оператор T-mobile подтвердил взлом систем компании "с доступом к некоторой персональной информации".
https://www.t-mobile.com/customers/6305378822
Правда, никаких дат, ни информации о том, кого это затрагивает, ни сколько пользователей затронуло, ни как это произошло. мастера disclosure, блин.
когда мне прислали эту ссылку, я испытал чувство дежавю, и не зря:
https://t.me/alexmakus/2358
https://www.t-mobile.com/customers/6305378822
Правда, никаких дат, ни информации о том, кого это затрагивает, ни сколько пользователей затронуло, ни как это произошло. мастера disclosure, блин.
когда мне прислали эту ссылку, я испытал чувство дежавю, и не зря:
https://t.me/alexmakus/2358
Telegram
Информация опасносте
на прошлой неделе я писал о том, что мобильный оператор T-Mobile сообщил о взломе их системы, что привело к утечке пользовательских данных 2 миллионов человек. В первоначальном сообщении говорилось, что злоумышленники не получили доступа к паролям пользователей…
Разработчики, обновляйте сторонние компоненты в своих приложениях, не будьте как Facebook!
"Эксперты компании Check Point обнаружили, что многие популярные приложения из Google Play Store, включая Facebook, Instagram и WeChat, по-прежнему уязвимы перед старыми проблемами. Дело в том, что разработчики зачастую не обновляют сторонние компоненты своих продуктов.
Исследователи Check Point Research провели перекрестный анализ последних версий популярнейших приложений на наличие трех известных RCE-уязвимостей (удаленное выполнение кода), датированных 2014, 2015 и 2016 годами. Все эти баги были выявлены в широко используемых сторонних библиотеках, и давно исправлены. Проблема заключается в том, что разработчики часто используют в работе фрагменты опенсорсных проектов и опенсорсные решения, однако потом не утруждают себя их регулярным обновлением."
https://research.checkpoint.com/2019/long-known-vulnerabilities-in-high-profile-android-applications/
https://xakep.ru/2019/11/22/android-apps-problems/
"Эксперты компании Check Point обнаружили, что многие популярные приложения из Google Play Store, включая Facebook, Instagram и WeChat, по-прежнему уязвимы перед старыми проблемами. Дело в том, что разработчики зачастую не обновляют сторонние компоненты своих продуктов.
Исследователи Check Point Research провели перекрестный анализ последних версий популярнейших приложений на наличие трех известных RCE-уязвимостей (удаленное выполнение кода), датированных 2014, 2015 и 2016 годами. Все эти баги были выявлены в широко используемых сторонних библиотеках, и давно исправлены. Проблема заключается в том, что разработчики часто используют в работе фрагменты опенсорсных проектов и опенсорсные решения, однако потом не утруждают себя их регулярным обновлением."
https://research.checkpoint.com/2019/long-known-vulnerabilities-in-high-profile-android-applications/
https://xakep.ru/2019/11/22/android-apps-problems/
Check Point Research
Long-known Vulnerabilities in High-Profile Android Applications - Check Point Research
Research by: Slava Makkaveev Introduction Most mobile users understandably worry about known vulnerabilities in the core operating system of their devices, which can give an attacker complete control over their mobile phones, and about zero-day vulnerabilities…
Google поднимает ставки в bug bounty программе. за persistent RCE на устройствах с чипом Titan M Google обещает до 1,5 млн долларов.
https://security.googleblog.com/2019/11/expanding-android-security-rewards.html
https://security.googleblog.com/2019/11/expanding-android-security-rewards.html
Google Online Security Blog
Expanding the Android Security Rewards Program
Posted by Jessica Lin, Android Security Team The Android Security Rewards (ASR) program was created in 2015 to reward researchers who fi...
каждый раз, подавая свои данные куда-то там онлайн, помните, что компании на той стороне, скорей всего, наплевать на вашу информацию, её безопасность и сохранность. Как минимум, лучше исходить из таких предпосылок. VistaPrint, популярный сервис печати визиток, открыток и проч, держала в открытом доступе информацию на 51 тыс своих клиентов, включая имена, адреса и проч
https://twitter.com/olihough86/status/1197462053516173312
https://techcrunch.com/2019/11/25/vistaprint-security-lapse/
https://twitter.com/olihough86/status/1197462053516173312
https://techcrunch.com/2019/11/25/vistaprint-security-lapse/
Twitter
Oliver Hough
Hey @Vistaprint do you have a bug bounty program? or a security contact I can talk to. Got something here that your security team will want to look at ASAP my DM's are open
впрочем, ладно визитки. тут вот миллиарды рентген-снимков и прочие КТ-МРТ валяются где попало
https://www.helpnetsecurity.com/2019/11/20/confidential-medical-images/
https://www.helpnetsecurity.com/2019/11/20/confidential-medical-images/
Help Net Security
1.19 billion confidential medical images available on the internet - Help Net Security
1.19 billion confidential medical images are now freely available on the internet, according to the Greenbone's research in to the security of PACS servers.
4 млрд аккаунтов, 4ТБ данных на 1,2 млрд человек, и все это на открытом Elasticsearch сервере в интернете. Имена, имейлы, аккаунты в ФБ, Линкдин, и проч. Агрегаторы данных такие агрегаторы (чуваки, которые, получив какой-то кусок информации на пользователя, постепенно дополняют его данными из других источников).
https://www.dataviper.io/blog/2019/pdl-data-exposure-billion-people/
https://www.dataviper.io/blog/2019/pdl-data-exposure-billion-people/
Night Lion Security
Ransomware Negotiation & Dark Web Investigation Services | Night Lion
Leaders in dark web threat intelligence research, ransomware and extortion negotiation, digital investigations, security assessments
но не все новости о взломах — действительно о взломах. Меня уже несколько раз пинговали о "взломе" Disney+ — популярного стримингового сервиса, который компания Disney запустила в ноябре. там суть заключалась в том, что сразу после старта сервиса в интернете появились данные об аккаунтах пользователей, которые можно было купить. Но, похоже, взлома как такового не было, а речь идет о credentials stuffing — подборе уже имеющихся комбинаций логинов и паролей на базе других утечек. Не будьте как они, используйте уникальные пароли!
Forwarded from Denis Sexy IT 🤖
Вы наверное помните, у Китая довольно большие проблему с Уйгурами — Китай всячески их притесняет, не так давно стало известно, что существуют «лагеря задержания», а регион где все это происходит оснащен максимальным количеством всевозможных устройств сбора данных.
На той неделе по цепи уйгуров в сеть утекла информация (CNN, BBC) для внутреннего пользования полиции Синьцзяна от 2017 года. В том числе секретные брифинги, которые показывают, как эта полиция получает приказы от огромного «кибернетического мозга», известного как IJOP, который помечает целые категории людей для расследования и задержания.
Утечка документов включает в себя:
• Руководство по эксплуатации для администрации лагерей задержания.
• Четыре коротких брифинга на китайском языке, известные как «бюллетени», в которых даются рекомендации по ежедневному использованию «Интегрированной платформы совместных операций» (IJOP), инструменты массового наблюдения и прогностической полицейской деятельности, которая анализирует данные из Синьцзяна.
В документах буквально идет речь о том, что некий алгоритм внутри IJOP, обученный на огромном количестве данных (от группы крови до показателей счетчиков электричества, IJOP приложения для полиции, в документе перечислены очень много параметров), способен решать, как задерживать и реагировать на потенциальных преступников, до факта преступления — это принято называть «предиктивная полицейская деятельность».
Например, в «Бюллетене № 14» содержится инструкция о том, как проводить массовые расследования и задержания после того, как IJOP сформировал длинный список подозреваемых. В документе сказано, что за 17 дней в июне 2017 года полицейские задержали 15 683 жителей Синьцзяна, помеченных IJOP, и поместили их в лагеря для интернированных
Это все выглядит как какой-то фильм или книга, где алгоритм решает как жить людям, но я склонен верить, что скорее всего так и есть, утечка подверждена множеством экспертов, включая лингвистический анализ. Страшно подумать, как за 3 года IJOP поумнел.
Правительство Китая утверждает, что все эти документы — фейк.
Весь лонгрид на тему слитых документов можно почитать тут.
На той неделе по цепи уйгуров в сеть утекла информация (CNN, BBC) для внутреннего пользования полиции Синьцзяна от 2017 года. В том числе секретные брифинги, которые показывают, как эта полиция получает приказы от огромного «кибернетического мозга», известного как IJOP, который помечает целые категории людей для расследования и задержания.
Утечка документов включает в себя:
• Руководство по эксплуатации для администрации лагерей задержания.
• Четыре коротких брифинга на китайском языке, известные как «бюллетени», в которых даются рекомендации по ежедневному использованию «Интегрированной платформы совместных операций» (IJOP), инструменты массового наблюдения и прогностической полицейской деятельности, которая анализирует данные из Синьцзяна.
В документах буквально идет речь о том, что некий алгоритм внутри IJOP, обученный на огромном количестве данных (от группы крови до показателей счетчиков электричества, IJOP приложения для полиции, в документе перечислены очень много параметров), способен решать, как задерживать и реагировать на потенциальных преступников, до факта преступления — это принято называть «предиктивная полицейская деятельность».
Например, в «Бюллетене № 14» содержится инструкция о том, как проводить массовые расследования и задержания после того, как IJOP сформировал длинный список подозреваемых. В документе сказано, что за 17 дней в июне 2017 года полицейские задержали 15 683 жителей Синьцзяна, помеченных IJOP, и поместили их в лагеря для интернированных
Это все выглядит как какой-то фильм или книга, где алгоритм решает как жить людям, но я склонен верить, что скорее всего так и есть, утечка подверждена множеством экспертов, включая лингвистический анализ. Страшно подумать, как за 3 года IJOP поумнел.
Правительство Китая утверждает, что все эти документы — фейк.
Весь лонгрид на тему слитых документов можно почитать тут.
я тут пару дней назад писал про очередной Elasticsearch сервер, пойманный с спущенными штанами (в смысле, с открытым доступом). почему это не последний раз, когда такое происходит:
• Total Elasticsearch Servers Open To Public: 299,540
• Total Open Elasticsearch Servers With Data: 57,296
• Total Size Of Publicly Accessible Data: 462 TB
• Total Document Count Of Publicly Accessible Data: 621,362,063,812
https://blog.dehashed.com/the-state-of-internet-security-in-2019/
• Total Elasticsearch Servers Open To Public: 299,540
• Total Open Elasticsearch Servers With Data: 57,296
• Total Size Of Publicly Accessible Data: 462 TB
• Total Document Count Of Publicly Accessible Data: 621,362,063,812
https://blog.dehashed.com/the-state-of-internet-security-in-2019/
Утечка данных в популярном сервисе Mixcloud, куда диджеи заливают свои миксы, а пользователи потом могут стримить их для прослушивания. Интересно, что компания сама не была в курсе взлома, пока пользовательские данные не оказались в даркнете на продажу. 21 миллион пользовательских аккаунтов, включая логины, имейл и хешированные пароли, всего за полбиткойна. Компания расследует, что же именно случилось
https://blog.mixcloud.com/2019/11/30/mixcloud-security-notice/?=mixcloud-statement
https://blog.mixcloud.com/2019/11/30/mixcloud-security-notice/?=mixcloud-statement
тут пишут про какието ужасы в андроидных телефонах, когда вредоносное ПО, маскирующееся под легитимные приложения, могут работать на полностью пропатченном андроиде и подслушивать микрофон, снимать фото, записывать телефонные разговоры и тд. Проблема в первую очередь заключается в том, что в рамках функциональности многозадачности вредоносные приложения могут рисовать свой контент поверх легитимных приложений, и прикидываться ими. А приложения, эту уязвимость использующие, уже были в Google Play, и после информирования, Google их выпилила. Сами вредоносные приложения в GP не водятся, но могут быть подгружены на телефон какими-то приложениями, которые доступны в GP. Уязвимость пока не исправлена Google
https://promon.co/security-news/strandhogg/
https://promon.co/security-news/strandhogg/
Такие дни, что некогда объяснять!
1. похоже, что айфон отсылает (НЕ ОТСЫЛАЕТ, а собирает в устройстве) в Apple некоторую информацию о местоположении ближайших баз WiFi и станций мобильной связи, даже если выключить это в настройках. Этим занимается системный сервис, отправляет данные в анонимном и зашифрованном виде, поэтому Эпол считает, что "это норма", но осадочек же остается
https://krebsonsecurity.com/2019/12/the-iphone-11-pros-location-data-puzzler/
в качестве бонуса — страница Apple о конфиденциальности
https://www.apple.com/ru/privacy/
1. похоже, что айфон отсылает (НЕ ОТСЫЛАЕТ, а собирает в устройстве) в Apple некоторую информацию о местоположении ближайших баз WiFi и станций мобильной связи, даже если выключить это в настройках. Этим занимается системный сервис, отправляет данные в анонимном и зашифрованном виде, поэтому Эпол считает, что "это норма", но осадочек же остается
https://krebsonsecurity.com/2019/12/the-iphone-11-pros-location-data-puzzler/
в качестве бонуса — страница Apple о конфиденциальности
https://www.apple.com/ru/privacy/
Apple
Официальная служба поддержки Apple
Служба поддержки Apple всегда готова прийти на помощь. Узнайте больше о популярных темах и найдите ресурсы, посвященные любым продуктам Apple.
Безопасность СмартТВ — дело важное, даже ФБР рассказывает, что нужно делать по этому поводу и как обезопаситься от этого гаджета, и встроенных в телевизоры микрофонов, камер и проч.
https://www.fbi.gov/contact-us/field-offices/portland/news/press-releases/tech-tuesdaysmart-tvs/layout_view
https://www.fbi.gov/contact-us/field-offices/portland/news/press-releases/tech-tuesdaysmart-tvs/layout_view
www.fbi.gov
Oregon FBI Tech Tuesday: Securing Smart TVs — FBI
In this week's FBI Tech Tuesday segment, we look at ways to protect your smart TV from being accessed by bad cyber actors.
И опять ФБР! Помните приложение FaceApp, результаты "состаревания" на фото из которого все постили пару месяцев назад? ФБР назвала это приложение потенциальной разведывательной угрозой для безопасности, во как. а все в связи с тем, как и какую информацию собирает сервис, и кто может иметь к этой информации доступ. такие дела
https://www.nydailynews.com/news/politics/ny-fbi-faceapp-counterintelligence-threat-russia-elections-20191202-t2kyyceuuzgzbhjoo5njx5vxnm-story.html
https://www.nydailynews.com/news/politics/ny-fbi-faceapp-counterintelligence-threat-russia-elections-20191202-t2kyyceuuzgzbhjoo5njx5vxnm-story.html
Ломай банки, живи красиво - история русских (каких же еще!) хакеров
https://www.nationalcrimeagency.gov.uk/news/international-law-enforcement-operation-exposes-the-world-s-most-harmful-cyber-crime-group
https://www.vice.com/en_us/article/mbmmgx/uk-government-releases-photos-of-russian-hackers-whose-lives-look-awesome
https://www.nationalcrimeagency.gov.uk/news/international-law-enforcement-operation-exposes-the-world-s-most-harmful-cyber-crime-group
https://www.vice.com/en_us/article/mbmmgx/uk-government-releases-photos-of-russian-hackers-whose-lives-look-awesome
Интересный ответ Apple на вчерашнюю историю про геолокацию в айфонах, даже если пытаться её отключить. Там, напомню, выяснилось, что в iOS есть некий системный сервис, который опрашивает информацию о местоположении, даже если это отключить для всех приложений и системных сервисов.
https://t.me/alexmakus/3166
“Ultra wideband technology is an industry standard technology and is subject to international regulatory requirements that require it to be turned off in certain locations. iOS uses Location Services to help determine if iPhone is in these prohibited locations in order to disable ultra wideband and comply with regulations. The management of ultra wideband compliance and its use of location data is done entirely on the device and Apple is not collecting user location data."
То есть информация а) никуда не передается, б) все работает в рамках стандарта UWB, который требует блокировки технологии UWB в определенных местах. Apple пообещала также добавить возможность отключения этой фичи в будущих апдейтах iOS, но, я так понимаю, в таком случае будет отключаться вся поддержка UWB. Apple могла бы избежать всего этого скандала, если бы сразу ответила нормально на вопрос "зачем", когда только появилась информация о запросе геолокации при отключенных настройках.
Сам чип для UWB появился в iPhone 11 в этом году, и его точное предназначение пока что не раскрывается. Предполагается, что Apple планирует запустить сервис по обнаружению предметов с метками, и это может быть чип для этого. Также, возможно, в будущем метки и прочее может быть использовано для дополненной реальности на базе айфонов.
https://techcrunch.com/2019/12/05/apple-ultra-wideband-newer-iphones-location/
https://t.me/alexmakus/3166
“Ultra wideband technology is an industry standard technology and is subject to international regulatory requirements that require it to be turned off in certain locations. iOS uses Location Services to help determine if iPhone is in these prohibited locations in order to disable ultra wideband and comply with regulations. The management of ultra wideband compliance and its use of location data is done entirely on the device and Apple is not collecting user location data."
То есть информация а) никуда не передается, б) все работает в рамках стандарта UWB, который требует блокировки технологии UWB в определенных местах. Apple пообещала также добавить возможность отключения этой фичи в будущих апдейтах iOS, но, я так понимаю, в таком случае будет отключаться вся поддержка UWB. Apple могла бы избежать всего этого скандала, если бы сразу ответила нормально на вопрос "зачем", когда только появилась информация о запросе геолокации при отключенных настройках.
Сам чип для UWB появился в iPhone 11 в этом году, и его точное предназначение пока что не раскрывается. Предполагается, что Apple планирует запустить сервис по обнаружению предметов с метками, и это может быть чип для этого. Также, возможно, в будущем метки и прочее может быть использовано для дополненной реальности на базе айфонов.
https://techcrunch.com/2019/12/05/apple-ultra-wideband-newer-iphones-location/
Telegram
Информация опасносте
Такие дни, что некогда объяснять!
1. похоже, что айфон отсылает (НЕ ОТСЫЛАЕТ, а собирает в устройстве) в Apple некоторую информацию о местоположении ближайших баз WiFi и станций мобильной связи, даже если выключить это в настройках. Этим занимается системный…
1. похоже, что айфон отсылает (НЕ ОТСЫЛАЕТ, а собирает в устройстве) в Apple некоторую информацию о местоположении ближайших баз WiFi и станций мобильной связи, даже если выключить это в настройках. Этим занимается системный…
Про смарт-ТВ и то, как они собирают информацию о пользователях, я писал тут неоднократно. Вот из последнего предупреждения ФБР об этом
https://t.me/alexmakus/3167
или открытое признание технического директора одной из компаний, производящих телевизоры, что это их способ снизить цены на телевизоры — собирать и продавать данные пользователей
https://t.me/alexmakus/2589
или замечательная история многих других производителей
https://t.me/alexmakus/2218
Так и материал на Хабре, присланный читателем, написан по материалам The Washington Post (https://www.washingtonpost.com/technology/2019/09/18/you-watch-tv-your-tv-watches-back/) и другим источникам о том, как смарт-ТВ анализируют контент на телевизоре и собирают информацию для последующего таргетинга рекламой и прочих улучшений экспириенса. Ваши данные нужны всем.
https://habr.com/ru/post/479022/
PS интернет смарт-телевизору ни к чему
https://t.me/alexmakus/3167
или открытое признание технического директора одной из компаний, производящих телевизоры, что это их способ снизить цены на телевизоры — собирать и продавать данные пользователей
https://t.me/alexmakus/2589
или замечательная история многих других производителей
https://t.me/alexmakus/2218
Так и материал на Хабре, присланный читателем, написан по материалам The Washington Post (https://www.washingtonpost.com/technology/2019/09/18/you-watch-tv-your-tv-watches-back/) и другим источникам о том, как смарт-ТВ анализируют контент на телевизоре и собирают информацию для последующего таргетинга рекламой и прочих улучшений экспириенса. Ваши данные нужны всем.
https://habr.com/ru/post/479022/
PS интернет смарт-телевизору ни к чему
Telegram
Информация опасносте
Безопасность СмартТВ — дело важное, даже ФБР рассказывает, что нужно делать по этому поводу и как обезопаситься от этого гаджета, и встроенных в телевизоры микрофонов, камер и проч.
https://www.fbi.gov/contact-us/field-offices/portland/news/press-releases/tech…
https://www.fbi.gov/contact-us/field-offices/portland/news/press-releases/tech…
йе, Мак-пользователи могут гордиться тем, что Северная Корея не забывает о них. Бесфайловое (ну почти) заражение с исполнением в памяти, без сохранения на диск — демон, живущий памяти, исполняемый под root, и выживающий после рестартов, а потом загружающий с сервера код для исполнения. Авторство указывает на группу Lazarus, которая считается северокорейской группировкой. Вирус маскируется под приложение для торговли криптовалютой, да и обычному пользователю особо опасаться нечего — Макос предупредит о неподписанном ПО. Подозреваю, что все это делается для воровства криптовалют. Хотя сам факт прогресса таких вирусов под Маком — это интересно.
подробный отчет по ссылке
https://objective-see.com/blog/blog_0x51.html
подробный отчет по ссылке
https://objective-see.com/blog/blog_0x51.html
objective-see.org
Lazarus Group Goes 'Fileless'
an implant w/ remote download & in-memory execution
Тоже интересный материал по анализу сервиса TikTok и сайта компании. Бесконечная слежка за пользователями и их действиями, фингерпринтинг устройств, использование ПО без надлежащей лицензии, хранение данных неизвестно где. Хороший сервис, не зря его в Штатах пытаются расследовать в рамках угрозы национальной безопасности
https://rufposten.de/blog/2019/12/05/privacy-analysis-of-tiktoks-app-and-website/
https://rufposten.de/blog/2019/12/05/privacy-analysis-of-tiktoks-app-and-website/
rufposten.de
Privacy Analysis of Tiktok’s App and Website
I did a detailed privacy check of the app TikTok and its corresponding website. Multiple law infringements, trust, transparency and data protection breaches were found.I provide all technical an