В Таиланде крупнейший мобильный оператор AIS убрал из онлайна базу данных, которая делала доступными в интернете миллиарды записей о доступе в интернет пользователями оператора. DNS записи и другая сетевая информация о запросах хранилась на сервере без какой-либо защиты, и, получив доступ к этой информаци, можно было легко составить картину о том, что делал пользователь в интернете буквально в реальном времени
https://rainbowtabl.es/2020/05/25/thai-database-leaks-internet-records/
https://rainbowtabl.es/2020/05/25/thai-database-leaks-internet-records/
rainbowtabl.es
Thai Database Leaks 8.3 Billion Internet Records
Incident Timeline:
DateEventMay 7, 2020Open ElasticSearch database discovered.May 13, 2020Contacting presumed owner of the database.May 13-21, 2020Multiple attempts to make contact again.May 21, 2020Escalating issue to ThaiCERT.May 22, 2020Database secured.…
DateEventMay 7, 2020Open ElasticSearch database discovered.May 13, 2020Contacting presumed owner of the database.May 13-21, 2020Multiple attempts to make contact again.May 21, 2020Escalating issue to ThaiCERT.May 22, 2020Database secured.…
только на прошлой неделе появился unc0ver — джейлбрейк для iOS, который, используя уязвимость, позволял сделать джейлбрейк для всех версий iOS, включая самую последнюю — 13.5, а вчера уже Apple срочно выпустила хотфикс 13.5.1 с исправлением этой уязвимости. потому что кому джейлбрейк, а кому добыча информации у ценной цели.
также вот. вывод — апдейты это полезно
https://arstechnica.com/information-technology/2020/05/cisco-security-breach-hits-corporate-servers-that-ran-unpatched-software/
https://arstechnica.com/information-technology/2020/05/cisco-security-breach-hits-corporate-servers-that-ran-unpatched-software/
Ars Technica
Cisco security breach hits corporate servers that ran unpatched software
Cisco is one of many to get bitten by vulnerabilities in open source Salt manager.
и снова рубрика «никогда такого не было, и вот опять». Записи на 69 млн человек из открытого инстанса elasticsearch, и, главное, непонятно, чьего
https://www.troyhunt.com/the-unattributable-lead-hunter-data-breach/
https://www.troyhunt.com/the-unattributable-lead-hunter-data-breach/
Troy Hunt
The Unattributable "Lead Hunter" Data Breach
Pwned again. Damn. That's me who's pwned again because my personal data has just turned up in yet another incident from a source I can't attribute. Less than 3 weeks ago I wrote about The Unattributable "db8151dd" Data Breach which, after posting that blog…
давно не было новостей про Zoom. Там в последние пару дней бушует обсуждение того, что компания решила выкатить сквозное шифрование звонков только для платных пользователей, таким образом установив плату за прайваси. а сегодня Talos опубликовали информацию о двух RCE уязвимостях в Zoom клиенте версий 4.6.1 и ниже (Zoom уже выкатил апдейт 5.0, где проблема отсутствует)
https://talosintelligence.com/vulnerability_reports/TALOS-2020-1056
https://talosintelligence.com/vulnerability_reports/TALOS-2020-1056
Список всех утечек пользовательских данных в мае этого года. Продуктивненько!
https://www.itgovernance.co.uk/blog/list-of-data-breaches-cyber-attacks-may-2020
https://www.itgovernance.co.uk/blog/list-of-data-breaches-cyber-attacks-may-2020
IT Governance UK Blog
List of Data Breaches & Cyber Attacks in May 2020
If you didn’t think 2020 could get any worse, we just had 8,801,171,594 breached data records in one month. Yes, 8.8 billion.
Если у вас смартфон LG, тут подъехала рекомендация установить апдейт безопасности, так как он исправляет известную уязвимость, позволявшую злоумышленникам подгружать свой код в bootloader
https://douevenknow.us/post/619763074822520832/an-el1el3-coldboot-vulnerability
https://douevenknow.us/post/619763074822520832/an-el1el3-coldboot-vulnerability
Tumblr
🔋 📱❄️🥾🔓, an EL1/EL3 coldboot vulnerability affecting 7 years of LG Android devices
I should probably preface all of this by saying that I'm not really a security professional in the sense that I don't actually do security stuff for a living; I reported this vulnerability in March...
Тем временем Signal выкатил инструмент для замазывание лиц на фотографиях. Полезно для протестов и вот это все
https://signal.org/blog/blur-tools/
https://signal.org/blog/blur-tools/
Signal
Blur tools for Signal
Right now, people around the world are marching and protesting against racism and police brutality, outraged by the most recent police murders of George Floyd and Breonna Taylor. At Signal, we support the people who have gone into the streets to make their…
много апдейтов у Cisco, включая критические
https://tools.cisco.com/security/center/publicationListing.x
https://tools.cisco.com/security/center/publicationListing.x
Новый вид вредоносного ПО-вымогателя на Java(!), который для KPMG анализировала команда исследования безопасности Blackberry(!)
https://techcrunch.com/2020/06/04/tycoon-java-ransomware/
https://techcrunch.com/2020/06/04/tycoon-java-ransomware/
TechCrunch
A new Java-based ransomware targets Windows and Linux
Researchers found a dozen 'Tycoon' attacks in the past few months.
Очень интересный тред в твиттере, где журналист сменила пароль своего аккаунта в китайском сервисе Wechat на FuckCCP89 (CCP - Communist Party of China, коммунистическая партия Китая). Через 45 секунд аккаунт был закрыт.
https://twitter.com/BethanyAllenEbr/status/1268611608672194560
https://twitter.com/BethanyAllenEbr/status/1268611608672194560
какая прикольная тема с ботом для поиска багов и уязвимостей
https://arstechnica.com/information-technology/2020/06/this-bot-hunts-software-bugs-for-the-pentagon/
https://arstechnica.com/information-technology/2020/06/this-bot-hunts-software-bugs-for-the-pentagon/
Ars Technica
This bot hunts software bugs for the Pentagon
Champion of a 2016 DARPA contest at DEFCON, now Mayhem gets used by the military.
Тема, которую я очень люблю — это “умные” гаджеты. Не совсем инфосек, но затрагивает. Статья на The Register об ускоренном устаревании “умных” холодильников, к которым достаточно быстро перестают выходить апдейты, и вообще производители о них стараются не вспоминать. а где нет апдейтов — нет патчей к обнаруженным уязвимостям, и вот уже ботнет состоит не только из лампочек и камер наблюдения, но и из холодильников. “Вдруг из маминой из спальни, с непропатченным ядром, выбегает холодильник, и качает своим экраном с экраном софта-вымогателя! Ах ты, гадкий, ах ты грязный, я давно взломал твой пароль и видел, чем ты занимался прошлым летом, неумытый поросенок”
https://www.theregister.com/2020/06/08/smart_fridges_support_periods/
https://www.theregister.com/2020/06/08/smart_fridges_support_periods/
The Register
Smart fridges are cool, but after a few short years you could be stuck with a big frosty brick in the kitchen
You should check how long a vendor intends to support the kit, says Which?
История, в котором пересекаются сразу два моих хобби, включая тему этого канала, поэтому не могу пройти мимо. Если кратко, то история такова:
- некий велосипедист на велодорожке напал на подростков, которые раздавали там буклеты на тему проходящих в США протестов
- полиция опубликовала твит, прося о помощи в идентификации нападавшего, но указала в твите неправильную дату события
- кто-то взял данные из приложения Strava, популярного среди велосипедистов, по тому сегменту, где произошло событие, в дату, указанную в твите полиции (Strava позволяет публиковать в открытом виде информацию о своём заезде, а если не заморочиться с настройками конфиденциальности - то и открыть о себе много информации. Приложение фигурировало неоднократно в этом канале).
- про информации из Strava нашли чувака, похожего на нападавшего, и задоксили его (раскрыли его персональные данные).
- чувак получил в интернете кучу угроз и пожеланий смерти.
- настоящего нападавшего арестовали несколько дней спустя.
Мораль этой истории такова, что сохранение своих личных данных — это в том числе и ответственность самих людей. Strava и постоянное желание «померяться», которое она вызывает, убивает веселье в велозаездах, да и вообще вот может приводить к неприятным последствиям
https://nymag.com/intelligencer/2020/06/what-its-like-to-get-doxed-for-taking-a-bike-ride.html
- некий велосипедист на велодорожке напал на подростков, которые раздавали там буклеты на тему проходящих в США протестов
- полиция опубликовала твит, прося о помощи в идентификации нападавшего, но указала в твите неправильную дату события
- кто-то взял данные из приложения Strava, популярного среди велосипедистов, по тому сегменту, где произошло событие, в дату, указанную в твите полиции (Strava позволяет публиковать в открытом виде информацию о своём заезде, а если не заморочиться с настройками конфиденциальности - то и открыть о себе много информации. Приложение фигурировало неоднократно в этом канале).
- про информации из Strava нашли чувака, похожего на нападавшего, и задоксили его (раскрыли его персональные данные).
- чувак получил в интернете кучу угроз и пожеланий смерти.
- настоящего нападавшего арестовали несколько дней спустя.
Мораль этой истории такова, что сохранение своих личных данных — это в том числе и ответственность самих людей. Strava и постоянное желание «померяться», которое она вызывает, убивает веселье в велозаездах, да и вообще вот может приводить к неприятным последствиям
https://nymag.com/intelligencer/2020/06/what-its-like-to-get-doxed-for-taking-a-bike-ride.html
New York
What It’s Like to Get Doxed for Taking a Bike Ride
Peter Weinberg didn’t even know what “doxing” was before a Twitter mob falsely accused him of assaulting some kids on a bike trail.
В апреле я писал о том, что Nintendo рассказывало о 160 тысячах пользователей, аккаунты которых взломали (скорей всего, путём подбора пар логин-пароль)
https://t.me/alexmakus/3433
Теперь еще 140 тысяч юзеров туда же
https://www.nintendo.co.jp/support/information/2020/0424.html
https://t.me/alexmakus/3433
Теперь еще 140 тысяч юзеров туда же
https://www.nintendo.co.jp/support/information/2020/0424.html
Telegram
Информация опасносте
Nintendo тут призывает пользователей проверить в аккаунтах лишние покупки и неавторизованные логины. Похоже, реюз паролей и слабые пароли привели к тому, что примерно у 160 тыс пользователей появилась различная неавторизованная активность в аккаунтах. Нинтендо…
Тем временем Honda поверглась кибератаке с ПО-вымогателемю зашифровавшим файлы на компьютерах компании. Компании пришлось даже остановить производство на некоторых заводах
https://www.zdnet.com/article/honda-confirms-its-network-has-been-hit-by-cyber-attack/
https://www.zdnet.com/article/honda-confirms-its-network-has-been-hit-by-cyber-attack/
ZDNET
Honda confirms its network has been hit by cyberattack
Japanese manufacturer confirms it has been the victim of a cyberattack, said it is working to 'restore full functionality of production'.
Про intel, уязвимости в их процессорах и уже можно просто ссылки давать без комментариев:
раз https://www.phoronix.com/scan.php?page=news_item&px=RdRand-3-Percent
два https://arstechnica.com/information-technology/2020/06/new-exploits-plunder-crypto-keys-and-more-from-intels-ultrasecure-sgx/
раз https://www.phoronix.com/scan.php?page=news_item&px=RdRand-3-Percent
два https://arstechnica.com/information-technology/2020/06/new-exploits-plunder-crypto-keys-and-more-from-intels-ultrasecure-sgx/
Phoronix
RdRand Performance As Bad As ~3% Original Speed With CrossTalk/SRBDS Mitigation - Phoronix
Phoronix is the leading technology website for Linux hardware reviews, open-source news, Linux benchmarks, open-source benchmarks, and computer hardware tests.
История просто отвал башки про то, как ФБ купил эксплойт для того, чтобы поймать педофила, преследовавшего детей
https://www.vice.com/en_us/article/v7gd9b/facebook-helped-fbi-hack-child-predator-buster-hernandez
https://www.vice.com/en_us/article/v7gd9b/facebook-helped-fbi-hack-child-predator-buster-hernandez
Vice
Facebook Helped the FBI Hack a Child Predator
Facebook paid a cybersecurity firm six figures to develop a zero-day in Tails to identify a man who extorted and threatened girls.
Тем временем компания Amazon объявила мораторий на один год на использование технологий распознавания лиц компании. Амазон требует четко прописанных правил этичного использования технологий, и если появится такое законодательство, компания продолжит предоставлять свои услуги в рамках подобного законодательства
https://blog.aboutamazon.com/policy/we-are-implementing-a-one-year-moratorium-on-police-use-of-rekognition
https://blog.aboutamazon.com/policy/we-are-implementing-a-one-year-moratorium-on-police-use-of-rekognition
US About Amazon
We are implementing a one-year moratorium on police use of Rekognition
We’re implementing a one-year moratorium on police use of Amazon’s facial recognition technology. We will continue to allow organizations like Thorn, the International Center for Missing and Exploited Children, and Marinus Analytics to use Amazon Rekognition…
Какая-то странная история про взлом компании А1 (крупнейшего австрийского телеком-оператора), который они к тому же отрицают
https://blog.haschek.at/2020/the-a1-telekom-hack.html
https://blog.haschek.at/2020/the-a1-telekom-hack.html
The A1 Telekom Austria Hack
Personal blog of Christian Haschek