Что-то там уже Эпол совсем ничего не контролирует. Пишут про утёкшую ещё в декабре прошлого года раннюю версию iOS 14 https://www.vice.com/en_us/article/5dzpxz/how-iphone-hackers-got-hands-on-new-ios-14-months-before-realease

Очень интересная тема, связанная с компанией Grayshift - производителем «коробочек» Graybox. Они используются правоохранительными органами для взлома iPhone (путём подбора паролей. 4 и 6-значные пароли эти устройства подбирают достаточно быстро - вот почему важно не лениться и заводить пароли с буквами и цифрами). Но и тут, оказывается, есть метод получить пароль - похоже, если подбор не сработал, Graybox умеет устанавливать приложение, которое перехватит пароль, введённый пользователем, и сохранит его в файл. Полиции надо только выдать телефон подозреваемому, а затем забрать его обратно под каким-нибудь предлогом.

https://www.nbcnews.com/tech/security/iphone-spyware-lets-cops-log-suspects-passcodes-when-cracking-doesn-n1209296

Гитлаб прогнал эксперимент с фишингом среди сотрудников и пятая часть сотрудников попалась на него? Легко, конечно, обвинить во всем «человеческий фактор. Но возникает вопрос о том, что в правильно настроенной системе такие письма не должны попадать сотрудникам или хотя бы должны как-то маркироваться, чтобы облегчить им жизнь в таких ситуациях.

https://gitlab.com/gitlab-com/gl-security/gl-redteam/red-team-tech-notes/-/tree/master/RT-011%20-%20Phishing%20Campaign

Какое-то время назад в интернете всплыла информация с базой пользователей LiveJournal и 33 миллионами записей с логинами и паролями в текстовом формате.

https://news.ycombinator.com/item?id=20426997&fbclid=IwAR22KoBod2B44XzYbPziwh1RoT_M8ll3Uf8Ods7TpF8mPdSGo3PKYQEx9_k

В общем, подтвердилось, что это таки данные ЖЖ примерно из 2017 года (я, например, получил уведомление от HIBP)? Точное количество записей - 26,372,781. Если я правильно помню, то ЖЖ уже форсил смену пароля, но если я ошибаюсь, то вы знаете, что делать.
Dreamwith, форк ЖЖ с большим пересечением юзеров, рассказывает ещё

https://dw-news.dreamwidth.org/40167.html

И вот ещё про приложения для мониторинга контактов с людьми, болеющими COVID-19. В Катаре написали своё приложение и ни за что не угадаете, что произошло после этого! Уязвимость в приложении (уже исправлена) могла позволить злоумышленникам получить персональную информацию на зарегистрированных пользователей, включая имя, национальный номер, статус здоровья, и информацию о местоположении.


https://www.amnesty.org/en/latest/news/2020/05/qatar-covid19-contact-tracing-app-security-flaw/

В качестве разнообразия просто хочу напомнить эту классику о том, как пользователи видят всякие предупреждения касательно безопасности на компьютере

Реверс устройства по защите от электромагнитного поля 5G

https://www.pentestpartners.com/security-blog/reverse-engineering-a-5g-bioshield/

Чувак обнаружил уязвимость в системе SSO Sign In with Apple, которая позволяла перехватить аккаунт человека на сайте, где он вошёл таким аккаунтом. Зарепортил ее в Apple, получил выплату - 100т долл.

https://bhavukjain1.github.io/blog/2020/05/30/zeroday-signin-with-apple/

В Таиланде крупнейший мобильный оператор AIS убрал из онлайна базу данных, которая делала доступными в интернете миллиарды записей о доступе в интернет пользователями оператора. DNS записи и другая сетевая информация о запросах хранилась на сервере без какой-либо защиты, и, получив доступ к этой информаци, можно было легко составить картину о том, что делал пользователь в интернете буквально в реальном времени

https://rainbowtabl.es/2020/05/25/thai-database-leaks-internet-records/

только на прошлой неделе появился unc0ver — джейлбрейк для iOS, который, используя уязвимость, позволял сделать джейлбрейк для всех версий iOS, включая самую последнюю — 13.5, а вчера уже Apple срочно выпустила хотфикс 13.5.1 с исправлением этой уязвимости. потому что кому джейлбрейк, а кому добыча информации у ценной цели.

также вот. вывод — апдейты это полезно
https://arstechnica.com/information-technology/2020/05/cisco-security-breach-hits-corporate-servers-that-ran-unpatched-software/

и снова рубрика «никогда такого не было, и вот опять». Записи на 69 млн человек из открытого инстанса elasticsearch, и, главное, непонятно, чьего

https://www.troyhunt.com/the-unattributable-lead-hunter-data-breach/

давно не было новостей про Zoom. Там в последние пару дней бушует обсуждение того, что компания решила выкатить сквозное шифрование звонков только для платных пользователей, таким образом установив плату за прайваси. а сегодня Talos опубликовали информацию о двух RCE уязвимостях в Zoom клиенте версий 4.6.1 и ниже (Zoom уже выкатил апдейт 5.0, где проблема отсутствует)
https://talosintelligence.com/vulnerability_reports/TALOS-2020-1056

Список всех утечек пользовательских данных в мае этого года. Продуктивненько!

https://www.itgovernance.co.uk/blog/list-of-data-breaches-cyber-attacks-may-2020

Если у вас смартфон LG, тут подъехала рекомендация установить апдейт безопасности, так как он исправляет известную уязвимость, позволявшую злоумышленникам подгружать свой код в bootloader
https://douevenknow.us/post/619763074822520832/an-el1el3-coldboot-vulnerability

Тем временем Signal выкатил инструмент для замазывание лиц на фотографиях. Полезно для протестов и вот это все

https://signal.org/blog/blur-tools/

много апдейтов у Cisco, включая критические
https://tools.cisco.com/security/center/publicationListing.x

Новый вид вредоносного ПО-вымогателя на Java(!), который для KPMG анализировала команда исследования безопасности Blackberry(!)

https://techcrunch.com/2020/06/04/tycoon-java-ransomware/

Очень интересный тред в твиттере, где журналист сменила пароль своего аккаунта в китайском сервисе Wechat на FuckCCP89 (CCP - Communist Party of China, коммунистическая партия Китая). Через 45 секунд аккаунт был закрыт.

https://twitter.com/BethanyAllenEbr/status/1268611608672194560