=== РЕКЛАМА ====
Получите бесплатный доступ к облачным сервисам #CloudMTS для разработчиков на 30 дней!
✔️ Всё, что нужно для разработки цифрового продукта: IaaS, облачный суперкомпьютер на GPU, резервное копирование, S3 хранилище, CDN, WAF, сервисы Azure и многое другое.
✔️ Можно использовать любое количество сервисов одновременно.
✔️ Никаких ограничений по функционалу и скрытых платежей.
Выведите свой продукт на рынок в рекордные сроки вместе с #CloudMTS
https://bit.ly/2TM4T5E 👈🏻
Больше интересных новостей про продукт и не только в @iaasblog
Получите бесплатный доступ к облачным сервисам #CloudMTS для разработчиков на 30 дней!
✔️ Всё, что нужно для разработки цифрового продукта: IaaS, облачный суперкомпьютер на GPU, резервное копирование, S3 хранилище, CDN, WAF, сервисы Azure и многое другое.
✔️ Можно использовать любое количество сервисов одновременно.
✔️ Никаких ограничений по функционалу и скрытых платежей.
Выведите свой продукт на рынок в рекордные сроки вместе с #CloudMTS
https://bit.ly/2TM4T5E 👈🏻
Больше интересных новостей про продукт и не только в @iaasblog
компания Zimperium идентифицировала вредоносную кампанию с помощью трояна для Android, и опубликовала отчет об этом. По их информации, кампания насчитывает более 10 тысяч жертв в 144 странах. Для нее используется троян FlyTrap, который распространяется с помощью «перехвата социальных медиа, сторонних магазинов приложений, и загруженных мимо магазинов приложений». В организации этого всего безобразия обвиняют некую группировку из Вьетнама, и что они даже смогли разместить приложение с вирусом в том числе в Google Play (откуда Google его впоследствии удалила). Троян использует метод инъекции JavaScript, который позволяет приложению открывать легитимные УРЛы внутри WebView, который сконфигурирован с возможностью внедрения кода JS.
https://blog.zimperium.com/flytrap-android-malware-compromises-thousands-of-facebook-accounts/
https://blog.zimperium.com/flytrap-android-malware-compromises-thousands-of-facebook-accounts/
Интересная и полезная публикация у компании Элкомсофт об инструментах защиты пользовательской информации на устройствах с iOS/macOS: шифрованные DNS и DoH, встроенные инструменты по прятанию IP адреса, Tor-браузеры, прокси и VPN
https://blog.elcomsoft.com/2021/07/ios-privacy-protection-tools-encrypted-dns-ios-15-private-relay-proxy-vpn-and-tor/
https://blog.elcomsoft.com/2021/07/ios-privacy-protection-tools-encrypted-dns-ios-15-private-relay-proxy-vpn-and-tor/
ElcomSoft blog
iOS Privacy Protection Tools: Encrypted DNS, iOS 15 Private Relay, Proxy, VPN and TOR
Protecting one's online privacy is becoming increasingly more important. With ISPs selling their customers' usage data left and right, and various apps, mail and Web trackers contributing to the pool of "anonymized" data, de-anonimyzation becomes possible…
Media is too big
VIEW IN TELEGRAM
=== РЕКЛАМА ===
Акрибия запустила альфа-версию сервиса Netlas.io, собственной разработки, над которой компания трудилась последние месяцы.
К тестированию приглашены все специалисты в области информационной безопасности, которым будут интересны и полезны собранные данные.
Netlas.io — это своеобразный технический атлас всей сети Интернет, который включает сертификаты, данные по доменам и поддоменам, ответы серверов по популярным портам и много другой полезной информации для исследователей безопасности. Актуальность данных в Netlas.io обеспечивает реализация процесса ETL (Extract, Transform, and Load), который включает в выдачу данные, поступающие во время сканирования, не старше минуты.
В период альфа-тестирования, который продлится несколько месяцев, сервис будет бесплатным для всех.
Для активных пользователей есть множество бонусов, которые будут полезны не только на период альфа-версии, но и после нее. Например, доступ к платному аккаунту на несколько месяцев.
Регистрируйтесь и оставляйте свои отзывы!
Акрибия запустила альфа-версию сервиса Netlas.io, собственной разработки, над которой компания трудилась последние месяцы.
К тестированию приглашены все специалисты в области информационной безопасности, которым будут интересны и полезны собранные данные.
Netlas.io — это своеобразный технический атлас всей сети Интернет, который включает сертификаты, данные по доменам и поддоменам, ответы серверов по популярным портам и много другой полезной информации для исследователей безопасности. Актуальность данных в Netlas.io обеспечивает реализация процесса ETL (Extract, Transform, and Load), который включает в выдачу данные, поступающие во время сканирования, не старше минуты.
В период альфа-тестирования, который продлится несколько месяцев, сервис будет бесплатным для всех.
Для активных пользователей есть множество бонусов, которые будут полезны не только на период альфа-версии, но и после нее. Например, доступ к платному аккаунту на несколько месяцев.
Регистрируйтесь и оставляйте свои отзывы!
👍1
Там, кстати, у Microsoft был Patch Tuesday вчера, и никогда не догадаетесь, что там выяснилось! Кликай на ссылку, чтобы узнать!
(51 патч уязвимостей, 7 критические, 1 активно эксплуатируется. Вы знаете, что делать)
https://isc.sans.edu/forums/diary/Microsoft+August+2021+Patch+Tuesday/27736/
(51 патч уязвимостей, 7 критические, 1 активно эксплуатируется. Вы знаете, что делать)
https://isc.sans.edu/forums/diary/Microsoft+August+2021+Patch+Tuesday/27736/
Продолжая тему Apple и её инициативы по борьбе с детской порнографией — большое интервью главного по конфиденциальности в Apple изданию ТекКранч. Рекомендую попытаться абстрагироваться от вашего отношения к этим инициативам (какое бы оно не было), и внимательно почитать интервью. Из него можно вынести некое представление логики Apple, почему они вообще это затеяли, как пытались балансировать безопасность и конфиденциальность, и тд. Не все ответы я считаю удовлетворительными, и тема все равно остается очень спорной, но информация есть информация.
https://techcrunch.com/2021/08/10/interview-apples-head-of-privacy-details-child-abuse-detection-and-messages-safety-features/
Ну и чтобы два раза не вставать — на эту же тему тред в твиттере бывшего руководителя информационной безопасности Facebook Алекса Стамоса. Который, хотя и критикует Apple, но поясняет масштабы проблемы и вообще позволяет расширить горизонт понимания ситуации.
https://twitter.com/alexstamos/status/1424054544556646407
https://techcrunch.com/2021/08/10/interview-apples-head-of-privacy-details-child-abuse-detection-and-messages-safety-features/
Ну и чтобы два раза не вставать — на эту же тему тред в твиттере бывшего руководителя информационной безопасности Facebook Алекса Стамоса. Который, хотя и критикует Apple, но поясняет масштабы проблемы и вообще позволяет расширить горизонт понимания ситуации.
https://twitter.com/alexstamos/status/1424054544556646407
TechCrunch
Interview: Apple’s head of Privacy details child abuse detection and Messages safety features
Last week, Apple announced a series of new features targeted at child safety on its devices. Though not live yet, the features will arrive later this year for users. Though the goals of these features are universally accepted to be good ones — the protection…
Интересный материал у Wired, как полиция Нового Йорка покупает различные материалы для слежки: ПО для распознавания лиц, рентген-аппараты в микроавтобусах, перехватчики сотового сигнала и тд. И все это без какого-либо контроля со стороны общественности
https://www.wired.com/story/nypd-secret-fund-surveillance-tools/
https://www.wired.com/story/nypd-secret-fund-surveillance-tools/
Wired
The NYPD Had a Secret Fund for Surveillance Tools
Documents reveal that police bought facial-recognition software, vans equipped with x-ray machines, and “stingray” cell site simulators—with no public oversight.
но история дня, конечно, это планшет якобы сотрудника группировки Вагнер, который он, видимо, где-то забыл или потерял.
https://www.bbc.com/russian/features-58140986
https://www.bbc.co.uk/news/extra/8iaz6xit26/the-lost-tablet-and-the-secret-documents
«Были и несколько скачанных книг, включая Mein Kampf, "Игру Престолов" и руководство по виноделию»
https://www.bbc.com/russian/features-58140986
https://www.bbc.co.uk/news/extra/8iaz6xit26/the-lost-tablet-and-the-secret-documents
«Были и несколько скачанных книг, включая Mein Kampf, "Игру Престолов" и руководство по виноделию»
BBC News Русская служба
Ливийские гастроли ЧВК "Вагнер": что хранится в планшете наемника
Арабская и Русская службы Би-би-си получили доступ к планшету и документам, предположительно принадлежавшим наемникам ЧВК "Вагнер".
А вот ФБ рассказывает, как будет прямо на устройстве анализировать, какую рекламу показывать пользователю
Given Apple’s tight control of the iPhone, the two will likely butt heads on an area of technology Facebook is exploring called “on-device learning.” Instead of sending data about users to the cloud, an algorithm runs locally on a phone to determine the kinds of ads someone would find compelling and then show them said ads. The results are later sent back to the cloud in an anonymized and aggregate format for advertisers to review.
“I think one of the challenges with on-device learning is that the compute resources required to do it are obviously under the control of the operating systems themselves,” Mudd told The Verge.
https://www.theverge.com/2021/8/11/22619639/facebook-plans-privacy-focused-advertising-revamp
Given Apple’s tight control of the iPhone, the two will likely butt heads on an area of technology Facebook is exploring called “on-device learning.” Instead of sending data about users to the cloud, an algorithm runs locally on a phone to determine the kinds of ads someone would find compelling and then show them said ads. The results are later sent back to the cloud in an anonymized and aggregate format for advertisers to review.
“I think one of the challenges with on-device learning is that the compute resources required to do it are obviously under the control of the operating systems themselves,” Mudd told The Verge.
https://www.theverge.com/2021/8/11/22619639/facebook-plans-privacy-focused-advertising-revamp
The Verge
Facebook is rebuilding its ads to know a lot less about you
The stakes couldn’t be higher for Facebook to get this right.
Из рубрики «никогда такого не было, и вот опять» — украли деньги с PolyNetwork, децентрализованного протокола и сети, позволяющего перемещать криптовалюту между разными блокчейнами. Больше 600 млн долларов в виде криптовалюты, между прочим, ушло в кошельки предпринимателей (зачеркнуто) злодеев.
https://www.bleepingcomputer.com/news/security/over-600-million-reportedly-stolen-in-cryptocurrency-hack/
И очень интересный тред в твиттере о том, как, собственно, был организован взлом
https://twitter.com/kelvinfichter/status/1425217046636371969
https://www.bleepingcomputer.com/news/security/over-600-million-reportedly-stolen-in-cryptocurrency-hack/
И очень интересный тред в твиттере о том, как, собственно, был организован взлом
https://twitter.com/kelvinfichter/status/1425217046636371969
BleepingComputer
Over $600 million reportedly stolen in cryptocurrency hack
Over $611 million have reportedly been stolen in one of the largest cryptocurrency hacks. Decentralized cross-chain protocol and network, Poly Network announced today that it was attacked with cryptocurrency assets having successfully been transferred into…
Ну ладно, часть денег они, предположим, вернули
https://www.fxstreet.com/cryptocurrencies/news/poly-network-recovers-over-47-million-of-stolen-funds-in-largest-defi-hack-202108111435
https://www.fxstreet.com/cryptocurrencies/news/poly-network-recovers-over-47-million-of-stolen-funds-in-largest-defi-hack-202108111435
FXStreet
Poly Network recovers over $258 million of stolen funds in largest DeFi hack
Poly Network expects to recover stolen funds after writing a letter asking the hacker to return the funds. Currently, less than 1% of the funds have b
Давненько про Print Spooler не было, да? А там опять zero day
https://threatpost.com/microsoft-unpatched-printnightmare-zero-day/168613/
https://threatpost.com/microsoft-unpatched-printnightmare-zero-day/168613/
Threat Post
Microsoft Warns: Another Unpatched PrintNightmare Zero-Day
The out-of-band warning pairs with a working proof-of-concept exploit for the issue, circulating since mid-July.
Forwarded from 42 секунды
Vice: T-Mobile расследует заявления о массовой утечке пользовательских данных
– T-Mobile расследует сообщения о продаже данных пользователей оператора
– Продавец написал на одном из форумов, что продает данные 100 млн человек
– Они включают номера, имена, адреса, IMEI, данные соцстрахования и др.
– Журналисты видели образцы данных и подтверждают их актуальность
– Продавец сказал, что удалось скомпрометировать несколько серверов
– За выборку из 30 млн продавец просит 6 биткоинов (около $270 тыс.)
– Выборка содержит номера соцстрахования и водительских прав
– Остальные данные продавец продает в частном порядке
– Продавец уже потерял доступ к бэкдору, но успел загрузить данные локально
– T-Mobile расследует сообщения о продаже данных пользователей оператора
– Продавец написал на одном из форумов, что продает данные 100 млн человек
– Они включают номера, имена, адреса, IMEI, данные соцстрахования и др.
– Журналисты видели образцы данных и подтверждают их актуальность
– Продавец сказал, что удалось скомпрометировать несколько серверов
– За выборку из 30 млн продавец просит 6 биткоинов (около $270 тыс.)
– Выборка содержит номера соцстрахования и водительских прав
– Остальные данные продавец продает в частном порядке
– Продавец уже потерял доступ к бэкдору, но успел загрузить данные локально
Боб Дьяченко, исследователь безопасности, часто фигурирующий с новостями в этом канале, опять с нами! В этот раз он нашёл сервер Elasticsearch, доступный из интернета, и не защищённый паролем. Пока что все как обычно, но в этот раз данные на сервере содержали 1,9 млн записей людей, подозреваемых в связях с террористическими организациями, включая т, кому запрещено летать. Имена, страна гражданства, пол, дата рождения, паспортные данные и тд. Судя по всему, данные принадлежали центру мониторинга террористов ФБР - Terrorist Screening Center (TSC). Данные были проиндексированы поисковиками, так что высока вероятность, что они куда-то уже утекли. Так еще и соответствующим органам заняло 3 недели убрать данные из доступа.
https://www.bleepingcomputer.com/news/security/secret-terrorist-watchlist-with-2-million-records-exposed-online/
https://www.bleepingcomputer.com/news/security/secret-terrorist-watchlist-with-2-million-records-exposed-online/
BleepingComputer
Secret terrorist watchlist with 2 million records exposed online
A secret terrorist watchlist with 1.9 million records, including "no-fly" records was exposed on the internet. The list was left accessible on an Elasticsearch cluster that had no password on it.
Accenture - одна из крупнейших компаний по ИТ-услугам - стала жертвой вируса-вымогателя. Что там про сапожников без сапог?
https://www.thecybersecuritytimes.com/accenture-has-been-hit-by-lockbit-ransomware-demanding-50-million/
https://www.thecybersecuritytimes.com/accenture-has-been-hit-by-lockbit-ransomware-demanding-50-million/
The Cybersecurity Times
Accenture has been hit by Lockbit Ransomware demanding 50 million - The Cybersecurity Times
Accenture, one of the leading IT services giant have been hit by the LockBit ransomware attack.
Вдогонку к теме взлома T-Mobile, о котором я форвардил пост в канал пару дней назад. Оператор подтвердил факт несанкционированного доступа к данным компании, но пока что не может подтвердить, были ли затронуты пользовательские данные. Но на всякий случай говорит, что все точки входа для доступа к таким данным теперь точно надёжно перекрыты. Очень похоже на то, как обычно гасят пиар-скандалы, потихоньку сливая инфу, а там уже через неделю все морально привыкнут, что опять все данные украли, и масштаб скандала будет гораздо меньше
https://www.zdnet.com/article/t-mobile-says-hackers-accessed-user-data-but-wont-confirm-ssn-breach-of-100-million-customers/
https://www.zdnet.com/article/t-mobile-says-hackers-accessed-user-data-but-wont-confirm-ssn-breach-of-100-million-customers/
ZDNet
T-Mobile says hackers accessed user data but won't confirm SSN breach of 100 million customers
The hacker selling the data had social security numbers, drivers licenses info, phone numbers, names, addresses and IMEI numbers.