У второй по размерам страховой в США что-то там взломали и что-то там украли, возможно, номера водительских удостоверений. А непонятно потому что они толком рассказать не могут пока что
https://www.theverge.com/2021/4/19/22392566/geico-data-breach-exposed-customer-drivers-license-numbers-security
https://www.theverge.com/2021/4/19/22392566/geico-data-breach-exposed-customer-drivers-license-numbers-security
The Verge
Geico data breach exposed customers’ driver’s license numbers for more than a month
It’s not clear how widespread the breach was.
Сегодня у Apple день апдейтов (не так, конечно, как у MSFT patch tuesday, но все равно). Функциональность функциональностью, а список фиксов безопасности в iOS/macOS еще предстоит разобрать, но! Если у вас Мак, рекомендуется установить вышедший апдейт 11.3 как можно скорее. Апдейт для macOS содержит в себе исправление уязвимости, которая позволяла обходить многие защитные механизмы macOS. Баг тривиально эксплуатировать двойным кликом по файлу, и, что даже важнее, уязвимость вроде как действительно эксплуатировалась в 2021 году. Некоторые исследователи уже назвали эту уязвимость одной из худших в macOS за последние годы. Большой пост с разбором уязвимости и механизма её эксплуатации тут:
https://objective-see.com/blog/blog_0x64.html
Новость об этом
https://techcrunch.com/2021/04/26/shlayer-mac-malware-macos-security/
https://objective-see.com/blog/blog_0x64.html
Новость об этом
https://techcrunch.com/2021/04/26/shlayer-mac-malware-macos-security/
TechCrunch
A software bug let malware bypass macOS’ security defenses
The Shlayer malware has been exploiting this newly discovered vulnerability since at least January.
Так, и пока у редакции этого великолепного издания выходной, хочу вас просто оставить с напоминанием о том, что в iOS 14.5, которая вышла вчера, появилась новая функция для улучшения конфиденциальности данных пользователей. App Tracking Transparency (ATT) — та самая опция, от которой сильно печет у Фейсбука. Суть её в том, что теперь приложения, которые хотят получить доступ к advertising identifier на устройстве, (чтобы потом следить за пользователем на сайтах и в других приложениях) должны спросить разрешения у пользователя. Но спрашивать — это плохо, считает ФБ, что ж… Ну и тут видео сама Эпол подогнала о том, как работает эта функциональность
https://www.youtube.com/watch?v=Ihw_Al4RNno
Берегите свои данные! И не сломайте тут интернет.
https://www.youtube.com/watch?v=Ihw_Al4RNno
Берегите свои данные! И не сломайте тут интернет.
История со Стравой и возможностью посмотреть перемещения солдат вокруг военных баз, пока они бегают, были первыми звоночками, что неконтролируемый сбор информации о геолокации до добра не доведёт
https://www.wsj.com/articles/the-ease-of-tracking-mobile-phones-of-u-s-soldiers-in-hot-spots-11619429402
https://www.wsj.com/articles/the-ease-of-tracking-mobile-phones-of-u-s-soldiers-in-hot-spots-11619429402
WSJ
The Ease of Tracking Mobile Phones of U.S. Soldiers in Hot Spots
The armed forces are facing a challenge of how to protect personnel in an age when highly revealing data are being bought and sold in bulk, and available for purchase by America’s adversaries.
Cellebrite выдал на-гора обновление, которое исправляет недавно упоминаемую и обнаруженную разработчиками Signal уязвимость. Но что даже более интересно, одно из устройств компании больше не работает с iPhone после обновления:
This message is to inform you that we have new product updates available for the following solutions:
Cellebrite UFED v7.44.0.205
Cellebrite Physical Analyzer v7.44.2
Cellebrite UFED Cloud v7.44.2
Cellebrite UFED 7.44.0.205 and Cellebrite Physical Analyzer 7.44.2 have been released to address a recently identified security vulnerability. This security patch strengthens the protection of the solutions.
As part of the update, the Advanced Logical iOS extraction flow is now available in Cellebrite UFED only.
Забавно, что, возможно, мы не до конца осознаем потенциальные последствия этой истории. Оно вроде бы и смешно: Cellebrite похвастался, что они могут добывать чаты Signal с устройства, Signal нашел уязвимость в устройстве, все посмеялись. А уже начались жалобы юристов в делах, где обвинения основываются на доказательствах, добытых с помощью Cellebrite, и аргументам, что им не стоит доверять. Может быть интересно.
https://www.vice.com/en/article/qj8pjm/cellebrite-pushes-update-after-signal-owner-hacks-device
This message is to inform you that we have new product updates available for the following solutions:
Cellebrite UFED v7.44.0.205
Cellebrite Physical Analyzer v7.44.2
Cellebrite UFED Cloud v7.44.2
Cellebrite UFED 7.44.0.205 and Cellebrite Physical Analyzer 7.44.2 have been released to address a recently identified security vulnerability. This security patch strengthens the protection of the solutions.
As part of the update, the Advanced Logical iOS extraction flow is now available in Cellebrite UFED only.
Забавно, что, возможно, мы не до конца осознаем потенциальные последствия этой истории. Оно вроде бы и смешно: Cellebrite похвастался, что они могут добывать чаты Signal с устройства, Signal нашел уязвимость в устройстве, все посмеялись. А уже начались жалобы юристов в делах, где обвинения основываются на доказательствах, добытых с помощью Cellebrite, и аргументам, что им не стоит доверять. Может быть интересно.
https://www.vice.com/en/article/qj8pjm/cellebrite-pushes-update-after-signal-owner-hacks-device
Vice
Cellebrite Pushes Update After Signal Owner Hacks Device
The law enforcement forensics provider updated some of its products a few days after a security researcher claimed to have found critical vulnerabilities in Cellebrite’s devices.
как мне напомнили читатели, я пропустил историю про взлом Passwordstate — менеджера паролей компании Clickstudios. Речь идет о корпоративном менеджере паролей, а взлом произошел через систему обновлений продукта: злоумышленники подложили туда вредоносный файл, и если клиенты компании в процессе обновления скачали этот файл, то информация, хранящаяся в Passwordstate, утекала к взломщикам. Рекомендация, разумеется, поменять все пароли. Очень удобно.
https://www.clickstudios.com.au/advisories/Incident_Management_Advisory-01-20210424.pdf
https://gizmodo.com/enterprise-password-manager-passwordstate-hacked-expos-1846756832
и на русском https://www.kommersant.ru/doc/4792041
https://www.clickstudios.com.au/advisories/Incident_Management_Advisory-01-20210424.pdf
https://gizmodo.com/enterprise-password-manager-passwordstate-hacked-expos-1846756832
и на русском https://www.kommersant.ru/doc/4792041
Если у вас есть учётка на DigitalOcean, то есть риск, что информация по её оплате могла утечь после несанкционированного доступа к системам компании
https://www.bleepingcomputer.com/news/security/digitalocean-data-breach-exposes-customer-billing-information/
https://www.bleepingcomputer.com/news/security/digitalocean-data-breach-exposes-customer-billing-information/
BleepingComputer
DigitalOcean data breach exposes customer billing information
Cloud hosting provider DigitalOcean has disclosed a data breach after a flaw exposed customers' billing information.
Важный комментарий сотрудника ЛК по поводу якобы обнаружения вредоносного ПО ЦРУ https://twitter.com/JusticeRage/status/1387778868291964934
Twitter
Ivan Kwiatkowski
For the record, this is a clear misrepresentation of my teammates' research. 1) We did *not* attribute these samples to any organization. 2) Lambert is *not* an internal name for the CIA. If you're going to attribute attacks, do it in your own name.twitt…
И только неделю назад тут был в новостях Qnap с софтом-вымогателем Qlocker, а тут вот опять Qnap и там уже AgeLocker. За ними не уследить!
https://therecord.media/qnap-warns-of-agelocker-ransomware-attacks-against-nas-devices/
https://therecord.media/qnap-warns-of-agelocker-ransomware-attacks-against-nas-devices/
The Record
QNAP warns of AgeLocker ransomware attacks against NAS devices
Taiwanese hardware vendor QNAP said today that its network-attached storage (NAS) devices are under attack by a ransomware operation known as AgeLocker.
Там вышли iOS/iPadOS 14.5.1, ну и watchOS 7.4.1, macOS 11.3.1. В них исправлены две важные уязвимости в WebKit, которые уже эксплуатируются, и, я думаю, вы знаете, что делать! https://support.apple.com/en-us/HT212336
Apple Support
About the security content of iOS 14.5.1 and iPadOS 14.5.1
This document describes the security content of iOS 14.5.1 and iPadOS 14.5.1.
Если у вас компьютер Dell, там вышли важные апдейты безопасности для драйверов в этих компьютерах. Баги с 2009 года, эксплуатация уязвимостей до уровня ядра, так что лучше обновиться
https://labs.sentinelone.com/cve-2021-21551-hundreds-of-millions-of-dell-computers-at-risk-due-to-multiple-bios-driver-privilege-escalation-flaws/
https://labs.sentinelone.com/cve-2021-21551-hundreds-of-millions-of-dell-computers-at-risk-due-to-multiple-bios-driver-privilege-escalation-flaws/
SentinelOne
CVE-2021-21551- Hundreds Of Millions Of Dell Computers At Risk Due to Multiple BIOS Driver Privilege Escalation Flaws - SentinelLabs
Update your Dell devices now! SentinelLabs discover five high severity flaws in Dell firmware update driver impacting desktops, laptops, notebooks and more.
Signal продолжает огненно троллить, в этот раз Facebook. Ниже пост Signal, в котором они рассказывают о таргетированной рекламе, которую они хотели заказать в ФБ, но ФБ им отказал. Фишка в том, что в рекламе предполагался сразу текст с деталями таргетирования - чтобы подчеркнуть, сколько всего ФБ знает о пользователях. От отказа, конечно, эффект ещё лучше
https://signal.org/blog/the-instagram-ads-you-will-never-see/
https://signal.org/blog/the-instagram-ads-you-will-never-see/
Signal
The Instagram ads Facebook won't show you
Companies like Facebook aren’t building technology for you, they’re building technology for your data. They collect everything they can from FB, Instagram, and WhatsApp in order to sell visibility into people and their lives. This isn’t exactly a secret,…
Все как в заголовке написано - будущее уже здесь
https://www.securityweek.com/tesla-car-hacked-remotely-drone-zero-click-exploit
https://www.securityweek.com/tesla-car-hacked-remotely-drone-zero-click-exploit
SecurityWeek
Tesla Car Hacked Remotely From Drone via Zero-Click Exploit
Two researchers have shown how a Tesla — and possibly other cars — can be hacked remotely without any user interaction. They carried out the attack from a drone.
между тем, а) сегодня международный день паролей, с чем я вас и поздравляю, и желаю пароли не терять, и б) в этот день Гугл анонсировала, что начнет автоматически включать пользователям 2 step verification, чтобы улучшить безопасность учеток пользователей. Дело в целом хорошее, чего уж там.
https://blog.google/technology/safety-security/a-simpler-and-safer-future-without-passwords
https://blog.google/technology/safety-security/a-simpler-and-safer-future-without-passwords
Google
A simpler and safer future — without passwords
On World Password Day, we’re providing a sneak peek at a future in which, one day, you won’t need a password at all.
минутка самопиара, но это все равно по теме канала, поэтому не стыдно! редакция канала в лице меня участвует в видеоподкасте «Купертино», последний выпуск которого как раз посвящен той самой опции отключения слежки приложений за пользователями в iOS. Гость @niketas срывает покровы, почему эта галочка выгодна Apple, а я пытаюсь доказать, что это другое!
https://www.youtube.com/watch?v=Ss4hknr_WoE&t=3201s
https://www.youtube.com/watch?v=Ss4hknr_WoE&t=3201s
вот эти все детали меня жутко напрягают в связи с выпуском AirTags, и вызывают недоумение, нахрена Apple вообще в это ввязалась
Forwarded from Denis Sexy IT 🤖
Мне на днях пришел новый девайс от Apple – AirTag и я первым же делом решил протестировать то, как хорошо Apple защитилась от тех кто попытается «следить» за людьми без их ведома, например подбросив такой маячок в чьи-то вещи.
Друг заехал в гости (@techdir) и я с его разрешения подбросил ему в рюкзак активированный маячок, вот что было дальше:
1) Я видел весь его маршрут, пока друг ехал домой;
2) Как только он пришел домой, спустя 5 минут, ему пришло пуш уведомление на iPhone в стиле «С вами путешествует AirTag, ваши передвижения могут быть видны кому-то еще»;
3) Тем не менее, даже этих 5 минут мне хватило чтобы узнать примерный адрес «жертвы», он виден в приложении Find My;
4) После открытия пуша выводится карта «скомпрометированных» перемещений, то есть видно именно то, что видел бы тот кто следит за вами – также выводится и время в которое предположительно вам «подбросили» маячок, и место где это сделали.
Если просканировать найденный AirTag, то не скажется кому он принадлежит, но виден его серийный номер (чтобы контакты стали доступны кому-то еще, владельцу тега нужно перевести девайс в режим «Я его потерял», но об этом как-нибудь позже).
Еще Apple предлагает вытащить батарейку, если вы не знаете чей это девайс.
Выводы:
Если честно, это все вызывает лично у меня какой-то инфернальный ужас, да, я понимаю, владельцы iPhone неплохо защищены, но есть же люди с Android и тп. Apple говорит про то, что AirTag иногда издаёт звуки чтобы его можно было обнаружить кому угодно, но в теории можно его разобрать и отключить динамик, получится полноценный трекер против пользователей Android.
Вообще, мне правда интересно как Apple будет обрабатывать все эти PR-скандалы, когда ревнивый муж или жена воспользовались этим устройством и закончилось все чем-то плохим.
В общем, категория девайса меня пугает. Сам по себе поиск работает вроде не плохо, нужно больше времени чтобы потестировать.
Друг заехал в гости (@techdir) и я с его разрешения подбросил ему в рюкзак активированный маячок, вот что было дальше:
1) Я видел весь его маршрут, пока друг ехал домой;
2) Как только он пришел домой, спустя 5 минут, ему пришло пуш уведомление на iPhone в стиле «С вами путешествует AirTag, ваши передвижения могут быть видны кому-то еще»;
3) Тем не менее, даже этих 5 минут мне хватило чтобы узнать примерный адрес «жертвы», он виден в приложении Find My;
4) После открытия пуша выводится карта «скомпрометированных» перемещений, то есть видно именно то, что видел бы тот кто следит за вами – также выводится и время в которое предположительно вам «подбросили» маячок, и место где это сделали.
Если просканировать найденный AirTag, то не скажется кому он принадлежит, но виден его серийный номер (чтобы контакты стали доступны кому-то еще, владельцу тега нужно перевести девайс в режим «Я его потерял», но об этом как-нибудь позже).
Еще Apple предлагает вытащить батарейку, если вы не знаете чей это девайс.
Выводы:
Если честно, это все вызывает лично у меня какой-то инфернальный ужас, да, я понимаю, владельцы iPhone неплохо защищены, но есть же люди с Android и тп. Apple говорит про то, что AirTag иногда издаёт звуки чтобы его можно было обнаружить кому угодно, но в теории можно его разобрать и отключить динамик, получится полноценный трекер против пользователей Android.
Вообще, мне правда интересно как Apple будет обрабатывать все эти PR-скандалы, когда ревнивый муж или жена воспользовались этим устройством и закончилось все чем-то плохим.
В общем, категория девайса меня пугает. Сам по себе поиск работает вроде не плохо, нужно больше времени чтобы потестировать.