По наводке читателя история про "умные" замки, которые можно вскрыть благодаря уязвимости, которую нельзя исправить. Потому что (сюрприз!) обмен ключами шифруется с использованием MAC-адреса устройства. Заходи кто хочешь, бери что хочешь!
https://labs.f-secure.com/blog/digital-lockpicking-stealing-keys-to-the-kingdom
https://xakep.ru/2019/12/13/keywe/

Воры украли(!) незашифрованные(!) диски с банковскими(!) данными 29 тысяч сотрудников Фейсбука (зарплаты, бонусы, частная финансовая информация). При этом сотрудник зарплатного отдела, потащивший с собой в машине эти диски, вроде как даже не имел права этого делать (wtf вообще)

https://www.bloomberg.com/news/articles/2019-12-13/thief-stole-payroll-data-for-thousands-of-facebook-employees

ведя этот канал уже несколько лет, какое-то время назад начал испытывать сильнейшее чувство дежавю. мне все время кажется, что "об этой проблеме я уже писал". а они все повторяются и повторяются, вот как, например, история с ключами выше. А вот снова про детские "умные" часы, которые оказываются не такими умными. Марки, доступные на Амазон — GreaSmart, Jsbaby и Smarturtle — предназначены для мониторинга детей. Все они идентичны аппаратно и программно, ошибка для всех часов общая: как минимум, часы умеют принимать по СМС файлы изменения конфигурации, что позволяет нападающему, используя пароль, установленный по умолчанию (123456), менять настройки часов. В итоге открываются возможности перехвата часов и слежки за перемещением детей совсем не родителям этих детей. Это как с "умными" телевизорами — самый простой способ в этом случае не покупать детям подобное барахло. А то им на часы потом начнут всякие любители поболтать с детишками звонить.

https://blog.rapid7.com/2019/12/11/iot-vuln-disclosure-childrens-gps-smart-watches-r7-2019-57/

и снова понедельник, снова трудо выебудни! (ну, понедельник уже почти закончился, но неважно). просто полезная тулза, разбивающая параметры УРЛов на компоненты для дальнейшего изучения. это позволяет больше узнать о том, что же на самом деле закодировано в адресе

https://dfir.blog/introducing-unfurl/

Системы распознавания лиц в аэропортах, в платежных системах и других важных местах могут быть обмануты с помощью напечатанных трехмерных масок и даже фотографий. Никогда такого не было, и вот опять!
https://fortune.com/2019/12/12/airport-bank-facial-recognition-systems-fooled/

Показали результаты фишинг-тестирования в одной компании, где фишинговое письмо рассылал IT-отдел. 15% человек кликнули на ссылку в письме, 6% ввели пароль. Админы, помните о том, что люди — самое слабое звено.

не успела Google и операторы запустить "новую SMS" — стандарт RCS для обмена сообщениями, как там уже нашли уязвимость, которая делает этот стандарт ничем не лучше, чем SMS.
https://www.wired.com/story/rcs-texting-security/

во-первых, это красиво... аналоговая очередь за цифровыми паролями!

https://twitter.com/svblxyz/status/1206948966442708992

Преступление и наказание:

Давненько я писал тут про сервис Unroll.me — сервис по отписыванию от рассылок, который, сюрприз!, выгребал и анализировал пользовательскую почту без того, чтобы надлежащим образом пользователей об этом проинформировать. и вообще говорил, что они не такие.
https://t.me/alexmakus/1102

Теперь же компания достигла соглашения с Федеральной Комиссией по Торговле о том, что "были неправы, обманывали пользователей". В качестве наказания компания должна будет удалить всю собранную почту, а также ей "запрещено неверно информировать пользователей о сборе и применении пользовательской информации". В общем, как обычно, просто дали по рукам
https://www.ftc.gov/news-events/press-releases/2019/08/operator-email-management-service-settles-ftc-allegations-it

Количество дней с последнего инцидента со смартчасами-трекерами для детей:
0

Виной всему — облачный сервис, который использует большое количество производителей таких трекеров, и где хранится информация о местоположении детей, а также аудиозаписи переговоров между родителями и детьми. Трекеры, как правило, строятся на одной платформе, и потом продаются под разными брендами, но ходят в один и тот же клаудный сервис. А сам этот сервис позволяет удаленно мониторить пользовательские устройства, в том числе и тем, кому это не положено.

https://www.pentestpartners.com/security-blog/kids-tracker-watches-cloudpets-exploiting-athletes-and-hijacking-reality-tv/?=pen-test-partners

преступление: взлом Zynga

https://t.me/alexmakus/3077

Последствия:
Уведомление от Have I been pwned — "You're one of 172,869,660 people pwned in the Zynga data breach"

Так, хорошие новости: Фейсбук наконец-то прекратит использовать номер телефона, который добавляли пользователи для 2ФА, для рекомендаций среди друзей (то, что они с самого начала не должны были бы делать). Плохие новости — это то, что пользователям, номер которых Фейсбук уже использует для рекомендаций, надо номер удалить и потом передобавить. Ну или просто удалить, что, конечно, лучше.
https://www.reuters.com/article/us-facebook-privacy-idUSKBN1YN26Q

Количество дней без упоминания производителя камер Ring в канале:

0

какая-то странная утечка 3,6 тысчч аккаунтов пользователей Ring, включая логины, пароли и названия местоположений камер (что, конечно, позволяло бы злоумышленникам подключаться к камерам). Ring отрицает взлом, а формат утечки предполагает, что информация была взята из базы данных компании. Все еще хотите чужую камеру себе домой?
https://www.buzzfeednews.com/article/carolinehaskins1/data-leak-exposes-personal-data-over-3000-ring-camera-users

Эксперты Positive Technologies обнаружили критическую уязвимость в Citrix Application Delivery Controller (NetScaler ADС) и Citrix Gateway (NetScaler Gateway). В случае ее эксплуатации злоумышленник получает прямой доступ в локальную сеть компании из интернета. Для проведения такой атаки не требуется доступ к каким-либо учетным записям, а значит, выполнить ее может любой внешний нарушитель.

https://ko.com.ua/kriticheskaya_uyazvimost_v_po_citrix_pozvolyaet_proniknut_v_seti_desyatkov_tysyach_kompanij_131313
https://support.citrix.com/article/CTX267027

ну и хорошая история почитать на выходных, с отличной визуализацией: как журналисты The New York Times получили огромный архив данных о местоположении миллионов американцев за 2016-2017 год и что можно из этой информации получить. не буду спойлить, это очень хороший материал
https://www.nytimes.com/interactive/2019/12/19/opinion/location-tracking-cell-phone.html

Для чтения на выходных и вообще как пример хорошо изложенного материала — новая версия документа Apple Platform Security (ранее известный как iOS Security Guide). Практически все, что вас может заинтересовать о том, как работает безопасность в устройствах и операционных системах Apple, изложена понятным и не сильно техническим языком.

https://manuals.info.apple.com/MANUALS/1000/MA1902/en_US/apple-platform-security-guide.pdf