=== РЕКЛАМА ===

18 ноября в 16:00 приглашаем вас на первое онлайн-мероприятие из серии вебинаров про Cloud Security «ИБ облачных сред: от отрицания до уверенного использования».

Речь пойдет об общей картине обеспечения информационной безопасности в облаке и о том, как использовать преимущества облака при реализации защитных мер. Наши эксперты рассмотрят наиболее распространенные угрозы в облаке, ключевые контроли для защиты облачных сред, а также доступные в облаке инструменты и их использование для обеспечения ИБ.

Кому будет полезно:
🔺 ИБ-специалистам, которые хотят разобраться в особенностях облака и подходах к его защите
🔺 Тем, кто хочет разобраться с доступным в облаке ИБ-инструментарием
🔺 ИТ-специалистам, которые планируют переезд в облако

Регистрация на мероприятие:
https://events.webinar.ru/jet/cloudsecurity1811

=== РЕКЛАМА ===

Приложения для молитв мусульман пообещали, что больше не будут передавать информацию о местоположении пользователей X-Mode. Поздно, координаты в дроны уже загружены.

https://www.vice.com/en/article/g5bq89/muslim-pro-location-data-military-xmode

и тебе HTTPS, и тебе HTTPS! ВСЕМ HTTPS!

это у Firefox вышла новая версия с режимом «только HTTPS»
https://www.zdnet.com/article/firefox-83-released-with-https-only-mode-that-only-loads-https-sites/

Люблю такие картинки

Админы Друпала, вы знаете, что делать

https://www.drupal.org/sa-core-2020-012

Это из той самой коллекции 23 тысяч баз разных сайтов, с 226 млн записей адресов почты и паролей. Думаю, многие из читателей канала там тоже есть https://www.troyhunt.com/inside-the-cit0day-breach-collection/

НУ ИЗВИНИТЕ. Книжка про mac malware

https://taomm.org

Похоже, что в следующем релизе iOS 14 Apple планирует таки активировать функцию App Tracking Transparency, которая будет сообщать пользователям о попытках компаний следить за пользователями между приложениями и сайтами. Изначально фичу должны были включить в 14.0, но Apple задержала эту фичу, мотивируя это тем, что «компаниям надо подготовиться». Организации по защите гражданских прав пеняли Apple за эту задержку, и вот компания опубликовала ответ.

В двух словах: «мы за все хорошее и чтобы не следить за пользователями, а вот Фейсбук...». Полное письмо по ссылке:

https://www.scribd.com/document/485013304/Apple-Letter-on-App-

И в рамках пятницы одна из моих любимых картинок про инфосек

упс (Group IB сделала банлист конкурентов, чтобы не ходили на её конференцию)
https://twitter.com/cedricpernet/status/1329726774197051393

А чувак, который утверждал, что смог подобрать пароль к твиттеру Трампа, по-прежнему отстаивает свою правоту, хотя Твиттер и опровергает, что якобы мог быть несанкционированный доступ. Говорит, что у него есть пруфы!

https://www.bbc.com/news/technology-55019858

Твитор запустил свою версию Stories (Fleets), которые должны были исчезать через 24 часа. Оказалось, что в API остался доступ к ним, где можно было выкачать их, без уведомления их создателя. Лучше бы они вообще не появлялись, вот что

https://twitter.com/donk_enby/status/1329935540049817600

«Министерство внутренних дел (МВД) России планирует создать банк биометрических данных россиян, иностранцев, а также лиц без гражданства, с помощью которого людей можно будет идентифицировать по изображению лица, отпечаткам пальцев и геномной информации»

Я такой старый, что помню, какую истерику развели в интернете, когда Apple представила телефон с разблокировкой через отпечаток пальца. Сколько интернет-экспертов тогда рассказывали о том, как «фбр теперь соберёт базу данных отпечатков пальцев россиян», ага. (Хотя реальность оказалась гораздо прозаичней: с математической моделью нескольких точек, хранящейся локально, из которой восстановить отпечаток нельзя). А база МВД - это как раз нормально, потому что ну разве что-то может пойти не так? Разве можно будет получить несанкционированный доступ за деньги к этим данным? Разве могут такие данные использовать не по назначению?


https://www.dw.com/ru/mvd-rf-budet-sobirat-biometricheskie-dannye-rossijan-i-inostrancev-v-specialnom-banke/a-55689754

Go SMS Pro, популярный мессенджер на Андроид, при пересылке картинок или файлов между пользователями закачивает их на свой сервер, чтобы ссылка была доступна для просмотра даже без приложения. Но нумерация этих файлов идёт по порядку, и при желании можно перебором просматривать чужие файлы, которые могут содержать конфиденциальную информацию. Попытки связаться с разработчиками не увенчались успехом, проблема остаётся неисправленной

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/go-sms-pro-vulnerable-to-media-file-theft/

Интересно https://reddit.com/r/privacy/comments/k07yan/macos_big_sur_does_not_bypass_vpns/

Microsoft office 365 как инструмент слежки за сотрудниками. Плохо все, от самого факта слежки до того, что Microsoft была замечена в продаже подобных данных на сторону.

https://twitter.com/WolfieChristl/status/1331221942850949121

Что вы знаете о небрежности! Личные данные 16 миллионов бразильских пациентов с COVID, включая президента и нескольких министров Бразилии были выложены на GitHub одним из сотрудников госпиталя.

В статье есть ссылка на исследование, показывающее что 85% приложений для отслеживания больных ковидом допускают утечку данных :( https://www.zdnet.com/article/personal-data-of-16-million-brazilian-covid-19-patients-exposed-online/

Пользователи WhatsApp, осторожно там

https://twitter.com/mikko/status/1331957734988722179

И снова здравствуйте. Забыл еще с прошлой недели опубликовать ссылку на материал про обнаруженную исследователем уязвимость в автомобилях Tesla, которая позволяла открыть любой автомобиль и уехать за нем за 90 секунд. Там смешное — это то, что в коммуникации между автомобилем и ключом использовался VIN автомобиля, который обычно можно через лобовое стекло прочитать. перехват радиосигнала плюс спаривание своего собственного брелка савтомобилем позволяли «взять и уехать». И все это благодаря инструментам стоимостью 300 долларов. Тесла уже начала выкатывать апдейт с исправлениями для автомобилей.

https://www.wired.com/story/tesla-model-x-hack-bluetooth/