Немножко лол. Лаборатория Касперского вычислила кибер-разведку Узбекистана, потому что они использовали продукты ЛК для тестирования своих вредоносных продуктов и не отключили опцию отправки отчетов в ЛК

https://www.vice.com/en_us/article/3kx5y3/uzbekistan-hacking-operations-uncovered-due-to-spectacularly-bad-opsec

Google Project Zero нашли zero day уязвимость в android, которая затрагивает смартфоны Pixel, Galaxy, Huawei. Уязвимость позволяет получить полный контроль над устройством, и фикс потребовался срочный, потому что есть уже инструменты для эксплуатации этой уязвимости. Достаточно установить вредоносное приложение или же зайти на вебсайт, который может объединить эту уязвимость с другой. Апдейт для Pixel-устройств выйдет в октябре, остальные партнеры проинформированы, и за апдейтами нужно ходить к ним.

полный список затронутых устройств:
• Pixel 1
• Pixel 1 XL
• Pixel 2
• Pixel 2 XL
• Huawei P20
• Xiaomi Redmi 5A
• Xiaomi Redmi Note 5
• Xiaomi A1
• Oppo A3
• Moto Z3
• Android Oreo LG phones
• Samsung Galaxy S7
• Samsung Galaxy S8
• Samsung Galaxy S9

Интересно, что баг был исправлен в декабре 2017 года, но почему-то снова оказался в системе.

https://bugs.chromium.org/p/project-zero/issues/detail?id=1942
https://www.zdnet.com/article/google-finds-android-zero-day-impacting-pixel-samsung-huawei-xiaomi-devices/

ZenDesk подтвердили взлом и утечку данных, которая произошла в 2016 году (они только узнали о ней). При взломе произошел доступ к небольшому количеству пользовательских аккаунтов
https://www.zendesk.com/blog/security-update-2019/

продолжая тему утечки данных клиентов Сбербанка (https://t.me/alexmakus/3080). Банк опубликовал информацию о том, что "разобрались как следует, наказали кого попало": мол, нашли виновного «28-летний сотрудник попытался осуществить хищение клиентской информации в корыстных целях», и что "утечка коснулась только 200 клиентов.".

https://www.sberbank.ru/ru/press_center/all/article?newsID=56d223ed-1b37-48db-9790-1257c9c96d08&blockID=1303&regionID=77&lang=ru&type=NEWS

а тем временем читатели канала присылают ссылки на информацию о том, что вроде как речь все же идет не только о 200 записях
https://t.me/dataleak/1299

сами решайте, кому верить. думаю, можно запастись попкорном.

тем временем, об утечке данных клиентов рассказала компания Билайн. Речь идет о базе данных клиентов проводного интернета, 8 миллионов записей. Якобы информация устарела — речь идет о базе 2017 года. Хотя непонятно, как именно она устарела — личные телефоны, контракты, фамилии, домашние и рабочие адреса — для многих пользователей сохранились (особенно имена и фамилии). Ссылки на саму базу давать не буду, найти её не сложно.

Ответы у Билайна смешные — то фейк ньюс, то вброс, то ссылки и база неактивны (гифка про ужа и сковородку)
https://ria.ru/20191004/1559440909.html

пока в России компании опровергают, подтверждают и борются с последствиями утечек пользовательских данных, в Омерице своя напасть. Генеральный прокурор продолжает настаивать, что сквозное шифрование не нужно. В этот раз в форме призыва к Фейсбук о том, что не надо вообще ничего там внедрять в плане E2E шифрования между приложениями Facebook/Instagram/Whatsapp. И что вообще бэкдоры всякие важны, бэкдоры всякие нужны.
https://www.buzzfeednews.com/article/ryanmac/bill-barr-facebook-letter-halt-encryption

интересные результаты исследования аудитории от поисковика DuckDuckGo. Интересная статистика: среди изученной аудитории пользователей интернета в США почти 80% подкрутили настройки приватности в социальных медиа или снизили уровень их использования. Почти четверть удалила или деактивировала свои учетные записи в социальных медиа. Кажется, люди начинают что-то понимать.

https://spreadprivacy.com/people-taking-action-on-privacy/

утечка данных «сети проституток Голландии». Я только не понял, то ли это социальная сеть у них такая специальная была,то ли просто регистрационная информация. 250 тыс человек — неплохо там у них на 17 млн человек

https://twitter.com/FlayersMind/status/1182181027051196417

никогда такого не было, и вот опять. Твиттер признался, что использовал для таргетинга рекламой номера телефонов, которые пользователи добавляли в профиль для двухфакторной аутентификации.
https://help.twitter.com/en/information-and-ads

Интересный zero-day

http://blog.morphisec.com/apple-zero-day-exploited-in-bitpaymer-campaign

Привет! Сорян, немного было не до обновлений, хотя новости на месте не стоят. например, уязвимость в sudo в Linux, позволяющая выполнять команды под root, даже если конфигурация запрещает доступ root
https://www.sudo.ws/alerts/minus_1_uid.html
https://thehackernews.com/2019/10/linux-sudo-run-as-root-flaw.html

уязвимость в компоненте по сбору аналитики на компьютерах HP, с эскалацией прав
https://safebreach.com/Post/HP-Touchpoint-Analytics-DLL-Search-Order-Hijacking-Potential-Abuses-CVE-2019-6333

вредоносное ПО для macOS, маскирующееся под Adobe Flash. Мне кажется, даже если это настоящий Adobe Flash, от него надо бежать как можно дальше
https://blog.confiant.com/osx-shlayer-new-shurprise-unveiling-osx-tarmac-f965a32de887

А в Китае вообще круто. The Washington Post пишет о том, что если поставить приложение Коммунистической Партии Китая на телефон с Android, оно получает права суперпользователя и доступ ко всем пользовательским данным на телефоне. Изначально в статье также шла речь об устройствах на iOS, но потом исправили
https://www.washingtonpost.com/world/asia_pacific/chinese-app-on-xis-ideology-allows-data-access-to-100-million-users-phones-report-says/2019/10/11/2d53bbae-eb4d-11e9-bafb-da248f8d5734_story.html

своего рода хорошие новости из мира информационных опасностей и безопасностей. В даркнете закрыли сайт, распространявший изображения с детской порнографией и сценами насилия над детьми. 8 ТБ данных, 337 человек арестовано, как минимум 23 ребенка вызволено. Информация она разная бывает


https://www.justice.gov/opa/pr/south-korean-national-and-hundreds-others-charged-worldwide-takedown-largest-darknet-child

История про Samsung и сканер отпечатка пальца в Galaxy S10, который можно обмануть, просто наклеив защитную пленку на экран, настолько невероятная, что я пока что не могу в это поверить. Но, судя по тому, что Samsung пообещал выпустить софтверный(!) апдейт для этого, это таки правда. Ультразвук, 3Д контуры, вот это все. Революционная технология!

https://www.bbc.com/news/technology-50080586

С Е К У Р И Т И

кстати про смартфоны и их разблокировку. Google на прошлой неделе анонсировала Pixel 4 с новой системой разблокировки экрана сканированием лица, только вот оказалось, что телефон разблокируется, даже если у пользователя закрыты глаза. Теперь же Гугл заявила, что эту фичу добавят софтверно в ближайшие несколько месяцев

We’ve been working on an option for users to require their eyes to be open to unlock the phone, which will be delivered in a software update in the coming months. In the meantime, if any Pixel 4 users are concerned that someone may take their phone and try to unlock it while their eyes are closed, they can activate a security feature that requires a pin, pattern or password for the next unlock. Pixel 4 face unlock meets the security requirements as a strong biometric, and can be used for payments and app authentication, including banking apps. It is resilient against invalid unlock attempts via other means, like with masks.