Всякие полезные советы от Google о том, как улучшить свою онлайн-безопасность во время работы из дома из-за эпидемии
https://blog.google/technology/safety-security/helping-you-avoid-covid-19-security-risks/

я тут в этом месяце много писал плохого про Zoom, так что для баланса должен написать и то, что они выпустили (АПД — не выпустили, но вот-вот) версию 5.0 с некоторыми улучшениями безопасности. В частности, теперь можно быстро залочить звонок, удалить участника, ограничить возможности по показу экрана или по чату во время звонка. Также по умолчанию для многих пользователей включены пароли, и появилась политика для админов по настройке сложности пароля. Лучше поздно, чем никогда.

https://blog.zoom.us/wordpress/2020/04/22/zoom-hits-milestone-on-90-day-security-plan-releases-zoom-5-0/

Ответ Apple по поводу уязвимостей в почтовом клиенте iOS, которые были обнаружены компанией ZecOps.

Google и Apple, которые разрабатывают совместно технологию отслеживания контактов с людьми, которые могли быть носителями нового коронавируса, сегодня сообщили дополнительную информацию о методах, которые компании планируют применять для реализации этого отслеживания. В частности, речь идет о дополнительных условиях генерации случайных ключей, шифровании метаданных Bluetooth, ограничении диапазона пересечения с зараженными до 30 минут, и других методах для улучшения мер по сохранению конфиденциальности пользователей.

О самом анонсе пару недель назад я писал тут:
https://t.me/alexmakus/3405

Кроме этого, сама технология теперь будет называться Exposure Notification — “Уведомление о попадании в зону воздействия”, а публичный запуск технологии произойдет в середине мая (ранняя бета будет доступна 28 апреля). Компании еще раз уточнили, что система не предполагает раскрытия личности человека, который может быть заражен вирусом, а также не содержит в себе информации о геолокации — она не собирает и не хранит её. Госорганы здравоохранения смогут использовать API для разработки своих приложений, и смогут регулировать настройки по времени попадания в зону воздействия до максимального значения 30 минут. Это осложнит привязку ключа к определенному пользователю.

https://covid19-static.cdn-apple.com/applications/covid19/current/static/contact-tracing/pdf/ExposureNotification-FAQv1.0.pdf

Nintendo тут призывает пользователей проверить в аккаунтах лишние покупки и неавторизованные логины. Похоже, реюз паролей и слабые пароли привели к тому, что примерно у 160 тыс пользователей появилась различная неавторизованная активность в аккаунтах. Нинтендо призывает включить 2FA на аккаунтах и сбросит пароли тем пользователям, которых затронула эта история

https://www.nintendo.co.jp/support/information/2020/0424.html

http://www.nintendolife.com/news/2020/04/nintendo_confirms_that_around_160000_accounts_may_have_been_hacked_personal_info_possibly_at_risk

Отличный тред в твиттере с реверсом приложения для отслеживания контактов с заболевшими COVID-19, которое выпустили в Австралии для граждан страны

https://twitter.com/matthewrdev/status/1254336105203200000

​​===== РЕКЛАМА ======
Skolkovo Cybersecurity Challenge – конкурс стартапов в области защиты бизнеса и частных лиц от киберугроз. Победитель выйдет в финал ИТ-трека Startup Village и сможет побороться за призовой фонд в 6 млн. рублей. Прием заявок уже идет:
Конкурс Cybersecurity Challenge – https://cyberday.sk.ru/cybersecurity-challenge/
Номинация Kaspersky Lab – https://cyberday.sk.ru/konkurs-proektov-cybersecurity-challenge/
===== РЕКЛАМА ======

Читатель прислал ссылку, которая будет интересна другим подписчикам из Украины - речь идет о возможной утечке данных клиентов популярного банка Приватбанк.

В мессенджере Telegram появилось два бота, которые ищут персональные данные украинских пользователей по номеру телефона за деньги. Один бот под названием «Досье» уже закрыт, второй еще работает. Боты предположительно берут данные из украденной базы пользователей «ПриватБанка».

https://ain.ua/2020/04/27/v-telegram-zarabotali-boty-kotorye-po-nomeru-vydayut-inn/

в бесконечно далеком 2017 году я писал о компании Vizio — американском производителе телевизоров. Там выяснилось, что они собирали информацию об изображении на телевизоре для последующей аналитики и продажи рекламы, не предупреждая об этом пользователей. На компанию подали в суд, и компания согласилась выплатить компенсацию. Вот мне пришло письмо о том, что уже скоро придут денежки. Наверно, целых 5 долларов!

Новости, которые не очень часто встречаются в этом канале. Группировка, которая отвечала за вирус-вымогатель Shade (Troldesh), закрылась, и в качестве жеста доброй воли опубликовала более 750 тыс ключей для расшифровки зашифрованных их вирусом данных. Shade являлся одним из самых старых подвидов вирусов-шифрователей - его первые версии были замечены ещё в районе 2014 года.

https://github.com/shade-team/keys

Исследователи компании ЛК подтвердили аутентичность ключей и работают над разработкой бесплатной утилиты для расшифровки.

https://twitter.com/k1k_/status/1254773729642475520

Microsoft Teams + GIF = boom!
https://www.cyberark.com/threat-research-blog/beware-of-the-gif-account-takeover-vulnerability-in-microsoft-teams/

давайте сделаем систему наблюдения, говорили они. что может пойти не так, говорили они. контрольная панель системы распознавания номеров автомобилей оказалась доступной просто по IP-адресу без каких либо логинов и паролей, и 8,6 млн записей перемещения ничего не подозревающих жителей оказались доступными в интернете.
https://www.theregister.co.uk/2020/04/28/anpr_sheffield_council/

О, все это обсуждение вокруг мониторинга контактов не осталось без внимания фишеров. осторожно там!
https://wjla.com/news/nation-world/do-not-click-the-link-police-warn-of-scam-covid-19-text-messages

ссылка от читателя: Данные желающих взять кредит россиян выставили на продажу в интернете
Данные оформлявших микрозаймы в 2017–2019 годах россиян выставили на продажу. По уверению продавца, в базе 12 млн записей — с номерами паспортов, телефонами и сведениями об электронных кошельках. Утечку могла допустить одна из МФО

В бесплатном пробнике содержатся данные около 1,8 тыс. клиентов: Ф.И.О., паспортные данные, дата рождения, номер телефона, адрес электронной почты, регион проживания, номера электронных кошельков и сумма займа.

https://www.rbc.ru/finances/29/04/2020/5ea808ed9a79471aa6bb91fd

интересное изменение в iOS 13.5 (пока что в стадии беты). изменение касается упрощения процедуры вызова поля пароля в ситуации, когда пользователь в маске — чтобы не заставлять FaceID пытаться узнать пользователя, теперь жестом снизу можно сразу вызвать опцию ввода пароля. я, правда, уже видел у кого-то заметки из серии “эпол сделала faceid менее безопасным”, но это не так.
https://www.theverge.com/2020/4/29/21241497/apple-ios-13-beta-faceid-face-mask-unlock-passcode-facetime-group-calls

на фоне пандемии коронавируса государства пользуются моментом, чтобы ввести побольше механизмов слежки за гражданами. А компании, предлагающие свои решения по добыче информации и слежке, активно продвигают свои решения государствам. Вот и Cellebrite, известная своими инструментами по взлому смартфонов, предлагает свои услуги правоохранительным органам с такой формулировкой: “если у вас есть больной, мы можем с его телефона добыть информацию о геолокации и о адресной книге, что позволит вам отправить в карантин правильных людей”. молодцы какие.
https://www.reuters.com/article/us-health-coronavirus-spy-specialreport-idUSKCN22A2G1

Популярное объяснение о том, как работает сквозное шифрование Signal
https://medium.com/@justinomora/demystifying-the-signal-protocol-for-end-to-end-encryption-e2ee-ad6a567e6cb4

Вчера Apple выпустила бета-версию iOS 13.5 (для разработчиков и публичных тестировщиков), в рамках которой появилась первая реализация уведомлений о контактах с зараженными коронавирусом. (я писал об этой технологии тут https://t.me/alexmakus/3432)

сама технология представляет собой API в системе, и предполагается, что разработчики различных медицинских госорганов будут создавать на разных локальных рынках приложения, которые будут это API использовать. А дальше уже благодаря информации о ключах, полученных через Bluetooth, пользователи смогут получать информацию о том, находились ли они поблизости с кем-то, кто мог быть носителем вируса.

И все бы хорошо, но 3 из 5 опрошенных пользователей в США утверждают, что не хотят или не смогут участвовать в такой системе обмена информацией. Это и проблемы отсутствия смартфонов, и вопрос недоверия к технологическим компаниям, с которым Apple и Google еще, видимо, долго придется бороться. (наверняка, отказываются участвовать примерно те же люди, которые радостно заливают на ФБ всю свою личную жизнь с фотками и координатами). Интересно, что в некоторых странах уже существуют свои собственные приложения, которые гораздо более активно используют информацию о местоположении и, возможно, представляют собой потенциально больше опасности для персональных данных. Но кто там будет разбираться.

https://www.washingtonpost.com/technology/2020/04/29/most-americans-are-not-willing-or-able-use-an-app-tracking-coronavirus-infections-thats-problem-big-techs-plan-slow-pandemic/

никогда такого не было и вот опять. “бэкдор с функциональностью телефона” — смартфоны Xiaomi — отправляют на сервера компании информацию о поведении пользователя на телефоне. все посещенные вебсайты, запросы в поисковиках, все прочитанные элементы в читалке новостей, открытие папок, и тд. Веб-браузеры компании Mi Browser Pro и the Mint Browser, которые доступны в Google Play, собирают ту же информацию о посещенных сайтах и запросах, даже если окно находится в режиме “инкогнито”. Как обычно, низкая стоимость устройства отбивается информацией о пользователях, которую потом можно монетизировать.
https://www.forbes.com/sites/thomasbrewster/2020/04/30/exclusive-warning-over-chinese-mobile-giant-xiaomi-recording-millions-of-peoples-private-web-and-phone-use/

Интересно, что утечка деталей игры The Last Of Us 2, возможно, является результатом кибератаки