Интересная уязвимость в некоторых приложениях для macOS об обходе встроенного карантина файлов (за ссылку спасибо читателю)
https://medium.com/@metnew/exploiting-popular-macos-apps-with-a-single-terminal-file-f6c2efdfedaa
https://medium.com/@metnew/exploiting-popular-macos-apps-with-a-single-terminal-file-f6c2efdfedaa
Medium
Exploiting popular macOS apps with a single “.terminal” file.
A story about macOS File Quarantine, 10years old bug, OneDrive entitlements and UX Security in apps.
Интересная тема про уязвимость в чипе Secure Enclave Processor, который обеспечивает безопасность iOS устройств и работу Face ID, Touch ID. Команда Team Pangu, которая занимается разработкой джейлбрейков для устройств Apple, продемонстрировали уязвимость в SEP, которую невозможно исправить (поскольку она аппаратная). Команда планирует продать информацию об уязвимости в Apple, а критики утверждают, что ценность самой уязвимости не такая высокая, так как её природа не даёт возможности использовать её для джейлбрейка с помощью приложения или через веб (только при наличии физического доступа и устройства в DFU). Более того, последние устройства Apple с процессорами А12 и А13 не содержат в себе эксплойта BOOTROM, который нужен для эксплуатации уязвимости.
https://androidrookies.com/team-pangu-demonstrates-unpatchable-secure-enclave-processor-sep-chip-vulnerability-in-ios/
https://androidrookies.com/team-pangu-demonstrates-unpatchable-secure-enclave-processor-sep-chip-vulnerability-in-ios/
Давненько у нас тут новостей про Zoom не было. Перебор паролей без ограничений в Зуме, дефолтный пароль из 6 цифр - что могло пойти не так?
https://www.tomanthony.co.uk/blog/zoom-security-exploit-crack-private-meeting-passwords/
https://www.tomanthony.co.uk/blog/zoom-security-exploit-crack-private-meeting-passwords/
Помните WannaCry и NotPetya? Тут подъехали санкции от ЕС физлицами и организациям по этому поводу, и в списке, в дополнение к двум китайцам, есть также
Alexey Valeryevich MININ
Aleksei Sergeyvich MORENETS
Evgenii Mikhaylovich SEREBRIAKOV
Oleg Mikhaylovich SOTNIKOV
https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32020D1127&from=EN
Alexey Valeryevich MININ
Aleksei Sergeyvich MORENETS
Evgenii Mikhaylovich SEREBRIAKOV
Oleg Mikhaylovich SOTNIKOV
https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32020D1127&from=EN
История, так сказать, в двух скриншотах. Забавно, что уведомление от HIBP пришло на два дня раньше, чем от самого взломанного сайта.
БРЕЙКИНГ НЬЮС — арестовали человека, который ответственнен за взлом Твиттера 15 июля. Им оказался 17-летний подросток из Флориды. (а столько было разговоров о том, что это злодеи то из Северной Кореи, то из России, то еще откудато).
https://www.wfla.com/news/hillsborough-county/tampa-teen-accused-of-being-mastermind-behind-twitter-hack-that-targeted-high-profile-accounts/
Кстати, вот еще апдейт от Твиттера по поводу того, что же происходило во время взлома и как это случилось
https://blog.twitter.com/en_us/topics/company/2020/an-update-on-our-security-incident.html
https://www.wfla.com/news/hillsborough-county/tampa-teen-accused-of-being-mastermind-behind-twitter-hack-that-targeted-high-profile-accounts/
Кстати, вот еще апдейт от Твиттера по поводу того, что же происходило во время взлома и как это случилось
https://blog.twitter.com/en_us/topics/company/2020/an-update-on-our-security-incident.html
Twitter
An update on our security incident
An update on our security incident and what we know so far.
ага, взломщиков Твиттера трое, 19, 22 и 17 лет
Mason Sheppard, aka “Chaewon,” 19, Великобритания
Nima Fazeli, aka “Rolex,” 22, Орландо, Флорида
Третьего не идентифицируют, потому что малолетний
https://www.justice.gov/usao-ndca/pr/three-individuals-charged-alleged-roles-twitter-hack
Mason Sheppard, aka “Chaewon,” 19, Великобритания
Nima Fazeli, aka “Rolex,” 22, Орландо, Флорида
Третьего не идентифицируют, потому что малолетний
https://www.justice.gov/usao-ndca/pr/three-individuals-charged-alleged-roles-twitter-hack
www.justice.gov
Three Individuals Charged For Alleged Roles In Twitter Hack
«Неавторизованный доступ» к аккаунтам в Zello
https://support.zello.com/hc/en-us/articles/360046709192-Zello-Security-Notice-July-31-2020
https://support.zello.com/hc/en-us/articles/360046709192-Zello-Security-Notice-July-31-2020
Zello Support
Zello Security Notice – July 31, 2020
On July 8, 2020, we discovered unusual activity on one of our servers. We immediately initiated an investigation, notified law enforcement and engaged a leading independent forensics firm to help. ...
История о стартапе, который накупил баз с именами и адресами (электронными и физическими) сотен миллионов людей, и продаёт сервис, который путём поиска совпадений пытается найти реальных людей среди анонимных посетителей сайтов (да, да, звучит именно так ужасно, как это есть на самом деле, и это даже как бы не нарушает законодательство в США)
https://jezebel.com/this-bumbling-new-start-up-helps-conservative-websites-1844532981
https://jezebel.com/this-bumbling-new-start-up-helps-conservative-websites-1844532981
Jezebel
This Bumbling New Start-Up Helps Conservative Websites Store User Names, Postal Addresses of Anonymous Readers
Recently, Jezebel received a curious email from someone who identified themselves as a co-founder of GetEmails.com, “an all new audience growth tool for publishers.” The technology, we were told, could identify anonymous visitors to a website by providing…
Кстати, о данных
https://novayagazeta.ru/news/2020/08/03/163478-kommersant-v-internete-vystavili-na-prodazhu-dannye-okolo-milliona-avtomobilistov-iz-moskvy-i-podmoskovya
https://novayagazeta.ru/news/2020/08/03/163478-kommersant-v-internete-vystavili-na-prodazhu-dannye-okolo-milliona-avtomobilistov-iz-moskvy-i-podmoskovya
Новая Газета
«Коммерсант»: в интернете выставили на продажу данные около миллиона автомобилистов из Москвы и Подмосковья
Журналистские расследования о коррупции в бизнесе и во власти, специальные репортажи с событий политической и культурной жизни, главные новости, галереи, онлайн-кинотеатр, мнения и рецензии ведущих журналистов и экспертов страны
Исследование содержимого зашифрованного архива, который ТикТок отправляет каждые 2 минуты на сервера компании
https://medium.com/@fs0c131y/tiktok-logs-logs-logs-e93e8162647a
https://medium.com/@fs0c131y/tiktok-logs-logs-logs-e93e8162647a
Medium
TikTok: Logs, Logs, Logs
We are in 2020 and the US president is about to ban TikTok, a video-sharing social network mobile app, because “it poses a risk to US…
Очень интересный документ, в котором АНБ (NSA) публикует рекомендации для своих сотрудников о том, как уменьшить утечки информации о геолокации своих устройств. Будет очень полезно всем, кто хотел бы ограничить отправку своих данных о местоположении кому попало
https://media.defense.gov/2020/Aug/04/2002469874/-1/-1/0/CSI_LIMITING_LOCATION_DATA_EXPOSURE_FINAL.PDF
https://media.defense.gov/2020/Aug/04/2002469874/-1/-1/0/CSI_LIMITING_LOCATION_DATA_EXPOSURE_FINAL.PDF