6,5 терабайт пользовательских данных, включая запросы, координаты геолокации, идентификационные номера устройств и частичную информацию адресов в сети. Все это раскрывал поисковик Microsoft Bing, Elasticsearch сервер которого внезапно в сентябре перестал быть запароленным. Из забавного: аутентификация пропала 12 числа, о проблеме в Microsoft сообщили 13 сентября, компания убрала сервер 16 сентября. За это время базу успел переписать два раза бот Meow, который заполняет незащищенные базы данных словом meow. Lol.

https://www.wizcase.com/blog/bing-leak-research/

Отличная познавательная статья о том, что такое «отпечаток браузера» (browser fingerprinting), какую информацию используют для него, как это работает и как от него можно защититься

https://www.technadu.com/browser-fingerprinting/102454/

Говорят, в интернет утекли исходники Windows XP

https://twitter.com/RoninDey/status/1309275918943301636

Текст Checkpoint про уязвимость в Инстаграмме, которую компания обнаружила в этом году (ФБ её исправил). Отправляешь жертве специальную картинку и...

https://research.checkpoint.com/2020/instagram_rce-code-execution-vulnerability-in-instagram-app-for-android-and-ios/

Не все информационные угрозы внешние. Вот у Shopify два сотрудника украли информацию о клиентах примерно 200 торговцев (платформа Shopify предоставляет услуги по созданию онлайн магазинов мелким бизнесам). Имена, адреса, заказы, во многих случаях ещё и 4 последние цифры банковских карт. Shopify не называет количество именно затронутых пользователей, но потенциально речь может идти о миллионах юзеров

https://community.shopify.com/c/Shopify-Discussion/Incident-Update/td-p/888971

Кофе-машина, познакомься с ransomware (комбинация слов, которая ещё 3-4 года назад казалась безумной фантастикой)

https://decoded.avast.io/martinhron/the-fresh-smell-of-ransomed-coffee/

Кстати, о вымогателях. В США одна из крупнейших сете больниц - United Healthcare - стала жертвой ransomware, вредоносного ПО, шифрующего файлы и блокирующего работу компьютеров и ИТ-систем. Многие больницы перешли на работу без компьютеров в результате атаки.

https://www.zdnet.com/article/uhs-hospital-network-hit-by-ransomware-attack/

Полезно-образовательная статья об улучшениях безопасности в Android 11

https://www.wired.com/story/android-11-privacy-and-security-features/

======РЕКЛАМА========

Управление уязвимостями. Кто кого?

Задумывались ли вы, насколько эффективно выявляете и устраняете уязвимости? Positive Technologies решили выяснить, как ИБ-специалисты оценивают качество управления уязвимостями в своих компаниях. Приглашаем принять участие в опросе. Результаты будут опубликованы в виде аналитической статьи на сайте Positive Technologies. Опрос анонимный https://ru.research.net/r/JN9T5Q6

======РЕКЛАМА========

периодически встречающаяся в этом канале рубрика “преступление и наказание”. Российский хакер Евгений Никулин был осужден на 88 месяцев судом в Калифорнии за взлом LinkedIn в 2012 году, а также за взлом Formspring и Dropbox.

https://therecord.media/russian-hacker-nikulin-sentenced-to-over-7-years-in-prison-for-tech-industry-breaches/

Полезный совет с Реддита: при регистрации на сайтах в поле имени (или отчества, если есть), указывать название сайта. Тогда при получении спама можно вычислить, кто слил инфу. Фокус с + в адресе почты тоже можно применять, но он работает не везде
https://reddit.com/r/LifeProTips/comments/j2mm1b/lpt_when_you_sign_up_for_anything_online_put_the/

Прикольно, что слухи об утечке исходников Windows XP подтвердились — чувак смог скомпилировать исходники в продукт (Win XP, а из другого пакета утечки — даже Windows Server 2003). Там не хватает winlogon.exe и всяких драйверов, но принципиально все работает. Похоже, что также утекли исходники для Windows 2000, Embedded (CE 3, CE 4, CE 5, CE, 7), Windows NT (3.5 и 4) и MS-DOS (3.30 и 6.0). Интересно узнать, откуда это все

АПД. NT/CE — старые утечки, а вот XP - новая.

https://www.zdnet.com/article/windows-xp-leak-confirmed-after-user-compiles-the-leaked-code-into-a-working-os/

В тему канала

https://twitter.com/martinshovel/status/1312328072839000066?s=21

История о том, как в приложении Grinder, которое популярно в LGBTQ-сообществе для поиска партнеров, была обнаружена уязвимость, позволявшая получить контроль над чужим аккаунтом, зная адрес электронной почты пользователя. А все было просто — страница сброса пароля содержала в себе токен для этого самого сброса. То есть тот, кто знал имейл пользователя, мог затриггерить сброс пароля, выцепить токен из страницы, и войти в аккаунт. Упс.
https://techcrunch.com/2020/10/02/grindr-account-hijack-flaw/
https://www.troyhunt.com/hacking-grindr-accounts-with-copy-and-paste/

===== РЕКЛАМА ======
7 октября в 16.00 пройдет ток-шоу ANTI-APT ONLINE 2.0, посвященное всегда актуальной теме защиты от целенаправленных атак и атак нулевого дня. На онлайн-мероприятии соберутся представители 4 вендоров, чтобы ответить на «острые» вопросы модератора:

⁉️Электронная почта: сито или решето?
⁉️Анализ веба онлайн. Профанация или это действительно работает?
⁉️ANTI-APT и файловые хранилища, а это действительно нужно?
⁉️У меня уже есть антивирус, зачем мне еще и EDR?

На эти вопросы и не только вы узнаете ответы на нашем ток-шоу ANTI-APT ONLINE 2.0. У каждого участника онлайн-мероприятия будет возможность высказаться, поспорить и рассказать, где он обходит конкурентов. 

Регистрируйтесь на мероприятие и готовьте порцию своих «острых» вопросов для участников: https://events.webinar.ru/jet/antiapt2

===== РЕКЛАМА ======

Еще с прошлой недели тянется новость про то, что хакерам удалось разработать и выпустить джейлбрейк для процессоров Т2. Процессоры Т2, кто не знает, это специальные чипы, обеспечивающие безопасность в компьютерах Мак. Там есть своя операционная система SepOS, в которой еще летом была обнаружена уязвимость.

Комбинируя два эксплойта — checkra1n и blackbird — вместе с физическим доступом к устройству, можно провести джейлбрейк процессора, потому что «Apple оставила интерфейс дебаггинга в процессорах, что позволяет любому войти в режим DFU без аутентификации». Короче, используя эту информацию, потенциально можно создать USB-C кабель, который будет «взламывать» Мак при загрузке. Потенциально это может обеспечить злоумышленникам доступ к данным, которые хранятся на устройствах зашифрованными, но не сразу. Автоматически доступа к зашифрованным файлам получать нельзя, но можно воткнуть кейлоггер в прошивку Мака, и собрать пароль к расшифровке файлов.

Еще большая часть проблемы — в том, что уязвимость на процессоре Т2 неисправима, поскольку она аппаратная. Короче, если все так ужасно (а обещают, что это еще не все новости), то владельцам текущих Маков теперь можно посоветовать не оставлять свои компьютеры без присмотра в обозримом будущем. Apple пока что не комментирует эту проблему, и интересно, смогут ли каким-то софтверным апдейтом хотя бы уменьшить вероятность успешной атаки с использованием этих уязвимостей.

Детали всего этого безобразия по ссылке

https://ironpeak.be/blog/crouching-t2-hidden-danger/

https://www.zdnet.com/article/hackers-claim-they-can-now-jailbreak-apples-t2-security-chip/

Сегодня я а) узнал, что есть устройства для контроля мужского целомудрия, и б) что они подключены к интернету, и могут управляться с мобильного приложения. Оставим за кадром вопрос «ЗАЧЕМ», но в рамках нашего канала я просто поделюсь ссылкой на исследование по безопасности такого устройства. Оказалось, что дырявое API у разработчика устройства позволяет злоумышленникам (кстати, автокоррект исправил на «злоумышленницам» почему-то) удаленно заблокировать эти «замки целомудрия» пользователям. После чего их бы пришлось спиливать с понятно какой части организма. Как это бывает часто с интернет-гаджетами, уместной будет фраза из Парка Юрского периода:

«Ваши ученые были настолько заняты вопросом, смогут они это сделать или нет, что никто из них не задумался о том, а надо ли это вообще делать»

https://www.pentestpartners.com/security-blog/smart-male-chastity-lock-cock-up/

✋ Сбербанк активно собирает биометрию не только у взрослых, но и у детей. С 2015 года в российских школах запущен его проект «Ладошки» — и хотя законом сбор биометрических данных у несовершеннолетних не предусмотрен, ладошки собраны уже у сотен тысяч школьников по всей стране. The Bell нашел недовольных родителей и разобрался в юридической стороне вопроса.

Окей, эта история просто заслуживает войти в the best этого канала!

Короче, некто сжёг автомобиль у дома свидетеля, который проходит по делу певца R. Kelly. Федеральные органы запросили у Гугл информацию о всех пользователях, которые искали в Гугле адрес, по которому проживает этот свидетель, в рамках времени, когда произошёл поджог. Этот запрос с ордером привёл к запросу с определённого IP-адреса в соседнем штате за пару дней до поджога. IP адрес принадлежал телефону, который был записан на некоего гражданина. Который оказался родственником издателя певца R. Kelly. Затем представители правоохранительных органов проанализировали логи с базовых станций вокруг дома, где был подожжен автомобиль. Сюрприз-сюрприз, в логах БС оказался тот же телефон, принадлежащий уже установленному гражданину, и по логам он там фигурировал прямо во время поджога. Агенты арестовали его, и в телефоне обнаружилась информация о поездке в день поджога, с остановкой возле места, где произошёл поджог. Такой вот цифровой след. Детали расследования по ссылке в документе

https://www.documentcloud.org/documents/7222789-Another-R-Kelly-Search-Warrant.html