упс (Group IB сделала банлист конкурентов, чтобы не ходили на её конференцию)
https://twitter.com/cedricpernet/status/1329726774197051393

А чувак, который утверждал, что смог подобрать пароль к твиттеру Трампа, по-прежнему отстаивает свою правоту, хотя Твиттер и опровергает, что якобы мог быть несанкционированный доступ. Говорит, что у него есть пруфы!

https://www.bbc.com/news/technology-55019858

Твитор запустил свою версию Stories (Fleets), которые должны были исчезать через 24 часа. Оказалось, что в API остался доступ к ним, где можно было выкачать их, без уведомления их создателя. Лучше бы они вообще не появлялись, вот что

https://twitter.com/donk_enby/status/1329935540049817600

«Министерство внутренних дел (МВД) России планирует создать банк биометрических данных россиян, иностранцев, а также лиц без гражданства, с помощью которого людей можно будет идентифицировать по изображению лица, отпечаткам пальцев и геномной информации»

Я такой старый, что помню, какую истерику развели в интернете, когда Apple представила телефон с разблокировкой через отпечаток пальца. Сколько интернет-экспертов тогда рассказывали о том, как «фбр теперь соберёт базу данных отпечатков пальцев россиян», ага. (Хотя реальность оказалась гораздо прозаичней: с математической моделью нескольких точек, хранящейся локально, из которой восстановить отпечаток нельзя). А база МВД - это как раз нормально, потому что ну разве что-то может пойти не так? Разве можно будет получить несанкционированный доступ за деньги к этим данным? Разве могут такие данные использовать не по назначению?


https://www.dw.com/ru/mvd-rf-budet-sobirat-biometricheskie-dannye-rossijan-i-inostrancev-v-specialnom-banke/a-55689754

Go SMS Pro, популярный мессенджер на Андроид, при пересылке картинок или файлов между пользователями закачивает их на свой сервер, чтобы ссылка была доступна для просмотра даже без приложения. Но нумерация этих файлов идёт по порядку, и при желании можно перебором просматривать чужие файлы, которые могут содержать конфиденциальную информацию. Попытки связаться с разработчиками не увенчались успехом, проблема остаётся неисправленной

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/go-sms-pro-vulnerable-to-media-file-theft/

Интересно https://reddit.com/r/privacy/comments/k07yan/macos_big_sur_does_not_bypass_vpns/

Microsoft office 365 как инструмент слежки за сотрудниками. Плохо все, от самого факта слежки до того, что Microsoft была замечена в продаже подобных данных на сторону.

https://twitter.com/WolfieChristl/status/1331221942850949121

Что вы знаете о небрежности! Личные данные 16 миллионов бразильских пациентов с COVID, включая президента и нескольких министров Бразилии были выложены на GitHub одним из сотрудников госпиталя.

В статье есть ссылка на исследование, показывающее что 85% приложений для отслеживания больных ковидом допускают утечку данных :( https://www.zdnet.com/article/personal-data-of-16-million-brazilian-covid-19-patients-exposed-online/

Пользователи WhatsApp, осторожно там

https://twitter.com/mikko/status/1331957734988722179

И снова здравствуйте. Забыл еще с прошлой недели опубликовать ссылку на материал про обнаруженную исследователем уязвимость в автомобилях Tesla, которая позволяла открыть любой автомобиль и уехать за нем за 90 секунд. Там смешное — это то, что в коммуникации между автомобилем и ключом использовался VIN автомобиля, который обычно можно через лобовое стекло прочитать. перехват радиосигнала плюс спаривание своего собственного брелка савтомобилем позволяли «взять и уехать». И все это благодаря инструментам стоимостью 300 долларов. Тесла уже начала выкатывать апдейт с исправлениями для автомобилей.

https://www.wired.com/story/tesla-model-x-hack-bluetooth/

смешное
https://github.com/danielmiessler/SecLists/pull/155

АПД По наводке читателя — комментарий автора про этот троллинг
http://blog.assafnativ.com/2018/02/dolphins.html?m=1

Хранить медицинские данные клиентов открыто в интернете — это скоро традицией станет
https://techcrunch.com/2020/12/01/ntreatment-lab-results-medical-records-exposed/

У Project Zero — интереснейший (и огромный) материал об очень крутой уязвимости в iOS, исправленной в апдейте iOS 13.5. О ней достаточно знать два таких факта:

1. эксплуатация этой единственной уязвимости позволяла перезагружать все iPhone в радиусе действия устройства, которое собрал исследователь

2. Этой единственной уязвимости хватало, чтобы запускать код на этих устройствах и копировать пользовательские данные

https://googleprojectzero.blogspot.com/2020/12/an-ios-zero-click-radio-proximity.html

само видео - просто конфетка
https://www.youtube.com/watch?v=ikZTNSmbh00

Вчера в кругах экспертов по информационной безопасности видел много обсуджений компании Circles, которая продает свои услуги в 25 стран по всему миру. Это родственная компания другой организации, часто упоминающейся в этом канале — NSO Group, разработчика шпионского ПО для iPhone и Android. Суть услуг Circles заключается в эксплуатации уязвимостей в SS7 — Signaling System 7, протоколе обмена данными сетей мобильных операторов, который используется для биллинга в роуминге и тд. Используя эти уязвимости, Cirlces может определять местоположение жертв с точностью ближайшей базовой станции. Большой отчет по этому поводу — у CitizenLab

https://citizenlab.ca/2020/12/running-in-circles-uncovering-the-clients-of-cyberespionage-firm-circles/

дополнение про тему использования Microsoft Office 365 как инструмента для слежки за действиями сотрудников. Microsoft опубликовала пост, в котором пообещала убрать все риски для использования Office 365 для мониторинга сотрудников. Компания убирает имена сотрудников, и модифицирует интерфейс, который подчеркивает то, что Productivity Score — это инструмент для оценки использования технологий, а не поведения пользователей. Ну хоть так.

https://t.me/alexmakus/3746

Вот сама ссылка про обновления Microsoft
https://www.microsoft.com/en-us/microsoft-365/blog/2020/12/01/our-commitment-to-privacy-in-microsoft-productivity-score/

=== РЕКЛАМА ===
⚡️Positive Technologies подвела итоги опроса 230 ИБшников об уровне прозрачности корпоративных сетей

В отчете:
- Где прозрачность трафика выше — в России или за рубежом.
- Какие угрозы российские ИБшники чаще всего выявляют в сети.
- Прозрачность сети или шифрование внутреннего трафика — что выбирает ИБшник.

Смотреть

=== РЕКЛАМА ===

Новое вредоносное ПО для Mac, с бэкдором для последующего удаленного доступа. выглядит как документ Word, хотя это приложение в архиве, и пока что мало кто его детектит как вирус. интересное исследование его функциональности.

https://www.trendmicro.com/en_us/research/20/k/new-macos-backdoor-connected-to-oceanlotus-surfaces.html

как различные правоохранительные органы в США покупают информацию о геолокации, собранной в самых обычных приложениях для смартфонов

https://www.vice.com/en/article/epdpdm/ice-dhs-fbi-location-data-venntel-apps

И еще одна родственная статья на эту же тему — как автор проследил, куда уходит информация с его телефона и приложений, которые на нем установлены

https://nrkbeta.no/2020/12/03/my-phone-was-spying-on-me-so-i-tracked-down-the-surveillants/