уязвимость в интерфейсе Data-Direct I/O процессоров Intel, когда сетевая карта может обращаться напрямую к кешу процессора. Так вот, уязвимость, которая позволяет злоумышленникам при наличии сетевого подключения к серверу перехватывать информацию
https://www.vusec.net/projects/netcat/
совет Intel — отключить DDIO или RDMA
https://software.intel.com/security-software-guidance/insights/more-information-netcat
https://www.vusec.net/projects/netcat/
совет Intel — отключить DDIO или RDMA
https://software.intel.com/security-software-guidance/insights/more-information-netcat
vusec
NetCAT - vusec
NetCAT shows that network-based cache side-channel attacks are a realistic threat. Cache attacks have been traditionally used to leak sensitive data on a local setting (e.g., from an attacker-controlled virtual machine to a victim virtual machine that share…
Бага в Телеграме (уже исправленная), когда удаленные изображения для обоих собеседников удалялись из чата, но оставались сохраненными на диске (по крайней мере, в версии на Android).
https://www.inputzero.io/2019/09/telegram-privacy-fails-again.html?/telegram-privacy-fails.html
https://www.inputzero.io/2019/09/telegram-privacy-fails-again.html?/telegram-privacy-fails.html
www.inputzero.io
Telegram addresses another privacy issue
Telegram Vulnerability | CVE-2019-16248
"Международная антивирусная компания ESET подготовила отчет об актуальных угрозах для владельцев мобильных устройств на платформе iOS. Число вредоносных программ и обнаруженных уязвимостей для этой системы значительно выросло.
Так, за первое полугодие 2019 года эксперты обнаружили 155 уязвимостей в мобильной платформе Apple. Это на 24% больше, чем за аналогичный период 2018 года, — и почти вдвое больше, чем количество уязвимостей в ОС Android.
Но есть и хорошие новости: лишь 19% уязвимостей в iOS являются критическими для мобильного устройства или приватности личных данных владельца."
ничоси хорошие новости, ПЯТАЯ ЧАСТЬ — критические.
Так, за первое полугодие 2019 года эксперты обнаружили 155 уязвимостей в мобильной платформе Apple. Это на 24% больше, чем за аналогичный период 2018 года, — и почти вдвое больше, чем количество уязвимостей в ОС Android.
Но есть и хорошие новости: лишь 19% уязвимостей в iOS являются критическими для мобильного устройства или приватности личных данных владельца."
ничоси хорошие новости, ПЯТАЯ ЧАСТЬ — критические.
Тут чувака арестовали за размещение «скрытой» камеры в туалете самолета. Кстати, за это светит присесть на годик. Но вообще интересно, какая же она скрытая, если другой(ая) пассажир(ка) заметил(а) устройство и моргающий синий огонек?
https://www.travelpulse.com/news/airlines/man-arrested-after-planting-hidden-camera-in-airplane-bathroom.html
Особенно иронично смотрится текст про то, что чувака нашли по записям камеры безопасности:
Security investigated footage that revealed a man installing the camera in the first-class facilities, although his face wasn’t visible.
Интересно, где же правильная камера была установлена?
А вообще, конечно, жопа с этими микрокамерами, не скроешься от извращенцев никуда. Говорят, их инфракрасные сенсоры заметны в экране смартфона, если включить приложение камеры, но некоторые разработчики смартфонов стараются глушить такие нежелательные эффекты, так что как повезёт.
https://www.travelpulse.com/news/airlines/man-arrested-after-planting-hidden-camera-in-airplane-bathroom.html
Особенно иронично смотрится текст про то, что чувака нашли по записям камеры безопасности:
Security investigated footage that revealed a man installing the camera in the first-class facilities, although his face wasn’t visible.
Интересно, где же правильная камера была установлена?
А вообще, конечно, жопа с этими микрокамерами, не скроешься от извращенцев никуда. Говорят, их инфракрасные сенсоры заметны в экране смартфона, если включить приложение камеры, но некоторые разработчики смартфонов стараются глушить такие нежелательные эффекты, так что как повезёт.
воу-воу, тут серьезная тема. Название дня: SimJacker, уязвимость, которая находится в ПО S@T Browser, внедренном в SIM-карты, используемые огромным количеством операторов мобильной связи. Уязвимость, по утверждениям исследователей, её обнаруживших, может быть эксплуатирована вне зависимости от устройства абонента, и что еще хуже, реально эксплуатируется некоторыми правительствами уже на протяжении как минимум двух лет.
S@T Browser (SIMalliance Toolbox Browser) — это приложение на SIM-картах, явлется частью SIM Tool Kit, и обеспечивает возможность мобильным операторам предоставлять абонентам некоторые сервисы и подписки. Приложение содержит в себе набор STK инструкций (отправка короткого сообщения, отправка данных, и проч), которые могут быть выполненными после получения SMS устройством, и таким образом ПО создает среду исполнения кода для запуска вредоносных приложений на самих мобильных телефонах. В частности, с помощью этой уязвимости можно получить местоположение устройства, IMEI-код и другую информацию об устройстве, отправлять сообщения вместо абонента, набирать платные номера телефонов, заставлять браузеры открывать определенные страницы, отключать SIM-карту. Все это время пользователь вообще ни сном ни духом, что там чтото может происходить на его устройстве.
Технические детали уязвимости будут опубликованы в октябре. Информация была передана в GSM Association, которая сформировала рекомендации для производителей SIM-карт. Мобильные операторы также могут снизить риск подобных атак, анализируя и блокируя сообщения, содержащие команды S@T Browser. Пользователям же рекомендуется избавится от мобильных телефонов и переехать в лес, где не будет мобильной связи и электричества.
(Я, к сожалению, не нашел информации о том, какие именно мобильные операторы и их SIM-карты уязвимы к этой атаке, даже у GSMA. но видел вчера новости о том, что американские операторы AT&T/Verizon/Sprint и T-Mobile заявили, что к их SIM-картам это не относится)
https://simjacker.com
S@T Browser (SIMalliance Toolbox Browser) — это приложение на SIM-картах, явлется частью SIM Tool Kit, и обеспечивает возможность мобильным операторам предоставлять абонентам некоторые сервисы и подписки. Приложение содержит в себе набор STK инструкций (отправка короткого сообщения, отправка данных, и проч), которые могут быть выполненными после получения SMS устройством, и таким образом ПО создает среду исполнения кода для запуска вредоносных приложений на самих мобильных телефонах. В частности, с помощью этой уязвимости можно получить местоположение устройства, IMEI-код и другую информацию об устройстве, отправлять сообщения вместо абонента, набирать платные номера телефонов, заставлять браузеры открывать определенные страницы, отключать SIM-карту. Все это время пользователь вообще ни сном ни духом, что там чтото может происходить на его устройстве.
Технические детали уязвимости будут опубликованы в октябре. Информация была передана в GSM Association, которая сформировала рекомендации для производителей SIM-карт. Мобильные операторы также могут снизить риск подобных атак, анализируя и блокируя сообщения, содержащие команды S@T Browser. Пользователям же рекомендуется избавится от мобильных телефонов и переехать в лес, где не будет мобильной связи и электричества.
(Я, к сожалению, не нашел информации о том, какие именно мобильные операторы и их SIM-карты уязвимы к этой атаке, даже у GSMA. но видел вчера новости о том, что американские операторы AT&T/Verizon/Sprint и T-Mobile заявили, что к их SIM-картам это не относится)
https://simjacker.com
Forwarded from OFD24 | ККТ, Маркировка, ЕГАИС, Меркурий, Честный ЗНАК, ДМДК, СБП, ЦТО, ОФД, 1С (mystatisticbot)
⚡️Ушли из базы: в Сеть утекли 14 млн записей компаний и покупателей.
Компания «Дримкас» на три дня случайно открыла конфиденциальную информацию о клиентах, включая физических лиц
Около 14 млн записей о юридических и физических лицах, включая информацию о покупках и уплаченных налогах, попали в открытый доступ.
Утечка впервые произошла через одного из операторов фискальных данных (ОФД). Сведения могут быть использованы для маркетинговых акций, включая холодные звонки частным лицам, считают эксперты.
Что произошло
Сервер ОФД «Дримкас» стал общедоступным 9 сентября и пробыл в таком состоянии три дня. На нем хранятся журналы с более 14 млн записей. Об уязвимости сообщили «Известиям» в компании по кибербезопасности DeviceLock.
Утекли строки с информацией — начиная от безобидных ИНН, адреса, названия компании и заканчивая информацией об электронных адресах и телефонах представителей, а также заключенных сделках, ассортименте и ценах товара.
Также в Сеть попали телефоны и e-mail 3 тыс. физических лиц — пользователей скидочной программы «Покупай-ка».
«Известия» позвонили по нескольким попавшим в открытый доступ номерам и выяснили, что телефоны действительно принадлежат клиентам ОФД «Дримкас». В одной из записей, например, видно, что клиент купил бутылку водки на кедровых орехах и 150 г сыра.
В компании объяснили утечку атаками на серверы, происходившими с начала сентября.
Контур защиты на одном из них пострадал, проблема устранена, пояснил гендиректор «Дримкас» Павел Толстоносов.
— Проводится дополнительный аудит и модернизация системы безопасности, — сказал «Известиям» гендиректор.
Эксперты по кибербезопасности сомневаются в корректности этого объяснения.
— Версия с атакой серверов звучит неправдоподобно, — объяснил «Известиям» основатель и технический директор DeviceLock Ашот Оганесян.
— Нас уведомили об атаках на серверы ОФД «Дримкас». Информация о возможной утечке проверяется. Если она подтвердится, компании грозит штраф от 500 тыс. до 1 млн рублей, — сообщили в пресс-службе ФНС.
ФСБ и Федеральная служба по техническому и экспортному контролю (ФСТЭК) не ответили на запрос «Известий».
Для хранения информации «Дримкас» использует систему управления базами данных (СУБД) Elasticsearch, сообщили «Известиям» в DeviceLock.
Доступ к ним часто остается открытым из-за ошибок айтишников. Они просто забывают поставить галочки в нужных местах, рассказал «Известиям» замгендиректора компании по защите от утечек данных Zecurion Александр Ковалев.
Киберпреступники делятся утекшими базами на специальных ресурсах, пояснил аналитик информационной безопасности компании Positive Technologies Вадим Соловьев. Злоумышленнику не нужно обладать глубокими знаниями, достаточно воспользоваться специализированными системами поиска. Оттуда скачивают конфиденциальную информацию, которую не защитили должным образом, поясняет антивирусный эксперт «Лаборатории Касперского» Денис Легезо.
Чем грозит
Собираемая ОФД информация потенциально позволяет третьему лицу проанализировать поведение покупателей и предлагать им рекламу. «Дримкас» не продает данные своих клиентов. Но теперь они стали доступными бесплатно на три дня, включая ассортимент и цены.
Что касается физических лиц, а также представителей компаний, по закону персональными данными считается любая информация о гражданине, рассказала «Известиям» партнер коллегии адвокатов Pen & Paper Екатерина Тягай.
За утечку предусмотрен административный штраф до 75 тыс. рублей, а максимальная уголовная ответственность составляет лишение свободы до пяти лет. Также пострадавший может взыскать убытки, причиненные из-за нарушения правил обработки персональных данных, добавила Екатерина Тягай.
Ранее «Известия» сообщали о случае получения данных из ОФД третьей стороной. Сведения о покупках в магазинах, в том числе электронных, затем утекают в неизвестном направлении. Они могут быть использованы для анализа предпочтений покупателей и конкурентной разведки.
#дримкас #офд #утечка
@ofd24
Компания «Дримкас» на три дня случайно открыла конфиденциальную информацию о клиентах, включая физических лиц
Около 14 млн записей о юридических и физических лицах, включая информацию о покупках и уплаченных налогах, попали в открытый доступ.
Утечка впервые произошла через одного из операторов фискальных данных (ОФД). Сведения могут быть использованы для маркетинговых акций, включая холодные звонки частным лицам, считают эксперты.
Что произошло
Сервер ОФД «Дримкас» стал общедоступным 9 сентября и пробыл в таком состоянии три дня. На нем хранятся журналы с более 14 млн записей. Об уязвимости сообщили «Известиям» в компании по кибербезопасности DeviceLock.
Утекли строки с информацией — начиная от безобидных ИНН, адреса, названия компании и заканчивая информацией об электронных адресах и телефонах представителей, а также заключенных сделках, ассортименте и ценах товара.
Также в Сеть попали телефоны и e-mail 3 тыс. физических лиц — пользователей скидочной программы «Покупай-ка».
«Известия» позвонили по нескольким попавшим в открытый доступ номерам и выяснили, что телефоны действительно принадлежат клиентам ОФД «Дримкас». В одной из записей, например, видно, что клиент купил бутылку водки на кедровых орехах и 150 г сыра.
В компании объяснили утечку атаками на серверы, происходившими с начала сентября.
Контур защиты на одном из них пострадал, проблема устранена, пояснил гендиректор «Дримкас» Павел Толстоносов.
— Проводится дополнительный аудит и модернизация системы безопасности, — сказал «Известиям» гендиректор.
Эксперты по кибербезопасности сомневаются в корректности этого объяснения.
— Версия с атакой серверов звучит неправдоподобно, — объяснил «Известиям» основатель и технический директор DeviceLock Ашот Оганесян.
— Нас уведомили об атаках на серверы ОФД «Дримкас». Информация о возможной утечке проверяется. Если она подтвердится, компании грозит штраф от 500 тыс. до 1 млн рублей, — сообщили в пресс-службе ФНС.
ФСБ и Федеральная служба по техническому и экспортному контролю (ФСТЭК) не ответили на запрос «Известий».
Для хранения информации «Дримкас» использует систему управления базами данных (СУБД) Elasticsearch, сообщили «Известиям» в DeviceLock.
Доступ к ним часто остается открытым из-за ошибок айтишников. Они просто забывают поставить галочки в нужных местах, рассказал «Известиям» замгендиректора компании по защите от утечек данных Zecurion Александр Ковалев.
Киберпреступники делятся утекшими базами на специальных ресурсах, пояснил аналитик информационной безопасности компании Positive Technologies Вадим Соловьев. Злоумышленнику не нужно обладать глубокими знаниями, достаточно воспользоваться специализированными системами поиска. Оттуда скачивают конфиденциальную информацию, которую не защитили должным образом, поясняет антивирусный эксперт «Лаборатории Касперского» Денис Легезо.
Чем грозит
Собираемая ОФД информация потенциально позволяет третьему лицу проанализировать поведение покупателей и предлагать им рекламу. «Дримкас» не продает данные своих клиентов. Но теперь они стали доступными бесплатно на три дня, включая ассортимент и цены.
Что касается физических лиц, а также представителей компаний, по закону персональными данными считается любая информация о гражданине, рассказала «Известиям» партнер коллегии адвокатов Pen & Paper Екатерина Тягай.
За утечку предусмотрен административный штраф до 75 тыс. рублей, а максимальная уголовная ответственность составляет лишение свободы до пяти лет. Также пострадавший может взыскать убытки, причиненные из-за нарушения правил обработки персональных данных, добавила Екатерина Тягай.
Ранее «Известия» сообщали о случае получения данных из ОФД третьей стороной. Сведения о покупках в магазинах, в том числе электронных, затем утекают в неизвестном направлении. Они могут быть использованы для анализа предпочтений покупателей и конкурентной разведки.
#дримкас #офд #утечка
@ofd24
кроме темы инфосека мне интересна еще тема велосипедов. Тот редкий случай, когда два в одном: хакеры взломали систему "умных" станков для велосипеда, и научились подменять данные, которые передаются со станка в систему. сидишь, ничего не делаешь, а тебе засчитывают киловатты жима педалей. красота.
https://www.bicycling.com/news/a28912281/zwift-hacking/
https://www.bicycling.com/news/a28912281/zwift-hacking/
Bicycling
Zwift Hackers Expose the Next Generation of Cycling Doping
E-sports are just as vulnerable to cheats as real-life races. Here’s how it can be done.
открытые MongoDB, являющиеся частью GootKit сети — банковского трояна. адреса имейлов, пароли, логины, все как обычно. забавно, что базу оставили открытой, видимо, как раз участники группы. https://securitydiscovery.com/banking-trojan-database-exposed-millions-of-users-at-risk/
Security Discovery
Banking Trojan Database Exposed - Millions of Users At Risk - Security Discovery
On July 5th I discovered two (!) open and publicly accessible MongoDB instances which appeared to be part of the GootKit network – one of the most advanced banking Trojans discovered in the wild in the...
а вот еще про открытые сервера. сотни серверов с фото рентгенов и МРТ, с простыми паролями или вообще без них. заходи кто хочешь, смотри что хочешь.
както кто-то из читателей спросил у меня "вот ты пишешь про эти все ужасы, а что с этим всем нам делать?". да вот хрен его знает. отвечать за все миллионы кривых рук админов, которые настраивают все эти системы, не думая вообще о том, что будет происходить с персональными данными — непонятно как. теоретически какой-нибудь GDPR мог бы применяться за подобную халатность, но в Штатах и его даже нет. нужно от всех требовать некую сертификацию, единый стандарт "безопасности хранения данных". Но это больше похоже на сизифов труд.
https://www.propublica.org/article/millions-of-americans-medical-images-and-data-are-available-on-the-internet
както кто-то из читателей спросил у меня "вот ты пишешь про эти все ужасы, а что с этим всем нам делать?". да вот хрен его знает. отвечать за все миллионы кривых рук админов, которые настраивают все эти системы, не думая вообще о том, что будет происходить с персональными данными — непонятно как. теоретически какой-нибудь GDPR мог бы применяться за подобную халатность, но в Штатах и его даже нет. нужно от всех требовать некую сертификацию, единый стандарт "безопасности хранения данных". Но это больше похоже на сизифов труд.
https://www.propublica.org/article/millions-of-americans-medical-images-and-data-are-available-on-the-internet
ProPublica
Millions of Americans’ Medical Images and Data Are Available on the Internet. Anyone Can Take a Peek.
Hundreds of computer servers worldwide that store patient X-rays and MRIs are so insecure that anyone with a web browser or a few lines of computer code can view patient records. One expert warned about it for years.
Я тут пару дней назад писал про SIM Jacker, возможную уязвимость в ПО SIM-карт, позволяющую заражать смартфоны вне зависимости от платформы.
https://t.me/alexmakus/3048
Пока технических деталей нет, но вот два интересных треда в твиттере, которые высказывают сомнения в том, что проблема имеет место быть, и в тех масштабах, о которых о ней говорят
тред 1 https://twitter.com/VessOnSecurity/status/1173625466894393344
тред 2 https://twitter.com/sawaba/status/1173828001848541186
https://t.me/alexmakus/3048
Пока технических деталей нет, но вот два интересных треда в твиттере, которые высказывают сомнения в том, что проблема имеет место быть, и в тех масштабах, о которых о ней говорят
тред 1 https://twitter.com/VessOnSecurity/status/1173625466894393344
тред 2 https://twitter.com/sawaba/status/1173828001848541186
Telegram
Информация опасносте
воу-воу, тут серьезная тема. Название дня: SimJacker, уязвимость, которая находится в ПО S@T Browser, внедренном в SIM-карты, используемые огромным количеством операторов мобильной связи. Уязвимость, по утверждениям исследователей, её обнаруживших, может…
если вы пользуетесь менеджером паролей LastPass, там надо бы до последней версии обновиться, где исправлена бага, позволявшая сайтам подцепить последний использованный пароль. LastPass 4.33.0 или более поздняя — ок.
https://bugs.chromium.org/p/project-zero/issues/detail?id=1930
https://bugs.chromium.org/p/project-zero/issues/detail?id=1930
ОГОГО. Короче, похоже, сотрудник Nokia Networks тут сильно лоханулся. Он подключил диск к компьютеру, а диск, в связи с неправильной конфигурацией, стал доступен в интернет без какой-либо аутентификации.
Один маленький нюанс: это был диск, на котором хранилась информация о том, как работает СОРМ у мобильного оператора МТС. На диске также была информация о том, как власти России получают доступ к звонкам, сообщениям и другой информации клиентов мобильного оператора. Эксперты получили доступ к диску, скачали с него информацию, а также проинформировали сотрудника Nokia Networks о том, что почти 2 ТБ данных торчат в интернет голой жопой.
Планы размещения коробочек СОРМ, фотографии самих устройств, информация о том, как устройства Malvin Systems перехватывают данные абонентов, всякие схемы подключения устройств, и много всего другого интересного. Красота.
https://www.upguard.com/breaches/mts-nokia-telecom-inventory-data-exposure#/security-lapse-russia/
Один маленький нюанс: это был диск, на котором хранилась информация о том, как работает СОРМ у мобильного оператора МТС. На диске также была информация о том, как власти России получают доступ к звонкам, сообщениям и другой информации клиентов мобильного оператора. Эксперты получили доступ к диску, скачали с него информацию, а также проинформировали сотрудника Nokia Networks о том, что почти 2 ТБ данных торчат в интернет голой жопой.
Планы размещения коробочек СОРМ, фотографии самих устройств, информация о том, как устройства Malvin Systems перехватывают данные абонентов, всякие схемы подключения устройств, и много всего другого интересного. Красота.
https://www.upguard.com/breaches/mts-nokia-telecom-inventory-data-exposure#/security-lapse-russia/
Upguard
Telecommunications Breakdown: How Russian Telco Infrastructure was Exposed | UpGuard
A storage device containing 1.7 terabytes of information detailing telecommunications installations throughout the Russian Federation was exposed to the public internet.
целых три страницы рекламы Google о безопасности личных данных в сегодняшнем Washington Post. Наверно, это важно.
По материалам об утечке данных
https://t.me/alexmakus/3049
есть также опровержение (спасибо читателю канала)
https://www.kommersant.ru/amp/4095088
https://t.me/alexmakus/3049
есть также опровержение (спасибо читателю канала)
https://www.kommersant.ru/amp/4095088
Telegram
Информация опасносте
⚡️Ушли из базы: в Сеть утекли 14 млн записей компаний и покупателей.
Компания «Дримкас» на три дня случайно открыла конфиденциальную информацию о клиентах, включая физических лиц
Около 14 млн записей о юридических и физических лицах, включая информацию…
Компания «Дримкас» на три дня случайно открыла конфиденциальную информацию о клиентах, включая физических лиц
Около 14 млн записей о юридических и физических лицах, включая информацию…
Оставлю вам на выходные большое исследование «британских ученых» различных IoT устройств. В рамках изучения исследователи посмотрели на десятки смарт-телевизоров, спикеров, видеозвонков от компаний Google, Roku, Amazon и других. Цель исследования —понять, какие данные собирают эти устройства о пользователях, и с кем разработчики этих систем делятся собранными данными. Результаты, как вы понимаете, неутешительные (иначе материала бы не было в этом канале): IP-адреса, информация об устройствах, паттерны использования, информация о геолокации и др. - все это попадает в руки создателей гаджетов и расползается по сторонним компаниям.
Традиционный вопрос: а что с этим всем знанием делать? как минимум, проводить изучение продуктов перед покупкой, выбирать устройства без обязательного подключения к интернету или требований создавать аккаунты. минимизировать покупку устройств с камерами и микрофонами. И,самое главное, НИКАКОГО ИНТЕРНЕТА!
https://moniotrlab.ccis.neu.edu/wp-content/uploads/2019/09/ren-imc19.pdf
Традиционный вопрос: а что с этим всем знанием делать? как минимум, проводить изучение продуктов перед покупкой, выбирать устройства без обязательного подключения к интернету или требований создавать аккаунты. минимизировать покупку устройств с камерами и микрофонами. И,самое главное, НИКАКОГО ИНТЕРНЕТА!
https://moniotrlab.ccis.neu.edu/wp-content/uploads/2019/09/ren-imc19.pdf