Почти 28 миллионов записей водительских удостоверений в штате Техас утекли у страховой компании Vertafore, которая имела доступ к записям местного «ГАИ». Имена, номера автомобилей, даты рождения, адреса, прочая информация о регистрации автомобиля утекла для тех жителей Техаса, которые получали ВУ до февраля 2019 года. Ничего святого нет у этих хакеров. Теперь они могут попытаться открывать банковские счета, например, или еще каким-то образом выдавать себя за других людей. А все потому, что бараны в страховой хранили данные в незапароленном онлайн-хранилище

https://www.fox26houston.com/news/nearly-28-million-licensed-texas-drivers-hit-by-data-breach

Как армия США покупает данные из приложений, которые безобидны на вид, но на самом деле собирают данные о пользователях и продают эту информацию, включая данные о геолокации третьим сторонам. Один из примеров - приложение Muslim Pro, для молитв, которое хвастается почти 100млн закачек. И таких приложений много. Данные собирает брокер X-Mode, который затем продаёт их разным заказчикам в министерстве обороны. Атака дроном с помощью таких данных пока что не проводилась, но, чувству, недолго уже осталось.

https://www.vice.com/en/article/jgqm5x/us-military-location-data-xmode-locate-x

Игровая компания Capcom опубликовала информацию о том, что в результате недавнего взлома и атаки вируса-вымогателя данные 350 тысяч пользователей утекли к злоумышленникам

http://www.capcom.co.jp/ir/english/news/html/e201116.html

=== РЕКЛАМА ===

18 ноября в 16:00 приглашаем вас на первое онлайн-мероприятие из серии вебинаров про Cloud Security «ИБ облачных сред: от отрицания до уверенного использования».

Речь пойдет об общей картине обеспечения информационной безопасности в облаке и о том, как использовать преимущества облака при реализации защитных мер. Наши эксперты рассмотрят наиболее распространенные угрозы в облаке, ключевые контроли для защиты облачных сред, а также доступные в облаке инструменты и их использование для обеспечения ИБ.

Кому будет полезно:
🔺 ИБ-специалистам, которые хотят разобраться в особенностях облака и подходах к его защите
🔺 Тем, кто хочет разобраться с доступным в облаке ИБ-инструментарием
🔺 ИТ-специалистам, которые планируют переезд в облако

Регистрация на мероприятие:
https://events.webinar.ru/jet/cloudsecurity1811

=== РЕКЛАМА ===

Приложения для молитв мусульман пообещали, что больше не будут передавать информацию о местоположении пользователей X-Mode. Поздно, координаты в дроны уже загружены.

https://www.vice.com/en/article/g5bq89/muslim-pro-location-data-military-xmode

и тебе HTTPS, и тебе HTTPS! ВСЕМ HTTPS!

это у Firefox вышла новая версия с режимом «только HTTPS»
https://www.zdnet.com/article/firefox-83-released-with-https-only-mode-that-only-loads-https-sites/

Люблю такие картинки

Админы Друпала, вы знаете, что делать

https://www.drupal.org/sa-core-2020-012

Это из той самой коллекции 23 тысяч баз разных сайтов, с 226 млн записей адресов почты и паролей. Думаю, многие из читателей канала там тоже есть https://www.troyhunt.com/inside-the-cit0day-breach-collection/

НУ ИЗВИНИТЕ. Книжка про mac malware

https://taomm.org

Похоже, что в следующем релизе iOS 14 Apple планирует таки активировать функцию App Tracking Transparency, которая будет сообщать пользователям о попытках компаний следить за пользователями между приложениями и сайтами. Изначально фичу должны были включить в 14.0, но Apple задержала эту фичу, мотивируя это тем, что «компаниям надо подготовиться». Организации по защите гражданских прав пеняли Apple за эту задержку, и вот компания опубликовала ответ.

В двух словах: «мы за все хорошее и чтобы не следить за пользователями, а вот Фейсбук...». Полное письмо по ссылке:

https://www.scribd.com/document/485013304/Apple-Letter-on-App-

И в рамках пятницы одна из моих любимых картинок про инфосек

упс (Group IB сделала банлист конкурентов, чтобы не ходили на её конференцию)
https://twitter.com/cedricpernet/status/1329726774197051393

А чувак, который утверждал, что смог подобрать пароль к твиттеру Трампа, по-прежнему отстаивает свою правоту, хотя Твиттер и опровергает, что якобы мог быть несанкционированный доступ. Говорит, что у него есть пруфы!

https://www.bbc.com/news/technology-55019858

Твитор запустил свою версию Stories (Fleets), которые должны были исчезать через 24 часа. Оказалось, что в API остался доступ к ним, где можно было выкачать их, без уведомления их создателя. Лучше бы они вообще не появлялись, вот что

https://twitter.com/donk_enby/status/1329935540049817600

«Министерство внутренних дел (МВД) России планирует создать банк биометрических данных россиян, иностранцев, а также лиц без гражданства, с помощью которого людей можно будет идентифицировать по изображению лица, отпечаткам пальцев и геномной информации»

Я такой старый, что помню, какую истерику развели в интернете, когда Apple представила телефон с разблокировкой через отпечаток пальца. Сколько интернет-экспертов тогда рассказывали о том, как «фбр теперь соберёт базу данных отпечатков пальцев россиян», ага. (Хотя реальность оказалась гораздо прозаичней: с математической моделью нескольких точек, хранящейся локально, из которой восстановить отпечаток нельзя). А база МВД - это как раз нормально, потому что ну разве что-то может пойти не так? Разве можно будет получить несанкционированный доступ за деньги к этим данным? Разве могут такие данные использовать не по назначению?


https://www.dw.com/ru/mvd-rf-budet-sobirat-biometricheskie-dannye-rossijan-i-inostrancev-v-specialnom-banke/a-55689754

Go SMS Pro, популярный мессенджер на Андроид, при пересылке картинок или файлов между пользователями закачивает их на свой сервер, чтобы ссылка была доступна для просмотра даже без приложения. Но нумерация этих файлов идёт по порядку, и при желании можно перебором просматривать чужие файлы, которые могут содержать конфиденциальную информацию. Попытки связаться с разработчиками не увенчались успехом, проблема остаётся неисправленной

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/go-sms-pro-vulnerable-to-media-file-theft/

Интересно https://reddit.com/r/privacy/comments/k07yan/macos_big_sur_does_not_bypass_vpns/

Microsoft office 365 как инструмент слежки за сотрудниками. Плохо все, от самого факта слежки до того, что Microsoft была замечена в продаже подобных данных на сторону.

https://twitter.com/WolfieChristl/status/1331221942850949121