Преступление:
"группа хакеров" шантажирует Apple, угрожая удалить данные сотен миллионов пользователей
https://t.me/alexmakus/1036
Наказание:
два года в тюрьме, но с отсрочкой на 300 часов неоплачиваемой работы с условием соблюдения 6 месяцев электронного наблюдения (вот тут я не понял, то ли это означает браслет на ногу, то ли запрет на работу с компьютером).
https://www.nationalcrimeagency.gov.uk/news/hacker-tried-to-blackmail-apple-by-threatening-to-delete-319m-accounts
"группа хакеров" шантажирует Apple, угрожая удалить данные сотен миллионов пользователей
https://t.me/alexmakus/1036
Наказание:
два года в тюрьме, но с отсрочкой на 300 часов неоплачиваемой работы с условием соблюдения 6 месяцев электронного наблюдения (вот тут я не понял, то ли это означает браслет на ногу, то ли запрет на работу с компьютером).
https://www.nationalcrimeagency.gov.uk/news/hacker-tried-to-blackmail-apple-by-threatening-to-delete-319m-accounts
Telegram
Информация опасносте
Гутенморген! С утра только "хорошие" новости. Некая группа хакеров под названием Turkish Crime Family требует у Apple выкуп в 75 тысяч долларов, а иначе 200 (а то и 300, а то и 559) миллионов iPhone 7 апреля будут удаленно очищены. Хакеры предоставили СМИ…
Возвращаюсь мыслями к скандалу о данных и слежке за пользователями, о которых писала New York Times на прошлой неделе. Пытаюсь понять, что организаторы платформ и/или мы как пользователи можем по этому поводу сделать. С одной стороны, Apple и Google и так задалбывают на своих устройствах всевозможными подтверждениями доступа к тем или иным данным. Но в итоге вся ответственность падает на пользователя, который разрешает или запрещает приложению доступ к данным. А когда разработчик получает разрешение от пользователя и начинает собирать данные, как могут создатели платформ контролировать, что разработчики делают с этими данными, и не продают ли они их на сторону.
С другой стороны, есть масса приложений, которым информация о местоположении действительно нужна. Приложение для показа погоды, например, или навигационное приложение, или приложение для спорта. Если с погодой еще можно ограничить информацию о местоположении городом, например, то с другими категориями уже сложнее. И как должен пользователь разбираться, что вот это бесплатное приложение действительно достойно получать геолокацию с телефона, а другое сливает его в базу разведки ОАЭ или чего-то такого?
Законодательное регулирование — это, конечно, вариант, но всякие GDPR, CCPA и прочее что-то пока привели только к увеличению дурацких писем и уведомлений, а так, чтобы почувствовать себя в информационной безопасности — такого нет. Так и живем.
С другой стороны, есть масса приложений, которым информация о местоположении действительно нужна. Приложение для показа погоды, например, или навигационное приложение, или приложение для спорта. Если с погодой еще можно ограничить информацию о местоположении городом, например, то с другими категориями уже сложнее. И как должен пользователь разбираться, что вот это бесплатное приложение действительно достойно получать геолокацию с телефона, а другое сливает его в базу разведки ОАЭ или чего-то такого?
Законодательное регулирование — это, конечно, вариант, но всякие GDPR, CCPA и прочее что-то пока привели только к увеличению дурацких писем и уведомлений, а так, чтобы почувствовать себя в информационной безопасности — такого нет. Так и живем.
Ну и про Эпол, раз пошла жара. Компания открыла свою bounty-программу для всех желающих, выплаты до 1млн долларов за сохраняющийся взлом ядра без интеракций со стороны пользователя. Какой-нибудь NSO Group за такую дыру заплатит раза в два раза больше.
https://developer.apple.com/security-bounty/payouts/
https://developer.apple.com/security-bounty/payouts/
Bounty - Apple Security Research
Your security research may be eligible for a reward through the Apple Security Bounty. We welcome reports from anyone.
Планы здания британской разведки с размещением сигнализаций и другими средствами предотвращения проникновения пропали. Очевидно, что эти планы могут представлять большой интерес для злоумышленников и шпионов. Джеймс Бонд напрягся
https://www.thesun.co.uk/news/10623272/mi6-sack-builders-hq-blueprints-missing/
https://www.thesun.co.uk/news/10623272/mi6-sack-builders-hq-blueprints-missing/
The Sun
Top secret MI6 blueprints vanish as it's warned they'll be 'gold dust' to criminals
TOP-secret planning documents of MI6’s HQ have gone missing in a shocking security gaffe. More than 100 papers, detailing layout and security measures, vanished from the building, which has feature…
Несколько апдейтов к концу года, которые накопились в закладках. Без особых комментариев, так как из отпуска их просто лениво писать
Разработчик «умных камер» Wyze оставил открытой базу данных клиентов компании, что позволило получить массу персональной информации об этих камерах, пользователях, и много другой персональной информации
https://blog.12security.com/wyze/
Компания подтвердила эту историю (правда, также пожаловались на то, что раскрытие информации обнаружившими её экспертами произошло через несколько минут после того, как они сообщили о ней компании)
https://forums.wyzecam.com/t/updated-12-29-19-data-leak-12-26-2019/79046
Разработчик «умных камер» Wyze оставил открытой базу данных клиентов компании, что позволило получить массу персональной информации об этих камерах, пользователях, и много другой персональной информации
https://blog.12security.com/wyze/
Компания подтвердила эту историю (правда, также пожаловались на то, что раскрытие информации обнаружившими её экспертами произошло через несколько минут после того, как они сообщили о ней компании)
https://forums.wyzecam.com/t/updated-12-29-19-data-leak-12-26-2019/79046
Two Minutes To Midnight
Wyze Essay 1 - Your Information is Exposed
Recently, Wyze, the fast selling consumer camera company, was breached. Personally, in ten years of sysadmin and cloud engineering, I have never encountered a breach of this magnitude.
Компания Wawa - заправки и магазины на восточном побережье США, в основном в Пенсильвании и соседних Штатах — обнаружила вредоносное ПО на терминалах в магазинах и на заправочных колонках. Все 700 точек, с марта по декабрь, ПО собирало данные по банковским картам, включая номера, даты окончания действия карты, имена владельцев. Тот случай, когда новость из канала затрагивает меня лично — за этот период я неоднократно заправлялся на заправках этой компании (к счастью, в большинстве случаев используя Apple Pay, так что данные карты не должны были утечь)
https://www.wawa.com/alerts/data-security
https://www.wawa.com/alerts/data-security
на этом редакция прощается с вами в этом году. Хорошо и безопасно вам встретить Новый год (например, не терять телефоны, включить биометрию, удаление данных после определенного количества попыток ввода пароля, и тд), ну и провести его тоже хорошо. Тематика этого канала такая, что я бы даже предпочёл, чтобы необходимости для новых постов было меньше, но реальность такова, что их станет, скорей всего больше. До новых постов!
С Новым годом, с новыми будущими утечками и информационными опасностями!
Уже даже в популярных массовых СМИ появляются статьи о том, что телевизоры собирают информацию о пользователях и просматриваемом контенте, и как это отключить. Может, пригодится. Я ещё и телевизор от вайфая отключил, потому что незачем это ему.
https://www.usatoday.com/story/tech/2020/01/02/amazon-fire-sony-vizio-smart-tvs-spying/2792152001/
https://www.usatoday.com/story/tech/2020/01/02/amazon-fire-sony-vizio-smart-tvs-spying/2792152001/
USA TODAY
Your smart TV is spying on you. Here are step-by-step instructions to stop it
Smart TV sets have settings for adjusting your preferences. You can take control and tell the TV manufacturers not to sell your data.
https://www.androidpolice.com/2020/01/02/uh-oh-xiaomi-camera-feed-showing-random-homes-on-a-google-nest-hub-including-still-images-of-sleeping-people/
Лол. «Умные» гаджеты такие умные
Лол. «Умные» гаджеты такие умные
Android Police
Google shuts down Xiaomi access to Assistant following Nest Hub picking up strangers' camera feeds (Update: Fully resolved)
Readers like you help support Android Police. When you make a purchase using links on our site, we may earn an affiliate commission. Read More.
Привет. Будем потихоньку выходить из праздничной комы, тем более, что в мире инфосека жизнь не останавливась, а даже сильно бурлит. геополитика, к сожалению, стала неотделима от инфосека, и, в частности, в ближайшее время мы увидим много инфосек новостей, где будут фигурировать США и Иран. за последние пару дней уже появилось много апдейтов с дефейсами сайтов, но стоит ожидать и более серьезных экшенов.
но пока что попроще новости — приложения в Google Play (Camero, FileCrypt и callCam) используют известные уязвимости, которые применяет в своей деятельности NSO Group. Приложения втихаря рутят устройства, и потом выгребают всю пользовательскую информацию с телефонов
https://blog.trendmicro.com/trendlabs-security-intelligence/first-active-attack-exploiting-cve-2019-2215-found-on-google-play-linked-to-sidewinder-apt-group/
но пока что попроще новости — приложения в Google Play (Camero, FileCrypt и callCam) используют известные уязвимости, которые применяет в своей деятельности NSO Group. Приложения втихаря рутят устройства, и потом выгребают всю пользовательскую информацию с телефонов
https://blog.trendmicro.com/trendlabs-security-intelligence/first-active-attack-exploiting-cve-2019-2215-found-on-google-play-linked-to-sidewinder-apt-group/
Trend Micro
First Binder Exploit Linked to SideWinder APT Group
We found malicious apps that work together to compromise devices and collect user data. One of the apps, called Camero, exploits CVE-2019-2215, a flaw that exists in Binder. This is the first instance in the wild that exploits said UAF vulnerability.
все ходит по кругу. 4 года назад Apple и ФБР бодались за разблокировку айфона террориста, расстрелявшего людей в Калифорнии. (благодаря той истории, наверно, и начался этот канал). Теперь, кажется, у нас есть повтор, только террорист в этот раз из Флориды. ФБР пытается вскрыть айфоны Мухамеда Саид Алшамрани, который убил трех человек на военно-морской базе в Пенсаколе, Флорида. Apple утверждает, что все, что у компании было, она уже передала в ФБР (видимо, речь идет о бекапах в iCloud, которые компания может расшифровывать, хотя и не полностью). Пишут, что террорист перед смертью выстрелил в один из айфонов, что еще больше усложняет процесс добывания данных с него. Вряд ли в этот раз дойдет до угроз посадить Тима Кука в тюрьму. Но вообще в Конгрессе США все чаще раздаются призывы "обуздать технологические компании" и требования обеспечить бэкдоры для доступа к устройствам и коммуникационным системам. посмотрим, что будет
https://www.nbcnews.com/news/us-news/fbi-seeks-apple-s-help-unlocking-phones-suspected-pensacola-naval-n1111636
https://www.nbcnews.com/news/us-news/fbi-seeks-apple-s-help-unlocking-phones-suspected-pensacola-naval-n1111636
NBC News
FBI seeks Apple's help unlocking phones of suspected Pensacola gunman
Phones thought to belong to the Saudi air force member accused in the deadly attack are password-protected.
кстати, про Apple и данные в облаках еще вот. на CES, проходящей в Лас Вегасе в эти дни, директор Apple по конфиденциальности, рассказала о том, что компания сканирует фотографии, которые пользователи хранят в iCloud Photo Library, на предмет наличия фотографий, содержащих сцены насилия над детьми.
Скорей всего, Apple использует PhotoDNA — систему сверки хешей с базой данных, где уже содержится информация о известных фотографиях с таким контентом. У Apple есть специальная страничка, на которой они предупреждают о таком сканировании, и там же говорится, что при обнаружении таких фотографий аккаунты пользователей будут блокироваться.
https://www.apple.com/legal/child-safety/en-ww/index.html
https://www.telegraph.co.uk/technology/2020/01/08/apple-scans-icloud-photos-check-child-abuse/
PS другое дело, что спорный момент, что Apple берет на себя роль цензора в этом случае. типа логика "раз ты злодей и нарушаешь закон, то хрен тебе, а не возможность использовать наш сервис", но так можно и до абсурда довести.
Скорей всего, Apple использует PhotoDNA — систему сверки хешей с базой данных, где уже содержится информация о известных фотографиях с таким контентом. У Apple есть специальная страничка, на которой они предупреждают о таком сканировании, и там же говорится, что при обнаружении таких фотографий аккаунты пользователей будут блокироваться.
https://www.apple.com/legal/child-safety/en-ww/index.html
https://www.telegraph.co.uk/technology/2020/01/08/apple-scans-icloud-photos-check-child-abuse/
PS другое дело, что спорный момент, что Apple берет на себя роль цензора в этом случае. типа логика "раз ты злодей и нарушаешь закон, то хрен тебе, а не возможность использовать наш сервис", но так можно и до абсурда довести.
The Telegraph
Apple scans photos to check for child abuse
Apple scans photos to check for child sexual abuse images, an executive has said, as tech companies come under pressure to do more to tackle the crime.
The Guardian пишет, что аудиообращения к голосовому помощнику Cortana, а также некоторые аудио и видео звонки из приложения Skype были доступны китайским сотрудникам и подрядчикам компании без каких-либо ограничений по безопасности. Задача сотрудников была в том, чтобы оценивать качество голосовых распознаваний и звонков, и занимались они этим с личных устройств, ходя одним аккаунтом.
PS а помните, Microsoft показывала функцию перевода голосов в скайп? кажется, я понимаю теперь, как она на самом деле работает.
https://www.theguardian.com/technology/2020/jan/10/skype-audio-graded-by-workers-in-china-with-no-security-measures
PS а помните, Microsoft показывала функцию перевода голосов в скайп? кажется, я понимаю теперь, как она на самом деле работает.
https://www.theguardian.com/technology/2020/jan/10/skype-audio-graded-by-workers-in-china-with-no-security-measures
the Guardian
Skype audio graded by workers in China with 'no security measures'
Exclusive: former Microsoft contractor says he was emailed login after minimal vetting