Вот забавная штука: информация, которую мы размещаем на машинах, и что она о нас говорит. Конечно, актуальней больше для Штатов, тут любят это дело, но вообще интересно. Например, как люди рассказывают о своих дорогих хобби с дорогими игрушками дома, и предпочтениях, из которых можно сделать выводы, когда человек отсутствует дома
как федеральные органы в США скупают информацию о геолокации, которую собирают агрегаторы из обычных приложений, и используют её в расследованиях. И хотя данные, как правило, анонимны, есть механизмы, которые позволяют вычислить определенного пользователя, и даже привязать эту информацию к конкретному человеку с именем и адресом. Для тех, кто скажет “а что такого”, просто хочу уточнить, что подобные действия правоохранительных органов предполагают наличие ордера суда, и таким образом нарушаются права граждан, защищенные конституцией страны. неудивительно, что в конгрессе США возбудились и планируют изучить и запретить эту практику.
https://www.protocol.com/government-buying-location-data
https://www.vice.com/en_us/article/jgxk3g/secret-service-phone-location-data-babel-street
https://www.protocol.com/government-buying-location-data
https://www.vice.com/en_us/article/jgxk3g/secret-service-phone-location-data-babel-street
Protocol
Through apps, not warrants, ‘Locate X’ allows federal law enforcement to track phones
Federal agencies have big contracts with Virginia-based Babel Street. Depending on where you've traveled, your movements may be in the company's data.
Да где же этому конец, ничего святого и тд. Исследователи научились по звуку вставляемого в замок ключа восстанавливать 3Д копию этого ключа
https://kottke.org/20/08/researchers-can-duplicate-keys-from-the-sounds-they-make-in-locks
https://kottke.org/20/08/researchers-can-duplicate-keys-from-the-sounds-they-make-in-locks
kottke.org
Researchers Can Duplicate Keys from the Sounds They Make in Locks
Researchers have demonstrated that they can make a working 3D-printed copy of a key just by listening to how the key sounds when inserted into a lock. And you don’t need a fancy mic — a smartphone or smart doorbell
Собственно, в заголовке статьи все и так понятно. Кто-то насобирал профайлов с социальных сетей, и выложил данные на незащищённый сервер. Из рубрики «никогда такого не было, и вот опять»
https://www.forbes.com/sites/daveywinder/2020/08/19/massive-data-leak235-million-instagram-tiktok-and-youtube-user-profiles-exposed/
https://www.forbes.com/sites/daveywinder/2020/08/19/massive-data-leak235-million-instagram-tiktok-and-youtube-user-profiles-exposed/
Forbes
235 Million Instagram, TikTok And YouTube User Profiles Exposed In Massive Data Leak
Got an Instagram, TikTok or YouTube account? 235 million users potentially affected by massive profile data leak.
Тоже из постоянной рубрики «преступление и наказание». Когда-то давно Убер взломали, украв массу пользовательских данных:
https://t.me/alexmakus/1466
Но Убер скрыл факт этого взлома, выплатил хакеру выкуп и назвал это вознаграждением за участие в программе проверки безопасности. Теперь против директора по безопасности выдвинуто уголовное обвинение о сокрытии информации об этом взломе, и потенциально светит до 8 лет (ок, ещё не наказание, но близко)
https://www.nytimes.com/2020/08/20/technology/joe-sullivan-uber-charged-hack.html
https://t.me/alexmakus/1466
Но Убер скрыл факт этого взлома, выплатил хакеру выкуп и назвал это вознаграждением за участие в программе проверки безопасности. Теперь против директора по безопасности выдвинуто уголовное обвинение о сокрытии информации об этом взломе, и потенциально светит до 8 лет (ок, ещё не наказание, но близко)
https://www.nytimes.com/2020/08/20/technology/joe-sullivan-uber-charged-hack.html
Telegram
Информация опасносте
Bloomberg пишет, что в 2016 году Uber подвергся хакерской атаке, в результате чего персональные данные 50 миллионов пользователей сервиса, включая имена, адреса почты и номера телефонов, оказались у хакеров. Кроме того, они украли данные 7 миллионов водителей…
редакция канала в лице меня выходит из летаргического сна под названием отпуск и расплачивается по долгам накопившимся за это время ссылками:
крупнейшая компания-оператор круизных лайнеров Carnival подверглась атаке ПО-вымогателя
https://www.cyberscoop.com/carnival-ransomware-attack/
крупнейшая компания-оператор круизных лайнеров Carnival подверглась атаке ПО-вымогателя
https://www.cyberscoop.com/carnival-ransomware-attack/
CyberScoop
Cruise operator Carnival hit by ransomware
Carnival, the world’s biggest cruise line operator, suffered a ransomware attack on Saturday that exposed personal data on customers and employees, the company said in a Securities and Exchange Commission filing. The intrusion, which hit the IT system of…
ЦБ выявил новый способ хищения средств со счетов клиентов в банке с использованием Системы быстрых платежей (СБП). При установке в мобильном банке одной из кредитных организаций возможности переводов по СБП была оставлена уязвимость, связанная с открытым API-интерфейсом. Через нее мошенники смогли подменять счета отправителя. Эксперты отмечают, что это первый случай использования СБП в схеме успешной хакерской атаки на банк.
https://www.kommersant.ru/doc/4465889
https://www.kommersant.ru/doc/4465889
Коммерсантъ
Система хитрых платежей
Мошенники нашли способ выводить деньги через СБП
как Microsoft откладывала исправление уязвимости в Windows два года
https://krebsonsecurity.com/2020/08/microsoft-put-off-fixing-zero-day-for-2-years/
https://krebsonsecurity.com/2020/08/microsoft-put-off-fixing-zero-day-for-2-years/
Krebsonsecurity
Microsoft Put Off Fixing Zero Day for 2 Years
A security flaw in the way Microsoft Windows guards users against malicious files was actively exploited in malware attacks for two years before last week, when Microsoft finally issued a software update to correct the problem.
Google исправила серьезную уязвимость в Gmail
https://www.zdnet.com/article/google-fixes-major-gmail-bug-seven-hours-after-exploit-details-go-public/
https://www.zdnet.com/article/google-fixes-major-gmail-bug-seven-hours-after-exploit-details-go-public/
ZDNET
Google fixes major Gmail bug seven hours after exploit details go public
Attackers could have sent spoofed emails mimicking any Gmail or G Suite customer.
Тойота обещает тут заливать данные о вождении автомобилей в облако, для того, чтобы страховые компании могли анализировать их и выставлять соотвествующие ставки для страховых премиумов. Идея, конечно, на поверхности хорошая (вознаграждать приличных водителей за хорошее поведение), но столько всего может пойти не так, что прямо захватывает дух. (Посмотрел на свою машину без электроники и OBD-II порта и порадовался)
https://www.theregister.com/2020/08/18/aws_toyota_alliance/
https://www.theregister.com/2020/08/18/aws_toyota_alliance/
The Register
Oh what a feeling: New Toyotas will upload data to AWS to help create custom insurance premiums based on driver behaviour
Connected car vision has been in first gear for years, cloudy scale could jump-start plans
интересная уязвимость в операционных системах Apple, позволяющая через браузер украсть, например, историю браузера. Apple сказала «ну мы там весной 2021 года исправим», а эксперты решили не ждать и опубликовали информацию о ней уже сейчас, вместе с proof of concept
https://blog.redteam.pl/2020/08/stealing-local-files-using-safari-web.html
https://blog.redteam.pl/2020/08/stealing-local-files-using-safari-web.html
blog.redteam.pl
Stealing local files using Safari Web Share API
red team, blue team, penetration testing, red teaming, threat hunting, digital forensics, incident response, cyber security, IT security
LOL (даже сотрудники Google считают, что настройки безопасности у Google сложные и непонятные)
https://gizmodo.com/even-google-employees-found-google-s-privacy-settings-c-1844855798
https://gizmodo.com/even-google-employees-found-google-s-privacy-settings-c-1844855798
Gizmodo
Even Google Employees Found Google’s Privacy Settings Confusing
By 2018, Google mastered the art of obscuring privacy settings to the degree that even some Google employees didn’t know how location privacy settings worked, according to an Arizona consumer fraud lawsuit (now with fewer redactions) shows. As the Arizona…
и еще ЛОЛ вчерашнего дня, который меня все никак не отпустит. Фейсбук опубликовал пост в блоге, в котором рассказывает, как изменения в iOS 14 затронут рекламный бизнес компании. Благодаря ограничениям по доступу к рекламному идентификатору в iOS-устройствах ни собственные приложения Facebook, ни приложения, которые показывают рекламу Audience Network от ФБ, не смогут получать информацию, идентифицирующую пользователя, что существенно ограничит возможности по таргетированию пользователей рекламой (приложения, которые показывают платформенную рекламу, будут запрашивать подтверждение у пользователя, хочет ли тот, чтобы приложение следило за ним между разными приложениями и сайтами. подозреваю, многие пользователи ответят “нет, хочу”.). Фейсбук говорит, что эти изменения по мониторингу, идентифицированию пользователей настолько существенны, что реклама на iOS 14 может потерять вообще какой либо смысл. Интересно, мы в этом месте должны как-то посочувствовать бедному Facebook и осудить мировое зло в виде Apple?
https://www.facebook.com/business/news/preparing-our-partners-for-ios-14-launch/
https://www.facebook.com/business/news/preparing-our-partners-for-ios-14-launch/
Meta for Business
How We’re Preparing Businesses for the Impact of iOS 14
iOS 14 updates will have an impact on businesses’ ability to monetize through ads. See how Facebook is addressing iOS 14 changes and helping our partners prepare.
Сотрудник Tesla отказался от взятки в миллион долларов и работал с ФБР, чтобы вскрыть возможную кибер-атаку на Tesla Gigafactory. Предлагавшего взятку зовут «Egor Igorevich Kriuchkov»
https://www.zdnet.com/article/russian-arrested-for-trying-to-recruit-an-insider-and-hack-a-nevada-company/
https://www.teslarati.com/tesla-employee-fbi-thwarts-russian-cybersecurity-attack/
https://www.zdnet.com/article/russian-arrested-for-trying-to-recruit-an-insider-and-hack-a-nevada-company/
https://www.teslarati.com/tesla-employee-fbi-thwarts-russian-cybersecurity-attack/
ZDNET
Russian arrested for trying to recruit an insider and hack a Nevada company
A Russian national traveled to the US to recruit and convince an employee of a Nevada company to install malware on the company's network.
Уязвимость в библиотеке Play Core на Android, которая позволяла вредоносным приложениям воровать данные из приложений (например, пароли или номера кредитных карт) на том же устройстве. Рейтинг бага по уровню опасности — 8.8 из 10.0, Google уже выпустила апдейт с фиксом.
https://nvd.nist.gov/vuln/detail/CVE-2020-8913#range-5840182
https://nvd.nist.gov/vuln/detail/CVE-2020-8913#range-5840182
дешевый китайский телефон, да чтобы сразу со встроенным шпионским ПО? никогда такого не было, и вот опять
https://www.buzzfeednews.com/article/craigsilverman/cheap-chinese-smartphones-malware
https://www.buzzfeednews.com/article/craigsilverman/cheap-chinese-smartphones-malware
BuzzFeed.News
Chinese-Made Smartphones Are Secretly Stealing Money From People Around The World
Preinstalled malware on low-cost Chinese phones has stolen data and money from some of the world's poorest people.
Apple, конечно, молодец по затягиванию гаек на платформах, чтобы не допускать туда вредоносное ПО, но тут уж лоханулась так лоханулась. У Apple сейчас есть требование, в рамках которого приложения должны быть подписаны сертификатом из учетки зарегистрированного разработчика, а также это приложение должно пройти процедуру “нотаризации” — дополнительной проверки, чтобы убедиться, что в самом приложении нет каких-то особых ужасов. Оказывается, они в какойто момент лоханулись и нотаризовали adware — вредоносное ПО, которое, будучи установленным, перехватывает рекламу и показывает свою. Эту лажу обнаружили, и Apple отозвала сертификат разработчика, после чего этот payload перестал работать
https://objective-see.com/blog/blog_0x4E.html
https://objective-see.com/blog/blog_0x4E.html
objective-see.org
Apple Approved Malware
malicious code ...now notarized!? #2020
Суд в США сегодня признал, что вся программа NSA по сбору информации о звонках граждан США была незаконной и, возможно, неконституционной. Кто бы мог подумать
https://www.aclu.org/legal-document/united-states-v-moalin-ninth-circuit-opinion
https://www.aclu.org/legal-document/united-states-v-moalin-ninth-circuit-opinion
American Civil Liberties Union
United States v. Moalin - Ninth Circuit Opinion