если пользуетесь Твиттером на Андроиде, то вам надо обновиться как можно скорее
https://privacy.twitter.com/blog/2020/twitter-for-android-security-vulnerability

похоже, речь идет об этой уязвимости
https://www.cvedetails.com/cve/CVE-2018-9492/

Воу, воу, 20гб конфиденциальной информации Intel выложили в сети

https://arstechnica.com/information-technology/2020/08/intel-is-investigating-the-leak-of-20gb-of-its-source-code-and-private-data/

Также

https://twitter.com/deletescape/status/1291405688204402689

=======Реклама=======

Демо-занятия по Реверс-инжинирингу для тех, кто хочет знать все о вредоносных программах и как от них защититься.

«Анализ банковского трояна», 24 августа, для начинающих специалистов ИБ https://otus.pw/DvTu/

«Анализ буткита», 20 августа, для тех кто уже знаком с основными приемами реверс-инжиниринга https://otus.pw/Zaep/

Для регистрации пройдите вступительный тест!

Have I Been Pwned, сайт с коллекцией информации об утечках, который позволяет получить уведомление о том, что ваша информация куда-то утекла, если такое случилось, переходит из частного проекта Троя Ханта в открытый исходный код


https://www.troyhunt.com/im-open-sourcing-the-have-i-been-pwned-code-base/

Несколько академичный материал о новой уязвимости в процессорах всех архитектур. Сложно реализуемая в реальной жизни, если я правильно понимаю

https://thehackernews.com/2020/08/foreshadow-processor-vulnerability.html

перехват спутниковых коммуникаций
https://www.blackhat.com/us-20/briefings/schedule/index.html#whispers-among-the-stars-a-practical-look-at-perpetrating-and-preventing-satellite-eavesdropping-attacks-19391

Ну и шикарный разбор того, как работают атаки с применением вымогателей MAZE (тут недавно Canon стал его жертвой)
https://www.fireeye.com/blog/threat-research/2020/05/tactics-techniques-procedures-associated-with-maze-ransomware-incidents.html

Компания ESET обнаружила уязвимость в Wi-Fi модулях Qualcomm и MediaTek, позволяющую похищать конфиденциальную информацию. Ранее ESET сообщала о похожей уязвимости Kr00k, обнаруженной в чипах Broadcom и Cypress. 
 
Kr00k позволяет перехватывать и дешифровать трафик Wi-Fi (WPA2). Злоумышленники используют уязвимость, чтобы получить доступ к данным — для этого им не нужно проходить аутентификацию и связываться с WLAN. Достаточно просто находиться в зоне действия сигнала Wi-Fi, без знания пароля от сети. 

https://www.welivesecurity.com/2020/08/06/beyond-kr00k-even-more-wifi-chips-vulnerable-eavesdropping/

А вот это может быть полезно параноикам - аппаратные выключатели периферии в мобильном телефоне

Оказывается, когда вы удаляли фото и сообщения в Инстаграмме, они на самом деле не удалялись. Проблема уже исправлена

https://techcrunch.com/2020/08/13/instagram-delete-photos-messages-servers/

Дроворуб против Линукса

https://www.fbi.gov/news/pressrel/press-releases/nsa-and-fbi-expose-russian-previously-undisclosed-malware-drovorub-in-cybersecurity-advisory

Вот забавная штука: информация, которую мы размещаем на машинах, и что она о нас говорит. Конечно, актуальней больше для Штатов, тут любят это дело, но вообще интересно. Например, как люди рассказывают о своих дорогих хобби с дорогими игрушками дома, и предпочтениях, из которых можно сделать выводы, когда человек отсутствует дома

как федеральные органы в США скупают информацию о геолокации, которую собирают агрегаторы из обычных приложений, и используют её в расследованиях. И хотя данные, как правило, анонимны, есть механизмы, которые позволяют вычислить определенного пользователя, и даже привязать эту информацию к конкретному человеку с именем и адресом. Для тех, кто скажет “а что такого”, просто хочу уточнить, что подобные действия правоохранительных органов предполагают наличие ордера суда, и таким образом нарушаются права граждан, защищенные конституцией страны. неудивительно, что в конгрессе США возбудились и планируют изучить и запретить эту практику.

https://www.protocol.com/government-buying-location-data

https://www.vice.com/en_us/article/jgxk3g/secret-service-phone-location-data-babel-street

Да где же этому конец, ничего святого и тд. Исследователи научились по звуку вставляемого в замок ключа восстанавливать 3Д копию этого ключа

https://kottke.org/20/08/researchers-can-duplicate-keys-from-the-sounds-they-make-in-locks

Собственно, в заголовке статьи все и так понятно. Кто-то насобирал профайлов с социальных сетей, и выложил данные на незащищённый сервер. Из рубрики «никогда такого не было, и вот опять»

https://www.forbes.com/sites/daveywinder/2020/08/19/massive-data-leak235-million-instagram-tiktok-and-youtube-user-profiles-exposed/

Тоже из постоянной рубрики «преступление и наказание». Когда-то давно Убер взломали, украв массу пользовательских данных:

https://t.me/alexmakus/1466

Но Убер скрыл факт этого взлома, выплатил хакеру выкуп и назвал это вознаграждением за участие в программе проверки безопасности. Теперь против директора по безопасности выдвинуто уголовное обвинение о сокрытии информации об этом взломе, и потенциально светит до 8 лет (ок, ещё не наказание, но близко)

https://www.nytimes.com/2020/08/20/technology/joe-sullivan-uber-charged-hack.html

редакция канала в лице меня выходит из летаргического сна под названием отпуск и расплачивается по долгам накопившимся за это время ссылками:

крупнейшая компания-оператор круизных лайнеров Carnival подверглась атаке ПО-вымогателя
https://www.cyberscoop.com/carnival-ransomware-attack/

ЦБ выявил новый способ хищения средств со счетов клиентов в банке с использованием Системы быстрых платежей (СБП). При установке в мобильном банке одной из кредитных организаций возможности переводов по СБП была оставлена уязвимость, связанная с открытым API-интерфейсом. Через нее мошенники смогли подменять счета отправителя. Эксперты отмечают, что это первый случай использования СБП в схеме успешной хакерской атаки на банк.

https://www.kommersant.ru/doc/4465889

как Microsoft откладывала исправление уязвимости в Windows два года
https://krebsonsecurity.com/2020/08/microsoft-put-off-fixing-zero-day-for-2-years/