как я и обещал, заводим дайджест новостей о компании Zoom.
1. сохраненные видео звонков Zoom хранились доступными в интернете. Сервис сохранял такие видео на отдельный открытый амазоновский бакет, а логика наименования файлов позволяла подбирать названия
https://www.washingtonpost.com/technology/2020/04/03/thousands-zoom-video-calls-left-exposed-open-web/

2. в школах НьюЙорка, где сейчас применяется удаленное обучение, запретили использование Zoom в связи с проблемами безопасности пользовательской информации
https://techcrunch.com/2020/04/05/zoom-new-york-city-schools/

парочка zero-days у Firefox, которые эксплуатировались в онлайне. апдейт!
https://www.mozilla.org/en-US/security/advisories/mfsa2020-11/

ну и компания Mariott опять в новостях с утечкой 5,2 млн записей клиентов сети гостиниц. да где этому конец, у них и так уже утекло все, что можно
https://www.ajc.com/news/marriott-announces-data-breach-that-could-affect-million/X1KeVPifB93nBiwNV6zcTM/

и к хорошим новостям. Microsoft купила за 1,7 млн долл домен corp.com, чтобы он не достался злодеям. таким образом компания решает проблему конфликта доменов, когда внутрикорпоративные домены могут совпадать с внешними. Это могло вызвать ситуации с перехватом данных, которые Windows PC из корпоративных сетей отправляли бы на внутренний домен, а на самом деле на внешний.
https://krebsonsecurity.com/2020/04/microsoft-buys-corp-com-so-bad-guys-cant/

В эпоху карантина и самоизоляции немного полезной информации — сайт с материалами по обучению крипто (-графии, а не -валюте)
https://cryptohack.org

Talos опубликовали результаты исследования о том, насколько безопасно сканирование отпечатков пальцев как метод аутентификации пользователей. Специалисты компании рассказывают о печати отпечатков пальцев и тестировании оборудования от компаний Apple, Microsoft, Samsung и Huawei, а также некоторых производителей “умных” замков. Вывод исследователей такой, что как альтернатива вводу паролей этот метод хоть и работает, но подходит далеко не для всех. Особенно не подходит для тех, кто может оказаться жертвой совершенно целенаправленной атаки с хорошим оборудованием.

https://blog.talosintelligence.com/2020/04/fingerprint-research.html

- партнерский материал -
Как организована удаленка в вашей компании?

Positive Technologies проводит опрос, чтобы выбрать приоритеты в разработке способов защиты IT-инфраструктуры.
Пожалуйста, ответьте анонимно на семь вопросов:

http://bit.ly/homeofficesurvey
- партнерский материал -

я писал как-то о том, что в штатах под видом защиты детей от насилия и эксплуатации хотят протянуть закон EARN IT, который бы нанес существенный вред компаниям, которые внедряют в своих продуктах сквозное шифрование коммуникаций. Просто хороший пример того, как политики, продвигающие эти изменения, не могут найти свою жопу двумя руками, ну, или просто не хотят. Сначала они одной рукой пишут и продвигают этот EARN IT, а другой возмущаются по поводу Zoom и отсутствия в нем нормального шифрования. Бляди, сэр.
https://arstechnica.com/tech-policy/2020/04/senator-backing-anti-crypto-bill-calls-out-zooms-lack-of-end-to-end-crypto/

Можно только себе представить, что может получиться, если там не будет проведена должная экспертиза безопасности. Сервисы в интернете «напечатай себе цифровой пропуск за 500 рублей» - самое безобидное, что приходит в голову

https://www.rbc.ru/politics/10/04/2020/5e9070029a7947c65f80183b

ждём, ждём

https://arstechnica.com/features/2020/04/some-shirts-hide-you-from-cameras-but-will-anyone-wear-them/

Владельцам роутеров Linksys Smart Wi-Fi компания передает свои приветствия и рекомендации по сбросу пароля в связи с возможным взломом устройств. Похоже, происходит активный credentials stuffing в аккаунты пользователей, которые применяют одни и те же пароли в разных аккаунтах, а страдают в итоге все.
https://www.linksys.com/us/support-article?articleNum=317063

как сообщают читатели, информация безопасносте!
https://send.firefox.com/

На прошлой неделе Apple и Google анонсировали одну интересную инициативу по отслеживанию контактов с людьми, которые получили подтверждение при тестировании на COVID-19. Суть заключается в том, что смартфоны с операционными системами обеих компаний будут обмениваться анонимными идентификационными ключами через Bluetooth LE, что будет выступать подтверждением близкого контакта. Если кто-то из этой пары позже был продиагностирован на наличие COVID-19, этот человек может отметить это в своем приложении (на сервер будут залиты последние 14 дней идентификационных ключей, которые меняются каждые 15 минут). Система в таком случае уведомит других юзеров, у которых был близкий контакт с этими ключами. Система не предполагает использования геолокации, а расчет совпадения с ключами будет происходить локально на устройствах, что должно обеспечить достаточно высокий уровень конфиденциальности пользовательских данных и сохранить анонимность.

Сам “продукт” в данном случае — это набор API, которые будут представлены в следующем месяце, а уже соответствующие здравоохранительные органы в различных странах смогут использовать эти API для разработки приложений по отслеживанию подобных контактов. В перспективе подобная функциональность будет также встроена в iOS и Android.

Анонс Apple
https://www.apple.com/newsroom/2020/04/apple-and-google-partner-on-covid-19-contact-tracing-technology/
Анонс Google
https://blog.google/inside-google/company-announcements/apple-and-google-partner-covid-19-contact-tracing-technology
Спецификация об обмене ключами по BTLE
https://covid19-static.cdn-apple.com/applications/covid19/current/static/contact-tracing/pdf/ContactTracing-BluetoothSpecification.pdf
Другая техническая информация
https://www.apple.com/covid19/contacttracing/

красота. шикарная находка о захардкоженных ключах в устройствах компании Cellebrite
https://korelogic.com/Resources/Advisories/KL-001-2020-001.txt

Инфосек удивляет и радует (в двух словах - джейлбрейк для более простых вентиляторов легких, который превращает их в продвинутые, и пригодные к использованию в больницах для спасения больных)

https://twitter.com/qrs/status/1250095637535887367


https://arstechnica.com/information-technology/2020/04/firmware-jailbreak-lets-low-cost-medical-devices-act-like-ventilators/

Что, давно новостей про Zoom не было? две zero-days для Мак и Windows за 500 тысяч на рынке, налетай!
https://www.vice.com/en_us/article/qjdqgv/hackers-selling-critical-zoom-zero-day-exploit-for-500000

49 расширений Chrome, которые Google убрала из web store, притворявшиеся криптокошельками, а на самом деле пытались воровать приватные ключи от них
https://www.zdnet.com/article/exclusive-google-removes-49-chrome-extensions-caught-stealing-crypto-wallet-keys/

======РЕКЛАМА======
21 апреля в 16.00 пройдет круглый стол ANTI-APT ONLINE. Представители «Инфосистемы Джет», Group-IB, Positive Technologies, «АВ Софт» и «Лаборатории Касперского» обсудят тенденции на российском рынке решений для защиты от целенаправленных атак, поделятся видением эффективного построения защиты от сложных атак, расскажут, как продукты работают в режиме удаленной работы, и разберут актуальные кейсы использования Anti-APT для решения конкретных задач.
Регистрируйтесь и приходите: https://events.webinar.ru/jet/antiapt
======РЕКЛАМА======

А помните компанию Clearview AI, про которую я тут неоднократно писал пару месяцев назад? Которая насобирала картинок с фотографиями людей по социальным сетям и другим сервисам, прогнала их через алгоритмы и научила нейросеть распознавать людей на фото и видео. После этого компания начала продавать сервис по распознаванию, по их словам, только правоохранительным органам, а, как оказалось, кому попало (потому что их сервер с базой клиентов взломали). Так вот, теперь им взломали ещё репозиторий - точнее, не взломали, он был неправильно настроен: хоть он и был защищён паролем, но позволял создавать новых пользователей, что и сделал один исследователь безопасности. В репозитории обнаружились код и собранные версии приложений компании, а также токены к Slack, с помощью которых можно было читать переписку сотрудников компании. Короче, молодцы там они

https://techcrunch.com/2020/04/16/clearview-source-code-lapse/