — и почти вдвое больше, чем количество уязвимостей в ОС Android.
Но есть и хорошие новости: лишь 19% уязвимостей в iOS являются критическими для мобильного устройства или приватности личных данных владельца."
ничоси хорошие новости, ПЯТАЯ ЧАСТЬ — критические.
Тут чувака арестовали за размещение «скрытой» камеры в туалете самолета. Кстати, за это светит присесть на годик. Но вообще интересно, какая же она скрытая, если другой(ая) пассажир(ка) заметил(а) устройство и моргающий синий огонек?
https://www.travelpulse.com/news/airlines/man-arrested-after-planting-hidden-camera-in-airplane-bathroom.html
Особенно иронично смотрится текст про то, что чувака нашли по записям камеры безопасности:
Security investigated footage that revealed a man installing the camera in the first-class facilities, although his face wasn’t visible.
Интересно, где же правильная камера была установлена?
А вообще, конечно, жопа с этими микрокамерами, не скроешься от извращенцев никуда. Говорят, их инфракрасные сенсоры заметны в экране смартфона, если включить приложение камеры, но некоторые разработчики смартфонов стараются глушить такие нежелательные эффекты, так что как повезёт.
https://www.travelpulse.com/news/airlines/man-arrested-after-planting-hidden-camera-in-airplane-bathroom.html
Особенно иронично смотрится текст про то, что чувака нашли по записям камеры безопасности:
Security investigated footage that revealed a man installing the camera in the first-class facilities, although his face wasn’t visible.
Интересно, где же правильная камера была установлена?
А вообще, конечно, жопа с этими микрокамерами, не скроешься от извращенцев никуда. Говорят, их инфракрасные сенсоры заметны в экране смартфона, если включить приложение камеры, но некоторые разработчики смартфонов стараются глушить такие нежелательные эффекты, так что как повезёт.
воу-воу, тут серьезная тема. Название дня: SimJacker, уязвимость, которая находится в ПО S@T Browser, внедренном в SIM-карты, используемые огромным количеством операторов мобильной связи. Уязвимость, по утверждениям исследователей, её обнаруживших, может быть эксплуатирована вне зависимости от устройства абонента, и что еще хуже, реально эксплуатируется некоторыми правительствами уже на протяжении как минимум двух лет.
S@T Browser (SIMalliance Toolbox Browser) — это приложение на SIM-картах, явлется частью SIM Tool Kit, и обеспечивает возможность мобильным операторам предоставлять абонентам некоторые сервисы и подписки. Приложение содержит в себе набор STK инструкций (отправка короткого сообщения, отправка данных, и проч), которые могут быть выполненными после получения SMS устройством, и таким образом ПО создает среду исполнения кода для запуска вредоносных приложений на самих мобильных телефонах. В частности, с помощью этой уязвимости можно получить местоположение устройства, IMEI-код и другую информацию об устройстве, отправлять сообщения вместо абонента, набирать платные номера телефонов, заставлять браузеры открывать определенные страницы, отключать SIM-карту. Все это время пользователь вообще ни сном ни духом, что там чтото может происходить на его устройстве.
Технические детали уязвимости будут опубликованы в октябре. Информация была передана в GSM Association, которая сформировала рекомендации для производителей SIM-карт. Мобильные операторы также могут снизить риск подобных атак, анализируя и блокируя сообщения, содержащие команды S@T Browser. Пользователям же рекомендуется избавится от мобильных телефонов и переехать в лес, где не будет мобильной связи и электричества.
(Я, к сожалению, не нашел информации о том, какие именно мобильные операторы и их SIM-карты уязвимы к этой атаке, даже у GSMA. но видел вчера новости о том, что американские операторы AT&T/Verizon/Sprint и T-Mobile заявили, что к их SIM-картам это не относится)
https://simjacker.com
S@T Browser (SIMalliance Toolbox Browser) — это приложение на SIM-картах, явлется частью SIM Tool Kit, и обеспечивает возможность мобильным операторам предоставлять абонентам некоторые сервисы и подписки. Приложение содержит в себе набор STK инструкций (отправка короткого сообщения, отправка данных, и проч), которые могут быть выполненными после получения SMS устройством, и таким образом ПО создает среду исполнения кода для запуска вредоносных приложений на самих мобильных телефонах. В частности, с помощью этой уязвимости можно получить местоположение устройства, IMEI-код и другую информацию об устройстве, отправлять сообщения вместо абонента, набирать платные номера телефонов, заставлять браузеры открывать определенные страницы, отключать SIM-карту. Все это время пользователь вообще ни сном ни духом, что там чтото может происходить на его устройстве.
Технические детали уязвимости будут опубликованы в октябре. Информация была передана в GSM Association, которая сформировала рекомендации для производителей SIM-карт. Мобильные операторы также могут снизить риск подобных атак, анализируя и блокируя сообщения, содержащие команды S@T Browser. Пользователям же рекомендуется избавится от мобильных телефонов и переехать в лес, где не будет мобильной связи и электричества.
(Я, к сожалению, не нашел информации о том, какие именно мобильные операторы и их SIM-карты уязвимы к этой атаке, даже у GSMA. но видел вчера новости о том, что американские операторы AT&T/Verizon/Sprint и T-Mobile заявили, что к их SIM-картам это не относится)
https://simjacker.com
Forwarded from OFD24 | ККТ, Маркировка, ЕГАИС, Меркурий, Честный ЗНАК, ДМДК, СБП, ЦТО, ОФД, 1С (mystatisticbot)
⚡️Ушли из базы: в Сеть утекли 14 млн записей компаний и покупателей.
Компания «Дримкас» на три дня случайно открыла конфиденциальную информацию о клиентах, включая физических лиц
Около 14 млн записей о юридических и физических лицах, включая информацию о покупках и уплаченных налогах, попали в открытый доступ.
Утечка впервые произошла через одного из операторов фискальных данных (ОФД). Сведения могут быть использованы для маркетинговых акций, включая холодные звонки частным лицам, считают эксперты.
Что произошло
Сервер ОФД «Дримкас» стал общедоступным 9 сентября и пробыл в таком состоянии три дня. На нем хранятся журналы с более 14 млн записей. Об уязвимости сообщили «Известиям» в компании по кибербезопасности DeviceLock.
Утекли строки с информацией — начиная от безобидных ИНН, адреса, названия компании и заканчивая информацией об электронных адресах и телефонах представителей, а также заключенных сделках, ассортименте и ценах товара.
Также в Сеть попали телефоны и e-mail 3 тыс. физических лиц — пользователей скидочной программы «Покупай-ка».
«Известия» позвонили по нескольким попавшим в открытый доступ номерам и выяснили, что телефоны действительно принадлежат клиентам ОФД «Дримкас». В одной из записей, например, видно, что клиент купил бутылку водки на кедровых орехах и 150 г сыра.
В компании объяснили утечку атаками на серверы, происходившими с начала сентября.
Контур защиты на одном из них пострадал, проблема устранена, пояснил гендиректор «Дримкас» Павел Толстоносов.
— Проводится дополнительный аудит и модернизация системы безопасности, — сказал «Известиям» гендиректор.
Эксперты по кибербезопасности сомневаются в корректности этого объяснения.
— Версия с атакой серверов звучит неправдоподобно, — объяснил «Известиям» основатель и технический директор DeviceLock Ашот Оганесян.
— Нас уведомили об атаках на серверы ОФД «Дримкас». Информация о возможной утечке проверяется. Если она подтвердится, компании грозит штраф от 500 тыс. до 1 млн рублей, — сообщили в пресс-службе ФНС.
ФСБ и Федеральная служба по техническому и экспортному контролю (ФСТЭК) не ответили на запрос «Известий».
Для хранения информации «Дримкас» использует систему управления базами данных (СУБД) Elasticsearch, сообщили «Известиям» в DeviceLock.
Доступ к ним часто остается открытым из-за ошибок айтишников. Они просто забывают поставить галочки в нужных местах, рассказал «Известиям» замгендиректора компании по защите от утечек данных Zecurion Александр Ковалев.
Киберпреступники делятся утекшими базами на специальных ресурсах, пояснил аналитик информационной безопасности компании Positive Technologies Вадим Соловьев. Злоумышленнику не нужно обладать глубокими знаниями, достаточно воспользоваться специализированными системами поиска. Оттуда скачивают конфиденциальную информацию, которую не защитили должным образом, поясняет антивирусный эксперт «Лаборатории Касперского» Денис Легезо.
Чем грозит
Собираемая ОФД информация потенциально позволяет третьему лицу проанализировать поведение покупателей и предлагать им рекламу. «Дримкас» не продает данные своих клиентов. Но теперь они стали доступными бесплатно на три дня, включая ассортимент и цены.
Что касается физических лиц, а также представителей компаний, по закону персональными данными считается любая информация о гражданине, рассказала «Известиям» партнер коллегии адвокатов Pen & Paper Екатерина Тягай.
За утечку предусмотрен административный штраф до 75 тыс. рублей, а максимальная уголовная ответственность составляет лишение свободы до пяти лет. Также пострадавший может взыскать убытки, причиненные из-за нарушения правил обработки персональных данных, добавила Екатерина Тягай.
Ранее «Известия» сообщали о случае получения данных из ОФД третьей стороной. Сведения о покупках в магазинах, в том числе электронных, затем утекают в неизвестном направлении. Они могут быть использованы для анализа предпочтений покупателей и конкурентной разведки.
#дримкас #офд #утечка
@ofd24
Компания «Дримкас» на три дня случайно открыла конфиденциальную информацию о клиентах, включая физических лиц
Около 14 млн записей о юридических и физических лицах, включая информацию о покупках и уплаченных налогах, попали в открытый доступ.
Утечка впервые произошла через одного из операторов фискальных данных (ОФД). Сведения могут быть использованы для маркетинговых акций, включая холодные звонки частным лицам, считают эксперты.
Что произошло
Сервер ОФД «Дримкас» стал общедоступным 9 сентября и пробыл в таком состоянии три дня. На нем хранятся журналы с более 14 млн записей. Об уязвимости сообщили «Известиям» в компании по кибербезопасности DeviceLock.
Утекли строки с информацией — начиная от безобидных ИНН, адреса, названия компании и заканчивая информацией об электронных адресах и телефонах представителей, а также заключенных сделках, ассортименте и ценах товара.
Также в Сеть попали телефоны и e-mail 3 тыс. физических лиц — пользователей скидочной программы «Покупай-ка».
«Известия» позвонили по нескольким попавшим в открытый доступ номерам и выяснили, что телефоны действительно принадлежат клиентам ОФД «Дримкас». В одной из записей, например, видно, что клиент купил бутылку водки на кедровых орехах и 150 г сыра.
В компании объяснили утечку атаками на серверы, происходившими с начала сентября.
Контур защиты на одном из них пострадал, проблема устранена, пояснил гендиректор «Дримкас» Павел Толстоносов.
— Проводится дополнительный аудит и модернизация системы безопасности, — сказал «Известиям» гендиректор.
Эксперты по кибербезопасности сомневаются в корректности этого объяснения.
— Версия с атакой серверов звучит неправдоподобно, — объяснил «Известиям» основатель и технический директор DeviceLock Ашот Оганесян.
— Нас уведомили об атаках на серверы ОФД «Дримкас». Информация о возможной утечке проверяется. Если она подтвердится, компании грозит штраф от 500 тыс. до 1 млн рублей, — сообщили в пресс-службе ФНС.
ФСБ и Федеральная служба по техническому и экспортному контролю (ФСТЭК) не ответили на запрос «Известий».
Для хранения информации «Дримкас» использует систему управления базами данных (СУБД) Elasticsearch, сообщили «Известиям» в DeviceLock.
Доступ к ним часто остается открытым из-за ошибок айтишников. Они просто забывают поставить галочки в нужных местах, рассказал «Известиям» замгендиректора компании по защите от утечек данных Zecurion Александр Ковалев.
Киберпреступники делятся утекшими базами на специальных ресурсах, пояснил аналитик информационной безопасности компании Positive Technologies Вадим Соловьев. Злоумышленнику не нужно обладать глубокими знаниями, достаточно воспользоваться специализированными системами поиска. Оттуда скачивают конфиденциальную информацию, которую не защитили должным образом, поясняет антивирусный эксперт «Лаборатории Касперского» Денис Легезо.
Чем грозит
Собираемая ОФД информация потенциально позволяет третьему лицу проанализировать поведение покупателей и предлагать им рекламу. «Дримкас» не продает данные своих клиентов. Но теперь они стали доступными бесплатно на три дня, включая ассортимент и цены.
Что касается физических лиц, а также представителей компаний, по закону персональными данными считается любая информация о гражданине, рассказала «Известиям» партнер коллегии адвокатов Pen & Paper Екатерина Тягай.
За утечку предусмотрен административный штраф до 75 тыс. рублей, а максимальная уголовная ответственность составляет лишение свободы до пяти лет. Также пострадавший может взыскать убытки, причиненные из-за нарушения правил обработки персональных данных, добавила Екатерина Тягай.
Ранее «Известия» сообщали о случае получения данных из ОФД третьей стороной. Сведения о покупках в магазинах, в том числе электронных, затем утекают в неизвестном направлении. Они могут быть использованы для анализа предпочтений покупателей и конкурентной разведки.
#дримкас #офд #утечка
@ofd24
кроме темы инфосека мне интересна еще тема велосипедов. Тот редкий случай, когда два в одном: хакеры взломали систему "умных" станков для велосипеда, и научились подменять данные, которые передаются со станка в систему. сидишь, ничего не делаешь, а тебе засчитывают киловатты жима педалей. красота.
https://www.bicycling.com/news/a28912281/zwift-hacking/
https://www.bicycling.com/news/a28912281/zwift-hacking/
Bicycling
Zwift Hackers Expose the Next Generation of Cycling Doping
E-sports are just as vulnerable to cheats as real-life races. Here’s how it can be done.
открытые MongoDB, являющиеся частью GootKit сети — банковского трояна. адреса имейлов, пароли, логины, все как обычно. забавно, что базу оставили открытой, видимо, как раз участники группы. https://securitydiscovery.com/banking-trojan-database-exposed-millions-of-users-at-risk/
Security Discovery
Banking Trojan Database Exposed - Millions of Users At Risk - Security Discovery
On July 5th I discovered two (!) open and publicly accessible MongoDB instances which appeared to be part of the GootKit network – one of the most advanced banking Trojans discovered in the wild in the...
а вот еще про открытые сервера. сотни серверов с фото рентгенов и МРТ, с простыми паролями или вообще без них. заходи кто хочешь, смотри что хочешь.
както кто-то из читателей спросил у меня "вот ты пишешь про эти все ужасы, а что с этим всем нам делать?". да вот хрен его знает. отвечать за все миллионы кривых рук админов, которые настраивают все эти системы, не думая вообще о том, что будет происходить с персональными данными — непонятно как. теоретически какой-нибудь GDPR мог бы применяться за подобную халатность, но в Штатах и его даже нет. нужно от всех требовать некую сертификацию, единый стандарт "безопасности хранения данных". Но это больше похоже на сизифов труд.
https://www.propublica.org/article/millions-of-americans-medical-images-and-data-are-available-on-the-internet
както кто-то из читателей спросил у меня "вот ты пишешь про эти все ужасы, а что с этим всем нам делать?". да вот хрен его знает. отвечать за все миллионы кривых рук админов, которые настраивают все эти системы, не думая вообще о том, что будет происходить с персональными данными — непонятно как. теоретически какой-нибудь GDPR мог бы применяться за подобную халатность, но в Штатах и его даже нет. нужно от всех требовать некую сертификацию, единый стандарт "безопасности хранения данных". Но это больше похоже на сизифов труд.
https://www.propublica.org/article/millions-of-americans-medical-images-and-data-are-available-on-the-internet
ProPublica
Millions of Americans’ Medical Images and Data Are Available on the Internet. Anyone Can Take a Peek.
Hundreds of computer servers worldwide that store patient X-rays and MRIs are so insecure that anyone with a web browser or a few lines of computer code can view patient records. One expert warned about it for years.
Я тут пару дней назад писал про SIM Jacker, возможную уязвимость в ПО SIM-карт, позволяющую заражать смартфоны вне зависимости от платформы.
https://t.me/alexmakus/3048
Пока технических деталей нет, но вот два интересных треда в твиттере, которые высказывают сомнения в том, что проблема имеет место быть, и в тех масштабах, о которых о ней говорят
тред 1 https://twitter.com/VessOnSecurity/status/1173625466894393344
тред 2 https://twitter.com/sawaba/status/1173828001848541186
https://t.me/alexmakus/3048
Пока технических деталей нет, но вот два интересных треда в твиттере, которые высказывают сомнения в том, что проблема имеет место быть, и в тех масштабах, о которых о ней говорят
тред 1 https://twitter.com/VessOnSecurity/status/1173625466894393344
тред 2 https://twitter.com/sawaba/status/1173828001848541186
Telegram
Информация опасносте
воу-воу, тут серьезная тема. Название дня: SimJacker, уязвимость, которая находится в ПО S@T Browser, внедренном в SIM-карты, используемые огромным количеством операторов мобильной связи. Уязвимость, по утверждениям исследователей, её обнаруживших, может…
если вы пользуетесь менеджером паролей LastPass, там надо бы до последней версии обновиться, где исправлена бага, позволявшая сайтам подцепить последний использованный пароль. LastPass 4.33.0 или более поздняя — ок.
https://bugs.chromium.org/p/project-zero/issues/detail?id=1930
https://bugs.chromium.org/p/project-zero/issues/detail?id=1930