Если вы на Маке и у вас установлен Acrobat Reader - там вышел важный апдейт, исправляющий уязвимости. Они позволяли получить root на Маке
https://rekken.github.io/2020/05/14/Security-Flaws-in-Adobe-Acrobat-Reader-Allow-Malicious-Program-to-Gain-Root-on-macOS-Silently/
https://rekken.github.io/2020/05/14/Security-Flaws-in-Adobe-Acrobat-Reader-Allow-Malicious-Program-to-Gain-Root-on-macOS-Silently/
Yuebin Sun's Blog
Security Flaws in Adobe Acrobat Reader Allow Malicious Program to Gain Root on macOS Silently
Yuebin Sun(@yuebinsun2020) of Tencent Security Xuanwu Lab 0x0 SummaryToday, Adobe Acrobat Reader DC for macOS patched three critical vulnerabilities(CVE-2020-9615, CVE-2020-9614, CVE-2020-9613) I repo
Forwarded from Утечки информации
На одном из теневых форумов, вчера появилась ссылка на торрент с раздачей 24 Гб информации (83 файла в формате CSV) о транспортных средствах, зарегистрированных в России. 👇
Открыто распространяемые данные обезличены и содержат только базовую информацию о ТС: тип, марка, модель, дата регистрации, год выпуска, VIN и т.п.
Однако, в одном из файлов содержится объявление о продаже полной версии базы (в формате SQL-дампа), со всеми персональными данными владельцев ТС, на декабрь 2019 года: ФИО, ИНН, адрес, дата рождения, паспорт и т.п. 🔥🔥🔥
За полную версию базы неизвестный просит 0,3 BTC (около $2,8 тыс.), а за эксклюзив (“одни руки”) – около $14 тыс.
В качестве доказательств приложены скриншоты полной базы со всеми данными. 👍
Открыто распространяемые данные обезличены и содержат только базовую информацию о ТС: тип, марка, модель, дата регистрации, год выпуска, VIN и т.п.
Однако, в одном из файлов содержится объявление о продаже полной версии базы (в формате SQL-дампа), со всеми персональными данными владельцев ТС, на декабрь 2019 года: ФИО, ИНН, адрес, дата рождения, паспорт и т.п. 🔥🔥🔥
За полную версию базы неизвестный просит 0,3 BTC (около $2,8 тыс.), а за эксклюзив (“одни руки”) – около $14 тыс.
В качестве доказательств приложены скриншоты полной базы со всеми данными. 👍
говоря о базах. Сегодня от HIBP пришло уведомление о том, что мой имейл попал в утечку под загадочным названием “db8151dd”. Речь идет о некой неизвестно кому принадлежащей базе, которую нашли на Elasticsearch сервере, и она похожа на базу клиентов с кучей персональных данных, включая мейлы, названия позиций, адреса, социальные профили и тд.
https://www.troyhunt.com/the-unattributable-db8151dd-data-breach/
https://www.troyhunt.com/the-unattributable-db8151dd-data-breach/
Troy Hunt
The Unattributable "db8151dd" Data Breach
I was reticent to write this blog post because it leaves a lot of questions unanswered, questions that we should be able to answer. It's about a data breach with almost 90GB of personal information in it across tens of millions of records - including mine.…
После апдейта почтового приложения Edison у пользователей начала появляться почта других людей. Удобно!
https://twitter.com/zmknox/status/1261645534445604865
https://twitter.com/Edison_apps/status/1261681576456237056
https://twitter.com/zmknox/status/1261645534445604865
https://twitter.com/Edison_apps/status/1261681576456237056
Twitter
Zach
I just updated @Edison_apps Mail &, after enabling a new sync feature, an email account THAT IS NOT MINE showed up in the app, that I could seemingly axcess completely. This is a SIGNIFICANT security issue. Accessing another's email w/o credentials! Never…
в новостях опять в одном предложении упоминаются iPhone, Apple и ФБР. В частности, ФБР рассказала о том, что они смогли таки взломать iPhone стрелка на военной базе в Пенсаколе, Флорида (он устроил стрельбу в декабре 2019 года, убив три человека и ранив еще восемь). Но необычного в этой истории только то, что Apple со своей стороны утверждает, что предоставили всю помощь ФБР, которую могли, с учетом того, что о существовании этого айфона они узнали месяц спустя после теракта. ФБР же говорит о том, что Apple им нифига не помогали (ну, в смысле, не сделали то, чего, скорей всего, требовала ФБР). Ну и, конечно, генпрокурор Барр завел свою обычную волынку про то, как технологические компании должны создавать продукты с бэкдорами для правоохранительных органов.
“Apple’s desire to provide privacy for its customers is understandable, but not at all costs. There is no reason why companies like Apple cannot design their consumer products and apps to allow for court-authorized access by law enforcement, while maintaining very high standards of data security. Striking this balance should not be left to corporate board rooms.”
https://www.justice.gov/opa/pr/attorney-general-william-p-barr-and-fbi-director-christopher-wray-announce-significant
“Apple’s desire to provide privacy for its customers is understandable, but not at all costs. There is no reason why companies like Apple cannot design their consumer products and apps to allow for court-authorized access by law enforcement, while maintaining very high standards of data security. Striking this balance should not be left to corporate board rooms.”
https://www.justice.gov/opa/pr/attorney-general-william-p-barr-and-fbi-director-christopher-wray-announce-significant
www.justice.gov
Attorney General William P. Barr and FBI Director Christopher Wray Announce Significant Developments in the Investigation of the…
Today, Attorney General William P. Barr and FBI Director Christopher Wray announced significant developments in the FBI’s investigation of the December 6, 2019 shooting at Naval Air Station Pensacola that killed three U.S. sailors and severely wounded eight…
И ответ Apple по этому поводу
The terrorist attack on members of the US armed services at the Naval Air Station in Pensacola, Florida was a devastating and heinous act. Apple responded to the FBI’s first requests for information just hours after the attack on December 6, 2019 and continued to support law enforcement during their investigation. We provided every piece of information available to us, including iCloud backups, account information and transactional data for multiple accounts, and we lent continuous and ongoing technical and investigative support to FBI offices in Jacksonville, Pensacola and New York over the months since.
On this and many thousands of other cases, we continue to work around-the-clock with the FBI and other investigators who keep Americans safe and bring criminals to justice. As a proud American company, we consider supporting law enforcement’s important work our responsibility. The false claims made about our company are an excuse to weaken encryption and other security measures that protect millions of users and our national security.
It is because we take our responsibility to national security so seriously that we do not believe in the creation of a backdoor — one which will make every device vulnerable to bad actors who threaten our national security and the data security of our customers. There is no such thing as a backdoor just for the good guys, and the American people do not have to choose between weakening encryption and effective investigations.
Customers count on Apple to keep their information secure and one of the ways in which we do so is by using strong encryption across our devices and servers. We sell the same iPhone everywhere, we don’t store customers’ passcodes and we don’t have the capacity to unlock passcode-protected devices. In data centers, we deploy strong hardware and software security protections to keep information safe and to ensure there are no backdoors into our systems. All of these practices apply equally to our operations in every country in the world.
Если вкратце: мы помогаем как можем, но бэкдор «для хороших парней», который подвергнет опасности всех, делать не будем
The terrorist attack on members of the US armed services at the Naval Air Station in Pensacola, Florida was a devastating and heinous act. Apple responded to the FBI’s first requests for information just hours after the attack on December 6, 2019 and continued to support law enforcement during their investigation. We provided every piece of information available to us, including iCloud backups, account information and transactional data for multiple accounts, and we lent continuous and ongoing technical and investigative support to FBI offices in Jacksonville, Pensacola and New York over the months since.
On this and many thousands of other cases, we continue to work around-the-clock with the FBI and other investigators who keep Americans safe and bring criminals to justice. As a proud American company, we consider supporting law enforcement’s important work our responsibility. The false claims made about our company are an excuse to weaken encryption and other security measures that protect millions of users and our national security.
It is because we take our responsibility to national security so seriously that we do not believe in the creation of a backdoor — one which will make every device vulnerable to bad actors who threaten our national security and the data security of our customers. There is no such thing as a backdoor just for the good guys, and the American people do not have to choose between weakening encryption and effective investigations.
Customers count on Apple to keep their information secure and one of the ways in which we do so is by using strong encryption across our devices and servers. We sell the same iPhone everywhere, we don’t store customers’ passcodes and we don’t have the capacity to unlock passcode-protected devices. In data centers, we deploy strong hardware and software security protections to keep information safe and to ensure there are no backdoors into our systems. All of these practices apply equally to our operations in every country in the world.
Если вкратце: мы помогаем как можем, но бэкдор «для хороших парней», который подвергнет опасности всех, делать не будем
Давайте сделаем машину компьютером на колёсах, говорили они. Что может пойти не так, говорили они
https://www.zdnet.com/article/mercedes-benz-onboard-logic-unit-olu-source-code-leaks-online/
https://www.zdnet.com/article/mercedes-benz-onboard-logic-unit-olu-source-code-leaks-online/
ZDNet
Mercedes-Benz onboard logic unit (OLU) source code leaks online
Daimler allowed anyone to register on one of its on-premise GitLab servers.
забавная тема — у TechCrunch есть инфа о взломе и утечке данных на 9 млн записей клиентов бюджетной авиакомпании EasyJet (у некоторых даже данные кредитных карт), но на официальном сайте как-то тишина.
https://techcrunch.com/2020/05/19/easyjet-travel-credit-cards-breach/
https://techcrunch.com/2020/05/19/easyjet-travel-credit-cards-breach/
TechCrunch
EasyJet says 9 million travel records taken in data breach
The budget airline had more than 28 million passengers in 2019.
Apple и Google опубликовали детальную информацию о том, как работает их совместный проект по мониторингу контактов с людьми, зараженными COVID-19
https://www.apple.com/covid19/contacttracing/
https://www.google.com/covid19/exposurenotifications/
https://www.apple.com/covid19/contacttracing/
https://www.google.com/covid19/exposurenotifications/
Apple
Privacy-Preserving Contact Tracing - Apple and Google
Contact Tracing makes it possible to combat the spread of the COVID-19 virus.
NSO Group, израильская компания, продающая средства взлома, все глубже засасывается в скандал с Facebook и не очень законными действиями компании на территории США. Возможно, будет весело
https://www.vice.com/amp/en_us/article/qj4p3w/nso-group-hack-fake-facebook-domain
https://www.vice.com/amp/en_us/article/qj4p3w/nso-group-hack-fake-facebook-domain
Vice
NSO Group Impersonated Facebook to Help Clients Hack Targets
Motherboard uncovered more evidence that NSO Group ran hacking infrastructure in the United States.
Что-то там уже Эпол совсем ничего не контролирует. Пишут про утёкшую ещё в декабре прошлого года раннюю версию iOS 14 https://www.vice.com/en_us/article/5dzpxz/how-iphone-hackers-got-hands-on-new-ios-14-months-before-realease
Vice
How iPhone Hackers Got Their Hands on the New iOS Months Before Its Release
Several people, including security researchers, hackers, and bloggers, have had access to an early version of the new iOS 14 for months.
Очень интересная тема, связанная с компанией Grayshift - производителем «коробочек» Graybox. Они используются правоохранительными органами для взлома iPhone (путём подбора паролей. 4 и 6-значные пароли эти устройства подбирают достаточно быстро - вот почему важно не лениться и заводить пароли с буквами и цифрами). Но и тут, оказывается, есть метод получить пароль - похоже, если подбор не сработал, Graybox умеет устанавливать приложение, которое перехватит пароль, введённый пользователем, и сохранит его в файл. Полиции надо только выдать телефон подозреваемому, а затем забрать его обратно под каким-нибудь предлогом.
https://www.nbcnews.com/tech/security/iphone-spyware-lets-cops-log-suspects-passcodes-when-cracking-doesn-n1209296
https://www.nbcnews.com/tech/security/iphone-spyware-lets-cops-log-suspects-passcodes-when-cracking-doesn-n1209296
NBC News
iPhone spyware lets police log suspects’ passcodes when cracking doesn’t work
A tool, previously unknown to the public, doesn't have to crack the code that people use to unlock their phones. It just has to log the code as the user types it in.
Гитлаб прогнал эксперимент с фишингом среди сотрудников и пятая часть сотрудников попалась на него? Легко, конечно, обвинить во всем «человеческий фактор. Но возникает вопрос о том, что в правильно настроенной системе такие письма не должны попадать сотрудникам или хотя бы должны как-то маркироваться, чтобы облегчить им жизнь в таких ситуациях.
https://gitlab.com/gitlab-com/gl-security/gl-redteam/red-team-tech-notes/-/tree/master/RT-011%20-%20Phishing%20Campaign
https://gitlab.com/gitlab-com/gl-security/gl-redteam/red-team-tech-notes/-/tree/master/RT-011%20-%20Phishing%20Campaign
GitLab
RT-011 - Phishing Campaign · master · GitLab.com / GitLab Security Department / Threat Management / Red Team / Red Team Public…
As we come across interesting things that we want to share with the community we will document them here as a tech note.
Какое-то время назад в интернете всплыла информация с базой пользователей LiveJournal и 33 миллионами записей с логинами и паролями в текстовом формате.
https://news.ycombinator.com/item?id=20426997&fbclid=IwAR22KoBod2B44XzYbPziwh1RoT_M8ll3Uf8Ods7TpF8mPdSGo3PKYQEx9_k
В общем, подтвердилось, что это таки данные ЖЖ примерно из 2017 года (я, например, получил уведомление от HIBP)? Точное количество записей - 26,372,781. Если я правильно помню, то ЖЖ уже форсил смену пароля, но если я ошибаюсь, то вы знаете, что делать.
Dreamwith, форк ЖЖ с большим пересечением юзеров, рассказывает ещё
https://dw-news.dreamwidth.org/40167.html
https://news.ycombinator.com/item?id=20426997&fbclid=IwAR22KoBod2B44XzYbPziwh1RoT_M8ll3Uf8Ods7TpF8mPdSGo3PKYQEx9_k
В общем, подтвердилось, что это таки данные ЖЖ примерно из 2017 года (я, например, получил уведомление от HIBP)? Точное количество записей - 26,372,781. Если я правильно помню, то ЖЖ уже форсил смену пароля, но если я ошибаюсь, то вы знаете, что делать.
Dreamwith, форк ЖЖ с большим пересечением юзеров, рассказывает ещё
https://dw-news.dreamwidth.org/40167.html