Тема, которую я очень люблю — это “умные” гаджеты. Не совсем инфосек, но затрагивает. Статья на The Register об ускоренном устаревании “умных” холодильников, к которым достаточно быстро перестают выходить апдейты, и вообще производители о них стараются не вспоминать. а где нет апдейтов — нет патчей к обнаруженным уязвимостям, и вот уже ботнет состоит не только из лампочек и камер наблюдения, но и из холодильников. “Вдруг из маминой из спальни, с непропатченным ядром, выбегает холодильник, и качает своим экраном с экраном софта-вымогателя! Ах ты, гадкий, ах ты грязный, я давно взломал твой пароль и видел, чем ты занимался прошлым летом, неумытый поросенок”
https://www.theregister.com/2020/06/08/smart_fridges_support_periods/
https://www.theregister.com/2020/06/08/smart_fridges_support_periods/
The Register
Smart fridges are cool, but after a few short years you could be stuck with a big frosty brick in the kitchen
You should check how long a vendor intends to support the kit, says Which?
История, в котором пересекаются сразу два моих хобби, включая тему этого канала, поэтому не могу пройти мимо. Если кратко, то история такова:
- некий велосипедист на велодорожке напал на подростков, которые раздавали там буклеты на тему проходящих в США протестов
- полиция опубликовала твит, прося о помощи в идентификации нападавшего, но указала в твите неправильную дату события
- кто-то взял данные из приложения Strava, популярного среди велосипедистов, по тому сегменту, где произошло событие, в дату, указанную в твите полиции (Strava позволяет публиковать в открытом виде информацию о своём заезде, а если не заморочиться с настройками конфиденциальности - то и открыть о себе много информации. Приложение фигурировало неоднократно в этом канале).
- про информации из Strava нашли чувака, похожего на нападавшего, и задоксили его (раскрыли его персональные данные).
- чувак получил в интернете кучу угроз и пожеланий смерти.
- настоящего нападавшего арестовали несколько дней спустя.
Мораль этой истории такова, что сохранение своих личных данных — это в том числе и ответственность самих людей. Strava и постоянное желание «померяться», которое она вызывает, убивает веселье в велозаездах, да и вообще вот может приводить к неприятным последствиям
https://nymag.com/intelligencer/2020/06/what-its-like-to-get-doxed-for-taking-a-bike-ride.html
- некий велосипедист на велодорожке напал на подростков, которые раздавали там буклеты на тему проходящих в США протестов
- полиция опубликовала твит, прося о помощи в идентификации нападавшего, но указала в твите неправильную дату события
- кто-то взял данные из приложения Strava, популярного среди велосипедистов, по тому сегменту, где произошло событие, в дату, указанную в твите полиции (Strava позволяет публиковать в открытом виде информацию о своём заезде, а если не заморочиться с настройками конфиденциальности - то и открыть о себе много информации. Приложение фигурировало неоднократно в этом канале).
- про информации из Strava нашли чувака, похожего на нападавшего, и задоксили его (раскрыли его персональные данные).
- чувак получил в интернете кучу угроз и пожеланий смерти.
- настоящего нападавшего арестовали несколько дней спустя.
Мораль этой истории такова, что сохранение своих личных данных — это в том числе и ответственность самих людей. Strava и постоянное желание «померяться», которое она вызывает, убивает веселье в велозаездах, да и вообще вот может приводить к неприятным последствиям
https://nymag.com/intelligencer/2020/06/what-its-like-to-get-doxed-for-taking-a-bike-ride.html
New York
What It’s Like to Get Doxed for Taking a Bike Ride
Peter Weinberg didn’t even know what “doxing” was before a Twitter mob falsely accused him of assaulting some kids on a bike trail.
В апреле я писал о том, что Nintendo рассказывало о 160 тысячах пользователей, аккаунты которых взломали (скорей всего, путём подбора пар логин-пароль)
https://t.me/alexmakus/3433
Теперь еще 140 тысяч юзеров туда же
https://www.nintendo.co.jp/support/information/2020/0424.html
https://t.me/alexmakus/3433
Теперь еще 140 тысяч юзеров туда же
https://www.nintendo.co.jp/support/information/2020/0424.html
Telegram
Информация опасносте
Nintendo тут призывает пользователей проверить в аккаунтах лишние покупки и неавторизованные логины. Похоже, реюз паролей и слабые пароли привели к тому, что примерно у 160 тыс пользователей появилась различная неавторизованная активность в аккаунтах. Нинтендо…
Тем временем Honda поверглась кибератаке с ПО-вымогателемю зашифровавшим файлы на компьютерах компании. Компании пришлось даже остановить производство на некоторых заводах
https://www.zdnet.com/article/honda-confirms-its-network-has-been-hit-by-cyber-attack/
https://www.zdnet.com/article/honda-confirms-its-network-has-been-hit-by-cyber-attack/
ZDNET
Honda confirms its network has been hit by cyberattack
Japanese manufacturer confirms it has been the victim of a cyberattack, said it is working to 'restore full functionality of production'.
Про intel, уязвимости в их процессорах и уже можно просто ссылки давать без комментариев:
раз https://www.phoronix.com/scan.php?page=news_item&px=RdRand-3-Percent
два https://arstechnica.com/information-technology/2020/06/new-exploits-plunder-crypto-keys-and-more-from-intels-ultrasecure-sgx/
раз https://www.phoronix.com/scan.php?page=news_item&px=RdRand-3-Percent
два https://arstechnica.com/information-technology/2020/06/new-exploits-plunder-crypto-keys-and-more-from-intels-ultrasecure-sgx/
Phoronix
RdRand Performance As Bad As ~3% Original Speed With CrossTalk/SRBDS Mitigation - Phoronix
Phoronix is the leading technology website for Linux hardware reviews, open-source news, Linux benchmarks, open-source benchmarks, and computer hardware tests.
История просто отвал башки про то, как ФБ купил эксплойт для того, чтобы поймать педофила, преследовавшего детей
https://www.vice.com/en_us/article/v7gd9b/facebook-helped-fbi-hack-child-predator-buster-hernandez
https://www.vice.com/en_us/article/v7gd9b/facebook-helped-fbi-hack-child-predator-buster-hernandez
Vice
Facebook Helped the FBI Hack a Child Predator
Facebook paid a cybersecurity firm six figures to develop a zero-day in Tails to identify a man who extorted and threatened girls.
Тем временем компания Amazon объявила мораторий на один год на использование технологий распознавания лиц компании. Амазон требует четко прописанных правил этичного использования технологий, и если появится такое законодательство, компания продолжит предоставлять свои услуги в рамках подобного законодательства
https://blog.aboutamazon.com/policy/we-are-implementing-a-one-year-moratorium-on-police-use-of-rekognition
https://blog.aboutamazon.com/policy/we-are-implementing-a-one-year-moratorium-on-police-use-of-rekognition
US About Amazon
We are implementing a one-year moratorium on police use of Rekognition
We’re implementing a one-year moratorium on police use of Amazon’s facial recognition technology. We will continue to allow organizations like Thorn, the International Center for Missing and Exploited Children, and Marinus Analytics to use Amazon Rekognition…
Какая-то странная история про взлом компании А1 (крупнейшего австрийского телеком-оператора), который они к тому же отрицают
https://blog.haschek.at/2020/the-a1-telekom-hack.html
https://blog.haschek.at/2020/the-a1-telekom-hack.html
The A1 Telekom Austria Hack
Personal blog of Christian Haschek
======РЕКЛАМА======
Хочешь быть в курсе новостей ИТ-индустрии и разбираться в облачных технологиях и инструментах? Загляни в Telegram-блог «ИТ-ГРАД», где ребята из команды облачного провайдера регулярно публикуют:
✅ новости ИТ, облачных технологий и дата-центров;
✅ обзоры инструментов для бизнеса, гайды и инструкции;
✅ ИТ и законодательство — рекомендации по соблюдению бизнесом 152-ФЗ;
✅ анонсы полезных вебинаров, реальные облачные кейсы и многое другое!
Подписывайся, будет интересно → https://t.me/iaasblog
======РЕКЛАМА======
Хочешь быть в курсе новостей ИТ-индустрии и разбираться в облачных технологиях и инструментах? Загляни в Telegram-блог «ИТ-ГРАД», где ребята из команды облачного провайдера регулярно публикуют:
✅ новости ИТ, облачных технологий и дата-центров;
✅ обзоры инструментов для бизнеса, гайды и инструкции;
✅ ИТ и законодательство — рекомендации по соблюдению бизнесом 152-ФЗ;
✅ анонсы полезных вебинаров, реальные облачные кейсы и многое другое!
Подписывайся, будет интересно → https://t.me/iaasblog
======РЕКЛАМА======
Telegram
MTS Web Services
MTS Web Services (MWS) — сервисы и продукты Enterprise-уровня для ИИ-экспериментов и цифровой трансформации бизнеса.
Сайт: https://mws.ru/
Сайт: https://mws.ru/
Хорошая коллекция уязвимостей в ядре iOS, начиная с версии 10 и до версии 13
https://googleprojectzero.blogspot.com/2020/06/a-survey-of-recent-ios-kernel-exploits.html
https://googleprojectzero.blogspot.com/2020/06/a-survey-of-recent-ios-kernel-exploits.html
Blogspot
A survey of recent iOS kernel exploits
Posted by Brandon Azad, Project Zero I recently found myself wishing for a single online reference providing a brief summary of the high...
вот такое я очень люблю — снятие вибраций с лампочки, чтобы восстановить колебание от звуковых волн и воспроизвести речь или аудио-запись с расстояния до 25 метров.
https://www.nassiben.com/lamphone
https://www.nassiben.com/lamphone
Ben Nassi
Lamphone
Recent studies have suggested various side-channel attacks for eavesdropping sound by analyzing the side effects of sound waves on nearby objects (e.g., a bag of chips and window) and devices (e.g., motion sensors). These methods pose a great threat to privacy…
Невероятная история про сотрудников банка в Южной Африке, которые украли мастер-ключ банка. Этот мастер-ключ позволяет расшифровывать банковские операции, получать доступ и вносить изменения в банковскую систему, а также генерить ключ для карточек клиентов банка. Благодаря этому ключу злоумышленики смогли сгенерить более 25 тысяч мошеннических транзакций на сумму более 3,2 млн долларов.
https://www.timeslive.co.za/sunday-times/news/2020-06-14-postbank-forced-to-replace-12-million-bank-cards-after-employees-steal-master-key/
https://www.zdnet.com/article/south-african-bank-to-replace-12m-cards-after-employees-stole-master-key/
https://www.timeslive.co.za/sunday-times/news/2020-06-14-postbank-forced-to-replace-12-million-bank-cards-after-employees-steal-master-key/
https://www.zdnet.com/article/south-african-bank-to-replace-12m-cards-after-employees-stole-master-key/
TimesLIVE
Postbank forced to replace 12-million bank cards after employees steal 'master key'
The Postbank is having to replace about 12-million bank cards at a cost of R1bn after a major security breach that exposes the personal data of millions of social-grant beneficiaries and other account holders.
======РЕКЛАМА======
Прямой эфир запуска новой версии MaxPatrol SIEM.
Эксперты расскажут об успехах и ошибках в истории развития продукта, поделятся ближайшими целями и покажут новую версию. Вы узнаете, как настроить систему для быстрого старта работы и снизить количество ложных срабатываний.
Добавляйте в свой календарь, чтобы не пропустить — 23 июня в 14:00
Зарегистрироваться
======РЕКЛАМА======
Прямой эфир запуска новой версии MaxPatrol SIEM.
Эксперты расскажут об успехах и ошибках в истории развития продукта, поделятся ближайшими целями и покажут новую версию. Вы узнаете, как настроить систему для быстрого старта работы и снизить количество ложных срабатываний.
Добавляйте в свой календарь, чтобы не пропустить — 23 июня в 14:00
Зарегистрироваться
======РЕКЛАМА======
ptsecurity.com
Запуск новой версии MaxPatrol SIEM
Запуск новой версии MaxPatrol SIEM - мероприятия Positive Technologies
Разработчик Cheng Du New Tech Zone с целым набором специализированных приложений для нишевого дейтинга — 3somes, Cougary, Gay Daddy Bear, Xpal, BBW Dating, Casualx, SugarD, Herpes Dating и GHunt — оставил базу с информацией о сотне тысяч пользователей открытой в интернете. 845ГБ в себе содержали в том числе откровенные фотографии и аудиозаписи, скриншоты чатов и некоторую частную информацию, включая имена, адреса, имейлы и тд. Открытую базу обнаружили исследователи, так что стала ли она доступной злоумышленникам ранее — неизвестно.
https://www.vpnmentor.com/blog/report-dating-apps-leak/
https://www.vpnmentor.com/blog/report-dating-apps-leak/
vpnMentor
Report: Breach Exposes 100,000+ Users on Niche Dating Apps
Led by Noam Rotem and Ran Locar, vpnMentor’s research team discovered a data breach leaking incredibly sensitive data from numerous niche dating and hook up apps.
Не совсем инфосек, но очень интересно. Тут в понедельник упала сеть одного мобильного оператора в США (T-Mobile), и они рассказывают почему это произошло. Были слухи, что это был DDoS, но на самом деле случился фейл одной интегральной схемы оптики. Потом сломалась резервная, а потом уже каскадом накопившиеся проблемы вызвали жопу для передачи звонков и сообщений.
https://www.t-mobile.com/news/update-for-customers-on-network-issues
https://www.t-mobile.com/news/update-for-customers-on-network-issues
T-Mobile Newsroom
Update on T-Mobile Network Issues | T-Mobile Newsroom
June 16th, 2020 6:23pm PSTUpdate on T-Mobile Voice and Text Performance Every day we see the vital role technology plays in keeping us connected, and we
Несколько интересных ссылок от читателей (которым традиционно спасибо!)
- Новый SMBleed
https://thehackernews.com/2020/06/SMBleed-smb-vulnerability.html
- кто-то обошёл систему проверки RFID датчиков в холодильниках GE, чтобы можно было использовать неофициальные фильтры для воды. у меня та же проблема с кофемашиной
https://www.vice.com/en_us/article/jgxpjy/hacker-bypasses-ges-ridiculous-refrigerator-drm
- новости из Израиля с обнаженкой!
http://newsru.co.il/israel/16jun2020/police_telegram_005.html
https://www.ha-makom.co.il/post-masha-telegram-sexnet/
- Новый SMBleed
https://thehackernews.com/2020/06/SMBleed-smb-vulnerability.html
- кто-то обошёл систему проверки RFID датчиков в холодильниках GE, чтобы можно было использовать неофициальные фильтры для воды. у меня та же проблема с кофемашиной
https://www.vice.com/en_us/article/jgxpjy/hacker-bypasses-ges-ridiculous-refrigerator-drm
- новости из Израиля с обнаженкой!
http://newsru.co.il/israel/16jun2020/police_telegram_005.html
https://www.ha-makom.co.il/post-masha-telegram-sexnet/
После того, как Zoom хлебнул говна за своё решение предоставить сквозное шифрование только платным пользователям, разработчики напрягли булки и теперь zoom говорит, что шифрование будет доступно всем
https://blog.zoom.us/wordpress/2020/06/17/end-to-end-encryption-update/
https://blog.zoom.us/wordpress/2020/06/17/end-to-end-encryption-update/
Zoom Blog
End-to-End Encryption Update
Since releasing the draft design of Zoom’s end-to-end encryption (E2EE) on May 22, we have engaged with a number of organizations to gather feedback.
======РЕКЛАМА======
Хочешь быть в курсе новостей ИТ-индустрии и разбираться в облачных технологиях и инструментах? Загляни в Telegram-блог «ИТ-ГРАД», где ребята из команды облачного провайдера регулярно публикуют:
✅ новости ИТ, облачных технологий и дата-центров;
✅ обзоры инструментов для бизнеса, гайды и инструкции;
✅ ИТ и законодательство — рекомендации по соблюдению бизнесом 152-ФЗ;
✅ анонсы полезных вебинаров, реальные облачные кейсы и многое другое!
Подписывайся, будет интересно → https://t.me/iaasblog
======РЕКЛАМА======
Хочешь быть в курсе новостей ИТ-индустрии и разбираться в облачных технологиях и инструментах? Загляни в Telegram-блог «ИТ-ГРАД», где ребята из команды облачного провайдера регулярно публикуют:
✅ новости ИТ, облачных технологий и дата-центров;
✅ обзоры инструментов для бизнеса, гайды и инструкции;
✅ ИТ и законодательство — рекомендации по соблюдению бизнесом 152-ФЗ;
✅ анонсы полезных вебинаров, реальные облачные кейсы и многое другое!
Подписывайся, будет интересно → https://t.me/iaasblog
======РЕКЛАМА======
Telegram
MTS Web Services
MTS Web Services (MWS) — сервисы и продукты Enterprise-уровня для ИИ-экспериментов и цифровой трансформации бизнеса.
Сайт: https://mws.ru/
Сайт: https://mws.ru/
Австралия опасносте. Пишут, что сегодня многие государственные организации и коммерческие компании в Австралии подверглись ки кибер-атаке, и за этим якобы стоит какое-то государство (какое — не уточняется)
https://www.news.com.au/technology/online/hacking/australian-government-and-private-sector-reportedly-hit-by-massive-cyber-attack/news-story/
https://www.theguardian.com/technology/2020/jun/19/australian-cyber-attack-not-sophisticated-just-a-wake-up-call-for-businesses-experts-say?CMP=fb_a-technology_b-gdntech
https://www.news.com.au/technology/online/hacking/australian-government-and-private-sector-reportedly-hit-by-massive-cyber-attack/news-story/
https://www.theguardian.com/technology/2020/jun/19/australian-cyber-attack-not-sophisticated-just-a-wake-up-call-for-businesses-experts-say?CMP=fb_a-technology_b-gdntech
the Guardian
Australian cyber attack not ‘sophisticated’ – just a wake-up call for businesses, experts say
The ‘state-based cyber actor’ Morrison announced as having targeted Australia is exploiting well-known vulnerabilities, they say