Volkswagen анонсировал новый автомо… ой, не туда пишу. анонсировал, что компания стала жертвой взлома, и данные более 3,3 млн клиентов компании могли быть доступны кому попало. некий подрядчик, который обслуживал дилеров VW и Audi в США, оставил данные за период с 2014 по 2019 год где-то там в интернете на протяжении двух лет (скорей всего, какой-нибудь амазоновский бакет или чтото такое). Это была вроде как база данных для продаж и маркетинга с именами и имейлами, но у 90 тысяч клиентов там были данные про водительское удостоварение, кредиты, дату рождения и номер социального страхования.
https://www.documentcloud.org/documents/20806130-audi-volkswagen-letter
https://techcrunch.com/2021/06/11/volkswagen-says-a-vendors-security-lapse-exposed-3-3-million-drivers-details/
https://www.documentcloud.org/documents/20806130-audi-volkswagen-letter
https://techcrunch.com/2021/06/11/volkswagen-says-a-vendors-security-lapse-exposed-3-3-million-drivers-details/
www.documentcloud.org
Audi Volkswagen letter
=== РАБОТА ===
#вакансия #Москва #удаленка #itsecurity #banking #банкинг #B2B #финтех
📍Вакансия: IT Security Engineer
📍Компания: http://www.payapp.com
📍Проект: B2B онлайн банкинг
📍Город, график: Москва, удаленка, офис
📍Доход: 230 000 - 350 000 руб
📌PayApp - B2B онлайн банкинг с эквайрингом для бизнеса с возможностью приема платежей по всему миру и онлайн помощником. Проект нацелен на европейский рынок.
Основная цель PayApp - дать малому бизнесу и предпринимателям в Европе удобный банковский инструмент с возможностью открытия счета для бизнеса за день, с приемом и отправкой онлайн-платежей и отчетностью перед налоговыми инстанциями.
Мы используем микросервисную архитектуру, ориентируемся на Highload, помимо финансового функционала (управление счетом, выпуск карт, эквайринг, антифрод, интеграции с финансовыми сервисами) планируем активно развивать онлайн-помощь пользователям банка, с использованием ботов и ИИ.
Проект является спин-оффом компании Azure Games - разработчик и издатель мобильных игр с ежедневной аудиторией более 28 миллионов пользователей.
📌Чем предстоит заниматься:
• Комплексное обеспечение информационной безопасности компании;
• Мониторинг уязвимостей;
• Анализ векторов атаки;
• Управление межсетевым экраном, ключевой инфраструктурой;
• Проведение внутренних аудитов по информационной безопасности;
• Контроль прав доступа пользователей в корпоративных системах;
• Контроль соблюдения требований информационной безопасности;
• Разработка нормативных документов по информационной безопасности;
• Проведение обучения и проверки знаний сотрудников по вопросам информационной безопасности;
• Выявление и расследование инцидентов информационной безопасности;
• Консультирование коллег и клиентов Компании по вопросам обеспечения ИБ;
• Выполнение регламентных работ по стандарту PCIDSS
📌Кого мы ищем, что ждем от кандидата?
• Опыт работы в сфере информационной безопасности в финансовых или банковских сервисах;
• Умение работать с удаленной командой;
• Умение работать в условиях часто меняющихся требований;
• Понимание взаимосвязи требований и внедряемых мер информационной безопасности с реальной защищенностью;
• Знание систем и средств защиты информации;
📌Будет плюсом:
• Техническое высшее образование по специальности “Информационная безопасность», опыт работы по станадрту PCIDSS.
📌Как мы работаем:
• Много умных и амбициозных ребят, которые “горят” своим делом;
• Руководители, которые дают свободу в принятии решений и дорожат опытом и знаниями своих сотрудников;
• Гибкое начало и окончание рабочего дня;
• Удаленка с возможностью приезжать в офис при необходимости или вашем желании;
• Вкусные оплачиваемые обеды в офисе
📌Связаться со мной:
Ольга Речкалова
📩Почта: or@payappdigital.com
❗️Telegram: @lovemyriver
#вакансия #Москва #удаленка #itsecurity #banking #банкинг #B2B #финтех
📍Вакансия: IT Security Engineer
📍Компания: http://www.payapp.com
📍Проект: B2B онлайн банкинг
📍Город, график: Москва, удаленка, офис
📍Доход: 230 000 - 350 000 руб
📌PayApp - B2B онлайн банкинг с эквайрингом для бизнеса с возможностью приема платежей по всему миру и онлайн помощником. Проект нацелен на европейский рынок.
Основная цель PayApp - дать малому бизнесу и предпринимателям в Европе удобный банковский инструмент с возможностью открытия счета для бизнеса за день, с приемом и отправкой онлайн-платежей и отчетностью перед налоговыми инстанциями.
Мы используем микросервисную архитектуру, ориентируемся на Highload, помимо финансового функционала (управление счетом, выпуск карт, эквайринг, антифрод, интеграции с финансовыми сервисами) планируем активно развивать онлайн-помощь пользователям банка, с использованием ботов и ИИ.
Проект является спин-оффом компании Azure Games - разработчик и издатель мобильных игр с ежедневной аудиторией более 28 миллионов пользователей.
📌Чем предстоит заниматься:
• Комплексное обеспечение информационной безопасности компании;
• Мониторинг уязвимостей;
• Анализ векторов атаки;
• Управление межсетевым экраном, ключевой инфраструктурой;
• Проведение внутренних аудитов по информационной безопасности;
• Контроль прав доступа пользователей в корпоративных системах;
• Контроль соблюдения требований информационной безопасности;
• Разработка нормативных документов по информационной безопасности;
• Проведение обучения и проверки знаний сотрудников по вопросам информационной безопасности;
• Выявление и расследование инцидентов информационной безопасности;
• Консультирование коллег и клиентов Компании по вопросам обеспечения ИБ;
• Выполнение регламентных работ по стандарту PCIDSS
📌Кого мы ищем, что ждем от кандидата?
• Опыт работы в сфере информационной безопасности в финансовых или банковских сервисах;
• Умение работать с удаленной командой;
• Умение работать в условиях часто меняющихся требований;
• Понимание взаимосвязи требований и внедряемых мер информационной безопасности с реальной защищенностью;
• Знание систем и средств защиты информации;
📌Будет плюсом:
• Техническое высшее образование по специальности “Информационная безопасность», опыт работы по станадрту PCIDSS.
📌Как мы работаем:
• Много умных и амбициозных ребят, которые “горят” своим делом;
• Руководители, которые дают свободу в принятии решений и дорожат опытом и знаниями своих сотрудников;
• Гибкое начало и окончание рабочего дня;
• Удаленка с возможностью приезжать в офис при необходимости или вашем желании;
• Вкусные оплачиваемые обеды в офисе
📌Связаться со мной:
Ольга Речкалова
📩Почта: or@payappdigital.com
❗️Telegram: @lovemyriver
Вот неожиданная для меня новость в канале, не самим фактом утечки, а скорее типом информации. Компания, которая продает GPS трекеры на щиколотку (соотвественно, продает их правоохранительным органам для мониторинга людей под домашним арестом), допустила утечку информации. В интернете стали доступны имена, домашние адреса, детальная информация о передвижении людей, которые находились под электронным мониторингом в Чикаго.
https://www.vice.com/en/article/3aqagy/contractor-exposed-the-movements-of-people-wearing-ankle-gps-bracelets
https://www.vice.com/en/article/3aqagy/contractor-exposed-the-movements-of-people-wearing-ankle-gps-bracelets
VICE
Contractor Exposed the Movements of People Wearing Ankle GPS Bracelets
A company that sells GPS ankle bracelets and helps Chicago law enforcement run a program to monitor people under house arrest leaked “an enormous amount of private information.”
Но иногда в канале бывают и хорошие новости! Например, Google анонсировала, что Google Workspace, корпоративное предложение для бизнесов, которым нужны Google Docs/Sheets/Slides, будет добавлена поддержка шифрования со стороны клиента, так что для Google данные будут недоступны. Компании, которые используют Google Workspaces, могут загрузить свои шифровальные ключи на один из поддерживаемых на данный момент сервисов (Flowcrypt, Futurex, Thales или Virtru), а в будущем ожидается, что можно будет использовать и собственное хранилище ключей.
Технические детали реализации — по ссылке:
https://services.google.com/fh/files/misc/google-workspace-encryption-wp.pdf
Технические детали реализации — по ссылке:
https://services.google.com/fh/files/misc/google-workspace-encryption-wp.pdf
=== РЕКЛАМА ====
Работаешь в ИБ в банке?
Для соответствия стандарту ГОСТ Р 57580.1-2017 кредитным организациям нужна SIEM-система. Специально для банков с небольшой IT-инфраструктурой Positive Technologies выпустила лицензию системы MaxPatrol SIEM All-in-One на 100 сетевых узлов. Ее стоимость ― 2,2 миллиона рублей.
Реализуйте 108 технических мер ГОСТ Р 57580.1-2017 с помощью лидирующей отечественной SIEM-системы и выявляйте актуальные атаки. Чтобы получить MaxPatrol SIEM All-in-One по специальной цене, оставьте заявку на странице продукта.
Работаешь в ИБ в банке?
Для соответствия стандарту ГОСТ Р 57580.1-2017 кредитным организациям нужна SIEM-система. Специально для банков с небольшой IT-инфраструктурой Positive Technologies выпустила лицензию системы MaxPatrol SIEM All-in-One на 100 сетевых узлов. Ее стоимость ― 2,2 миллиона рублей.
Реализуйте 108 технических мер ГОСТ Р 57580.1-2017 с помощью лидирующей отечественной SIEM-системы и выявляйте актуальные атаки. Чтобы получить MaxPatrol SIEM All-in-One по специальной цене, оставьте заявку на странице продукта.
интересное исследование по поводу того, какие данные собирают разные компании с помощью приложений о своих пользователях. Никаких особых откровений, и местами есть вопросы, но интересно посмотреть на это все сразу в одном месте
https://clario.co/blog/which-company-uses-most-data/
https://clario.co/blog/which-company-uses-most-data/
А в Украине полиция арестовала 6 участников группировки CLOP, которые обвиняются в использовании вируса-вымогателя для получении более 500 млн долларов выгоды
Официальная новость
https://www.npu.gov.ua/news/kiberzlochini/kiberpolicziya-vikrila-xakerske-ugrupovannya-u-rozpovsyudzhenni-virusu-shifruvalnika-ta-nanesenni-inozemnim-kompaniyam-piv-milyarda-dolariv-zbitkiv/
Новость на английском
https://techcrunch.com/2021/06/16/ukrainian-police-arrest-multiple-clop-ransomware-gang-suspects/
Но тут говорят, что это не участники ядра группировки, а отмывается денег
https://krebsonsecurity.com/2021/06/ukrainian-police-nab-six-tied-to-clop-ransomware/
Официальная новость
https://www.npu.gov.ua/news/kiberzlochini/kiberpolicziya-vikrila-xakerske-ugrupovannya-u-rozpovsyudzhenni-virusu-shifruvalnika-ta-nanesenni-inozemnim-kompaniyam-piv-milyarda-dolariv-zbitkiv/
Новость на английском
https://techcrunch.com/2021/06/16/ukrainian-police-arrest-multiple-clop-ransomware-gang-suspects/
Но тут говорят, что это не участники ядра группировки, а отмывается денег
https://krebsonsecurity.com/2021/06/ukrainian-police-nab-six-tied-to-clop-ransomware/
www.npu.gov.ua
Національна поліція України
За допомогою шкідливої програми-вимагача “Clop” фігуранти криптували дані, що знаходилися на інформаційних носіях компаній у Республіці Кореї та США. Надалі за відновлення доступу вимагали гроші.
Прекрасная история про приложение Google для Android и динамически подгружаемый код в приложении. Многие приложения Google для оптимизации размера закачивают на телефон лишь часть программы, а часть кода динамически подгружают из того, что уже есть на телефоне. Исследователи обнаружили, что можно подложить таким образом вредоносный кол, что он унаследует практически бесконечные права приложения Google и может получить доступ к огромному количеству пользовательских данных на телефоне.
https://blog.oversecured.com/Why-dynamic-code-loading-could-be-dangerous-for-your-apps-a-Google-example/
https://blog.oversecured.com/Why-dynamic-code-loading-could-be-dangerous-for-your-apps-a-Google-example/
News, Techniques & Guides
Why dynamic code loading could be dangerous for your apps: a Google example
Almost every Android app dynamically loads code from native .so libraries or .dex files. There are also some special libraries like Google Play Core to simplify this process.
Не информация опасносте, но тоже весело - все как я люблю про IoT. В Техасе сейчас очень сильная жара, соответственно, все выкручивает настройки кондиционеров на максимум. И вот энергетические компании, которые часто устанавливают климатическое оборудование в домах, решили помочь людям экономить электричество: эти компании сами удаленно меняют настройки температуры на термостатах.
Заголовок драматичный и, возможно, соберёт много кликов. Мало кто прочитает в статье, что это специальная программа, в которую ещё клиент должен добровольно записаться (скорей всего, под обещание снижения тарифов). Правда, пункт про удалённое управление термостатом, скорей всего, никто просто внимательно не читал в соглашении программы.
https://www.dailydot.com/debug/texas-remote-controlled-smart-thermostats/
Заголовок драматичный и, возможно, соберёт много кликов. Мало кто прочитает в статье, что это специальная программа, в которую ещё клиент должен добровольно записаться (скорей всего, под обещание снижения тарифов). Правда, пункт про удалённое управление термостатом, скорей всего, никто просто внимательно не читал в соглашении программы.
https://www.dailydot.com/debug/texas-remote-controlled-smart-thermostats/
The Daily Dot
'Woke up sweating': Texas power companies remotely raise temperatures on people using their smart thermostats
Power companies in Texas are remotely raising temperatures inside of some customers' homes amid the state's ongoing energy shortage.
Документы как результат коллективного исследования ученых Германии, Норвегии и Франции об алгоритме GEA/1. Этот алгоритм был разработан в 1998 году в European Telecommunications Standards Institute (Европейском Институте Телекоммуникационных Стандартов) для 64-битного шифрования данных стандарта связи GPRS. Но в итоге он был 40-битным, а то, как были разделены ключи шифрования, позволяло их взломать. То ли это было сделано осознанно с целью подслушивания или же в связи с непонятным на тот момент статусом шифрования и запретами на экспорт — история умалчивает.
https://eprint.iacr.org/2021/819
https://eprint.iacr.org/2021/819.pdf
https://eprint.iacr.org/2021/819
https://eprint.iacr.org/2021/819.pdf
Издание Vice добыли интересные материалы: инструкции для устройств Graykey компании Grayshift. Если это название кажется вам знакомым, то не зря, поскольку оно довольно часто фигурирует в материалах этого канала. Это устройства, с помощью которого представители правоохранительных органов могут взламывать устройства компании Apple, прежде всего смартфоны iPhone. По сути, Graykey занимается перебором паролей, но делает это каким-то хитрым образом так, что не триггерит блокировку айфона и удаление данных при неправильных попытках. Похоже, у разработчиков компании есть некие знания о работе процессов вокруг Secure Enclave - процессора внутри iPhone, обеспечивающего безопасность смартфона, что и позволяет перебирать пароли без ограничения количества попыток. (Что неудивительно, так как компания организована бывшими сотрудникам Apple). Apple постоянно улучшает свои алгоритмы, но Grayshift не сдаётся и продолжает играть в кошки-мышки с Apple.
Важно, что относительно легко перебираются цифровые пароли (разумеется), а вот пароли с цифрами и буквами требуют дополнительных усилий и занимают гораздо больше времени. Так что если вам нужен был знак, чтобы наконец-то избавиться от цифрового пароля и завести буквенное-цифровой, то это тот самый знак!
https://www.vice.com/en/article/k7835w/how-to-brute-force-iphones-graykey
Важно, что относительно легко перебираются цифровые пароли (разумеется), а вот пароли с цифрами и буквами требуют дополнительных усилий и занимают гораздо больше времени. Так что если вам нужен был знак, чтобы наконец-то избавиться от цифрового пароля и завести буквенное-цифровой, то это тот самый знак!
https://www.vice.com/en/article/k7835w/how-to-brute-force-iphones-graykey
VICE
Instructions Show How Cops Use GrayKey to Brute Force iPhones
Newly released documents provide new insight into the capabilities of the iPhone unlocking tech.
Прикольная тема с добавлением незаметного шума в фотографии, чтобы сбить с толку алгоритмы распознавания лиц. Фотографии безопасносте!
https://www.vice.com/en/article/m7e9qv/hackers-fool-facial-recognition-into-thinking-im-mark-zuckerberg
https://www.vice.com/en/article/m7e9qv/hackers-fool-facial-recognition-into-thinking-im-mark-zuckerberg
VICE
Hackers Fool Facial Recognition Into Thinking I’m Mark Zuckerberg
Using a new technique, researchers say they can make AI systems misidentify people by adding small bits of data to the images.
Кукипокалипсис пока откладывается - Google отложила планы по блокировке сторонних куки в Chrome до 2023 года
https://blog.google/products/chrome/updated-timeline-privacy-sandbox-milestones/
https://blog.google/products/chrome/updated-timeline-privacy-sandbox-milestones/
Google
An updated timeline for Privacy Sandbox milestones
An updated timeline for Privacy Sandbox milestones
Так. Тут информация реально опасносте! Если у вас есть NAS WD My Book (уточнение - серии Live), то его лучше пока что отключить от интернета. То ли сервера WD взломали, то ли какая-то уязвимость где-то: но многие владельцы NASов обнаруживают, что их данные пропали из хранилища - кто-то удаленно сделал заводской сброс. Весело там у них
https://www.bleepingcomputer.com/news/security/wd-my-book-nas-devices-are-being-remotely-wiped-clean-worldwide/
https://www.bleepingcomputer.com/news/security/wd-my-book-nas-devices-are-being-remotely-wiped-clean-worldwide/
BleepingComputer
WD My Book NAS devices are being remotely wiped clean worldwide
Western Digital My Book Live NAS owners worldwide found that their devices have been mysteriously factory reset and all of their files deleted.
И снова с нами трудо выебудни! На прошлой неделе Microsoft анонсировала Windows 11! И под капотом красивой шкурки есть еще и всякие улучшения безопасности операционной системы, помимо того, что в требованиях есть TPM 2.0. (нет, конечно, за требование TPM 2.0 Microsoft еще будет достаточно долго огребать, особенно в эпоху нехватки чипов, но не TPM единым!) В общем, статья о том, какие же улучшения появятся в Windows 11, как программные, так и аппаратные:
https://www.microsoft.com/security/blog/2021/06/25/windows-11-enables-security-by-design-from-the-chip-to-the-cloud/
https://www.microsoft.com/security/blog/2021/06/25/windows-11-enables-security-by-design-from-the-chip-to-the-cloud/
Microsoft Security Blog
Windows 11 enables security by design from the chip to the cloud | Microsoft Security Blog
Over the last year, PCs have kept us connected to family, friends, and enabled businesses to continue to run. This new hybrid work paradigm has got us thinking about how we will continue to deliver the best possible quality, experience, and security for the…
Но раз уж мы про Microsoft, то нельзя не упомянуть и эту историю — про то, как Microsoft подписала драйвер Netfilter, который оказался руткитом, активно общающимся с серверами в Китае. На прошлой неделе Сатья Наделла, анонсируя Windows 11, рассказывал о том, как «миру нужно больше открытых платформ». Да, все так, но не настолько же!
https://www.bleepingcomputer.com/news/security/microsoft-admits-to-signing-rootkit-malware-in-supply-chain-fiasco/
https://www.bleepingcomputer.com/news/security/microsoft-admits-to-signing-rootkit-malware-in-supply-chain-fiasco/
BleepingComputer
Microsoft admits to signing rootkit malware in supply-chain fiasco
Microsoft has now confirmed signing a malicious driver being distributed within gaming environments. This driver, called "Netfilter," is in fact a rootkit that was observed communicating with Chinese command-and-control IPs.
=== РЕКЛАМА ====
Проверим вашу сеть на прочность. Основательно. Бесплатно
Кража данных, вирусы и другие киберугрозы — это риски, с которыми сегодня должна считаться компания любой отрасли и масштаба.
Можно считаться, а можно знать, исправить и не думать о них.
Закажите Security CheckUP для комплексной оценки безопасности сети. Инструмент разработан одним из лидеров мирового рынка информационной безопасности — компанией Check Point. Сервис в России — от крупнейшего на рынке OCS Distribution.
Как это происходит?
Вы пишете нам на почту checkpoint@ocs.ru, заказываете чекап, мы все делаем и показываем вам все уязвимости вашего бизнеса. При этом вам ничего делать не надо, и проверка никак не влияет на работу вашей сети.
Приступим?
Проверим вашу сеть на прочность. Основательно. Бесплатно
Кража данных, вирусы и другие киберугрозы — это риски, с которыми сегодня должна считаться компания любой отрасли и масштаба.
Можно считаться, а можно знать, исправить и не думать о них.
Закажите Security CheckUP для комплексной оценки безопасности сети. Инструмент разработан одним из лидеров мирового рынка информационной безопасности — компанией Check Point. Сервис в России — от крупнейшего на рынке OCS Distribution.
Как это происходит?
Вы пишете нам на почту checkpoint@ocs.ru, заказываете чекап, мы все делаем и показываем вам все уязвимости вашего бизнеса. При этом вам ничего делать не надо, и проверка никак не влияет на работу вашей сети.
Приступим?
Ничего такого, что было бы неожиданным сюрпризом, но в целом интересный лонгрид о том, как ЦРУ на протяжении нескольких лет разрабатывало ПО для взлома iPhone и Маков
https://theintercept.com/2015/03/10/ispy-cia-campaign-steal-apples-secrets/
https://theintercept.com/2015/03/10/ispy-cia-campaign-steal-apples-secrets/
The Intercept
The CIA Campaign to Steal Apple’s Secrets
Agency researchers conducted a multi-year effort to break the security of Apple’s iPhones and iPads, presenting their findings at an secret annual “Jamboree.”