кстати, о пользовательских данных. Avast, разработчик антивирусных решений, собирает информацию о пользователях и поведении в браузерах для последующей продажи. Они утверждают, что вся информация анонимизирована и не может быть прослежена до индивидуального пользователя. Анонимизацией и продажей занимается компания Jumpshot, которая рекламирует свои услуги как доступ к информации о поведении 100 млн человек, с возможностью просмотра взаимодействий с брендами, продуктами. И сортировкой по категориям, странам и доменам.
https://www.forbes.com/sites/thomasbrewster/2019/12/09/are-you-one-of-avasts-400-million-users-this-is-why-it-collects-and-sells-your-web-habits/
Более того, сам факт такого сбора и продажи информации особо не афишировался. не зря Мозилла тут, как пару дней назад присылал мне читатель, выперла из их своего каталога расширений. Дело за Google.
https://xakep.ru/2019/12/04/avast-vs-mozilla/
https://www.forbes.com/sites/thomasbrewster/2019/12/09/are-you-one-of-avasts-400-million-users-this-is-why-it-collects-and-sells-your-web-habits/
Более того, сам факт такого сбора и продажи информации особо не афишировался. не зря Мозилла тут, как пару дней назад присылал мне читатель, выперла из их своего каталога расширений. Дело за Google.
https://xakep.ru/2019/12/04/avast-vs-mozilla/
Forbes
Are You One Of Avast’s 400 Million Users? This Is Why It Collects And Sells Your Web Habits.
Avast sells user data but says there's no privacy risk, according to the newly appointed CEO.
Microsoft тут пишет, что среди пользователей Azure AD и Microsoft Services Accounts 44 миллиона пользователей повторно используют комбинации логинов и паролей. Не будьте как эти 44 миллиона пользователей!
https://www.microsoft.com/securityinsights/identity
ну и вообще интересный отчет о трендах в мире киберсека
https://www.microsoft.com/en-us/security/operations/security-intelligence-report
https://www.microsoft.com/securityinsights/identity
ну и вообще интересный отчет о трендах в мире киберсека
https://www.microsoft.com/en-us/security/operations/security-intelligence-report
Microsoft
Get the latest Microsoft Security Intelligence Report
Learn about the latest threats and cybersecurity trends to pay attention to from our research. Get recommendations to protect your organization.
https://plundervolt.com — еще одна атака на процессоры Intel, но к этому моменту кого это уже волнует
PoC будет тут https://github.com/KitMurdock/plundervolt
PoC будет тут https://github.com/KitMurdock/plundervolt
GitHub
GitHub - KitMurdock/plundervolt
Contribute to KitMurdock/plundervolt development by creating an account on GitHub.
Если вам кажется, что в мире происходят сплошные взломы, утечки и хакерские атаки, то вам не кажется. Вот список худших инцидентов в 2019 году, и там все плохо. А будет ещё хуже.
https://www.zdnet.com/article/these-are-the-worst-hacks-cyberattacks-and-data-breaches-of-2019/
https://www.zdnet.com/article/these-are-the-worst-hacks-cyberattacks-and-data-breaches-of-2019/
ZDNET
These are the worst hacks, cyberattacks, and data breaches of 2019
A slew of hacks, data breaches, and attacks tainted the cybersecurity landscape in 2019.
Котаны, тут такое дело. Если вы в Штатах (список поддерживаемых стран в комментарии) и у вас пока нет хардварных ключей безопасности, то вам крупно повезло
https://store.google.com/config/titan_security_key
С кодом B-TITAN35OFF можно получить скидку 35 долларов и купить набор ключиков, например. Не реклама, когда код перестанет действовать - не знаю, enjoy while it lasts! Я вот себе по случаю usb-c ключик прикупил. Несите добро!
АПД пишут, что уже закончились ключики.
https://store.google.com/config/titan_security_key
С кодом B-TITAN35OFF можно получить скидку 35 долларов и купить набор ключиков, например. Не реклама, когда код перестанет действовать - не знаю, enjoy while it lasts! Я вот себе по случаю usb-c ключик прикупил. Несите добро!
АПД пишут, что уже закончились ключики.
Владельцам айфонов будет полезно узнать, что:
а) вчера выкатили апдейт iOS 13.3, в котором исправили баг в AirDrop. Эксплуатация бага (когда можно было слать на устройство неограниченное количество файлов) приводила, по сути к блокировке работы на устройстве, куда слались файлы). Поскольку информация о баге теперь известна, то шутники могут взять его на вооружение, так что лучше поставить апдейтик (ну или убегать из радиуса действия такого шутника)
https://techcrunch.com/2019/12/10/ios-airdrop-lock-up-iphones/
б) различных уязвимостей в новом апдейте исправили приличное количество
https://support.apple.com/en-nz/HT210785
в) в этом релизе также добавили полноценную поддержку аппаратных ключей безопасности в Safari (вот таких, что у Гугл была распродажа вчера, кстати). теперь есть нативная поддержка USB-C и NFC-ключей на уровне системы
короче, нет повода не обновиться.
а) вчера выкатили апдейт iOS 13.3, в котором исправили баг в AirDrop. Эксплуатация бага (когда можно было слать на устройство неограниченное количество файлов) приводила, по сути к блокировке работы на устройстве, куда слались файлы). Поскольку информация о баге теперь известна, то шутники могут взять его на вооружение, так что лучше поставить апдейтик (ну или убегать из радиуса действия такого шутника)
https://techcrunch.com/2019/12/10/ios-airdrop-lock-up-iphones/
б) различных уязвимостей в новом апдейте исправили приличное количество
https://support.apple.com/en-nz/HT210785
в) в этом релизе также добавили полноценную поддержку аппаратных ключей безопасности в Safari (вот таких, что у Гугл была распродажа вчера, кстати). теперь есть нативная поддержка USB-C и NFC-ключей на уровне системы
короче, нет повода не обновиться.
TechCrunch
An iOS bug in AirDrop let anyone temporarily lock-up nearby iPhones
Apple fixed the bug in iOS 13.3.
интересное расследование Медузы об участниках группировки EvilCorp
https://meduza.io/feature/2019/12/11/ruchnye-hakery-ekstravagantnye-millionery
о них я писал тут
https://t.me/alexmakus/3169
https://meduza.io/feature/2019/12/11/ruchnye-hakery-ekstravagantnye-millionery
о них я писал тут
https://t.me/alexmakus/3169
Meduza
Ручные хакеры, экстравагантные миллионеры
5 декабря США выдвинули официальные обвинения против российской хакерской группировки Evil Corp. Ее называют «самой вредоносной в мире»: ущерб от атак Evil Corp против банков оценивается в сотни миллионов долларов. Организатором группировки американский Минюст…
камеры Ring (компания принадлежит Amazon) в этом канале фигурируют, наверно, не реже, чем Фейсбук со всеми своими факапами. В основном по поводу того, как они дружат с полицией, и предоставляют без каких либо ордеров возможность полиции просматривать видео с камер, причем без уведомления владельцев камер. А была еще история про то, как сотрудники компании (с офисом в Украине) просматривали видео и идентифицировали объекты на видео. Но тут сразу две новости, и обе прекрасны сами по себе:
- журналисты Gizmodo смогли собрать довольно большую базу локаций установленных камер на основании анализа трафика приложения Neighbors, которое используется владельцами камер. Неплохую систему видеонаблюдения построил Амазон. И это только малая часть этих камер.
https://gizmodo.com/ring-s-hidden-data-let-us-map-amazons-sprawling-home-su-1840312279
Но дальше веселее. В Теннесси семейство рассказало, как злоумышленники получили доступ к камере, установленной в комнате их дочерей, и даже разговаривал с одной из них через спикеры-микрофон устройства. Разумеется, виноваты пользователи, не установившие себе 2ФА на аккаунт с камерой. но злоумышленники тоже не дремлют. Они уже распространяют ПО для ускорения перебора камер и наборов логинов-паролей как раз для поиска таких камер.
https://www.wmcactionnews5.com/2019/12/11/family-says-hackers-accessed-ring-camera-their-year-old-daughters-room/
https://www.vice.com/en_us/article/3a88k5/how-hackers-are-breaking-into-ring-cameras
Меня часто спрашивают, почитав канал: "вот ты пишешь про ужасы. а че делать? как защищаться?" Ставить камеру домой (особенно в детскую комнату или в спальню), с подключением к интернету — это по умолчанию искать приключений. Вот, например, один из механизмов минимизации рисков — никаких камер. никакого интернета. никакого электричества 🙂 Ну или хотя бы хороший пароль и 2ФА для таких вещей, а то вы не хотите оказаться на Ютюбе или даже Порнхабе.
- журналисты Gizmodo смогли собрать довольно большую базу локаций установленных камер на основании анализа трафика приложения Neighbors, которое используется владельцами камер. Неплохую систему видеонаблюдения построил Амазон. И это только малая часть этих камер.
https://gizmodo.com/ring-s-hidden-data-let-us-map-amazons-sprawling-home-su-1840312279
Но дальше веселее. В Теннесси семейство рассказало, как злоумышленники получили доступ к камере, установленной в комнате их дочерей, и даже разговаривал с одной из них через спикеры-микрофон устройства. Разумеется, виноваты пользователи, не установившие себе 2ФА на аккаунт с камерой. но злоумышленники тоже не дремлют. Они уже распространяют ПО для ускорения перебора камер и наборов логинов-паролей как раз для поиска таких камер.
https://www.wmcactionnews5.com/2019/12/11/family-says-hackers-accessed-ring-camera-their-year-old-daughters-room/
https://www.vice.com/en_us/article/3a88k5/how-hackers-are-breaking-into-ring-cameras
Меня часто спрашивают, почитав канал: "вот ты пишешь про ужасы. а че делать? как защищаться?" Ставить камеру домой (особенно в детскую комнату или в спальню), с подключением к интернету — это по умолчанию искать приключений. Вот, например, один из механизмов минимизации рисков — никаких камер. никакого интернета. никакого электричества 🙂 Ну или хотя бы хороший пароль и 2ФА для таких вещей, а то вы не хотите оказаться на Ютюбе или даже Порнхабе.
Gizmodo
Ring’s Hidden Data Let Us Map Amazon's Sprawling Home Surveillance Network
As reporters raced this summer to bring new details of Ring’s law enforcement contracts to light, the home security company, acquired last year by Amazon for a whopping $1 billion, strove to underscore the privacy it had pledged to provide users.
👍1
Ладно, кроме того, чтобы пугать вас всевозможными и постоянными утечками, хочу поделиться очень полезной ссылкой. Все мы регистрируем массу аккаунтов то там, то сям. Этот хвост аккаунтов тянется за нами очень долго, и часто особо даже руки не доходят до того, чтобы их удалять. так вот, есть очень удобная страничка, на которой размещен большой список различных онлайн-сервисов. Там же сразу есть:
- либо ссылка на страницу по удалению аккаунта
- либо же инструкции, как этот аккаунт удалить.
рано или поздно, чтото из этого может пригодиться. добавьте в закладки
https://backgroundchecks.org/justdeleteme/
- либо ссылка на страницу по удалению аккаунта
- либо же инструкции, как этот аккаунт удалить.
рано или поздно, чтото из этого может пригодиться. добавьте в закладки
https://backgroundchecks.org/justdeleteme/
фишинг в Телеграме. Надо отдать должное самому ТГ, сообщение пришло в 9.51, а в 9.59 аккаунт уже был отмечен как удаленный. Но я что хочу сказать. Фишеры - ленивые мудаки, даже английский текст нормально не смогли написать, эту белиберду с кучей ошибок должно быть стыдно распространять.
Кстати, раз уж ТГ удаляет отправителей, то такие сообщения тоже надо бы удалять, отмечая их как спам
Кстати, раз уж ТГ удаляет отправителей, то такие сообщения тоже надо бы удалять, отмечая их как спам
По наводке читателя история про "умные" замки, которые можно вскрыть благодаря уязвимости, которую нельзя исправить. Потому что (сюрприз!) обмен ключами шифруется с использованием MAC-адреса устройства. Заходи кто хочешь, бери что хочешь!
https://labs.f-secure.com/blog/digital-lockpicking-stealing-keys-to-the-kingdom
https://xakep.ru/2019/12/13/keywe/
https://labs.f-secure.com/blog/digital-lockpicking-stealing-keys-to-the-kingdom
https://xakep.ru/2019/12/13/keywe/
Воры украли(!) незашифрованные(!) диски с банковскими(!) данными 29 тысяч сотрудников Фейсбука (зарплаты, бонусы, частная финансовая информация). При этом сотрудник зарплатного отдела, потащивший с собой в машине эти диски, вроде как даже не имел права этого делать (wtf вообще)
https://www.bloomberg.com/news/articles/2019-12-13/thief-stole-payroll-data-for-thousands-of-facebook-employees
https://www.bloomberg.com/news/articles/2019-12-13/thief-stole-payroll-data-for-thousands-of-facebook-employees
Bloomberg.com
Thief Stole Payroll Data for Thousands of Facebook Employees
Personal banking information for tens of thousands of Facebook Inc. workers in the U.S. was compromised last month when a thief stole several corporate hard drives from an employee’s car.
ведя этот канал уже несколько лет, какое-то время назад начал испытывать сильнейшее чувство дежавю. мне все время кажется, что "об этой проблеме я уже писал". а они все повторяются и повторяются, вот как, например, история с ключами выше. А вот снова про детские "умные" часы, которые оказываются не такими умными. Марки, доступные на Амазон — GreaSmart, Jsbaby и Smarturtle — предназначены для мониторинга детей. Все они идентичны аппаратно и программно, ошибка для всех часов общая: как минимум, часы умеют принимать по СМС файлы изменения конфигурации, что позволяет нападающему, используя пароль, установленный по умолчанию (123456), менять настройки часов. В итоге открываются возможности перехвата часов и слежки за перемещением детей совсем не родителям этих детей. Это как с "умными" телевизорами — самый простой способ в этом случае не покупать детям подобное барахло. А то им на часы потом начнут всякие любители поболтать с детишками звонить.
https://blog.rapid7.com/2019/12/11/iot-vuln-disclosure-childrens-gps-smart-watches-r7-2019-57/
https://blog.rapid7.com/2019/12/11/iot-vuln-disclosure-childrens-gps-smart-watches-r7-2019-57/
Rapid7
IoT Vuln Disclosure: Children's GPS Smart Watches (R7-2019-57) | Rapid7 Blog
In a recent IoT hacking training exercise, Rapid7 penetration testers set out to find vulnerabilities in a number of children's GPS-enabled smart watches.
и снова понедельник, снова трудо выебудни! (ну, понедельник уже почти закончился, но неважно). просто полезная тулза, разбивающая параметры УРЛов на компоненты для дальнейшего изучения. это позволяет больше узнать о том, что же на самом деле закодировано в адресе
https://dfir.blog/introducing-unfurl/
https://dfir.blog/introducing-unfurl/
dfir.blog
Introducing Unfurl
Unfurl takes a URL and expands ("unfurls") it into a directed graph, extracting every bit of information from the URL and exposing the obscured. It does this by breaking up a URL up into components, extracting as much information as it can from each piece…
Системы распознавания лиц в аэропортах, в платежных системах и других важных местах могут быть обмануты с помощью напечатанных трехмерных масок и даже фотографий. Никогда такого не было, и вот опять!
https://fortune.com/2019/12/12/airport-bank-facial-recognition-systems-fooled/
https://fortune.com/2019/12/12/airport-bank-facial-recognition-systems-fooled/
Fortune
Look How Easy It Is to Fool Facial Recognition—Even at the Airport
An experiment by Kneron shows facial recognition is less secure than many think.
Показали результаты фишинг-тестирования в одной компании, где фишинговое письмо рассылал IT-отдел. 15% человек кликнули на ссылку в письме, 6% ввели пароль. Админы, помните о том, что люди — самое слабое звено.
не успела Google и операторы запустить "новую SMS" — стандарт RCS для обмена сообщениями, как там уже нашли уязвимость, которая делает этот стандарт ничем не лучше, чем SMS.
https://www.wired.com/story/rcs-texting-security/
https://www.wired.com/story/rcs-texting-security/
Wired
The Future of Texting Is Far Too Easy to Hack
Rich Communication Services promises to be the new standard for texting. Thanks to sloppy implementation, it's also a security mess.