Очень прикольная тема сразу по нескольким параметрам.

Во-первых, очередная история о том, как баг баунти программа Apple мяла булки, тупила и тормозила, по какой-то там причине затягивая процесс рассмотрения уязвимости, которую нашёл разработчик. Это включает в себя и то, что они не могут сказать, будет ли выплата на обнаружение, и её размер. Поэтому по прошествии 90 дней с момента обнаружения проблемы разработчик опубликовал информацию о ней.

Во-вторых, сама уязвимость тоже весьма прикольная. Там суть такая, что есть метки AirTags, которые, будучи потерянными и в соответствующем «потерянном» режиме, открывают страничку Apple тому, кто её найдёт - там открывается found.Apple.com. Но в страницу встраивается содержимое поля о номере телефона владельца, чтобы уведомить его об этом. Но Apple забыла встроить проверку поля номера телефона при настройке метки, и в этом суть уязвимости. В это поле можно прописать URL с XSS, и при открытии found.Apple.com там в странице загрузится, как приводит пример разработчик, фальшивое окно логина в iCloud - для сбора логинов в сервис. Понятно, что 2ФА защитит большинство пользователей, но и для этих механизмов уже появляются автоматизированные системы перехватов паролей. Ну и другие механизмы какого-нибудь вреда с помощью веб-страницы. Короче, разбрасываешь метки AirTag, потом собираешь что-нибудь. В общем, такие дела.

https://medium.com/@bobbyrsec/zero-day-hijacking-icloud-credentials-with-apple-airtags-stored-xss-6997da43a216

Лонгрид в WSJ на английском (но современные системы переводов в браузере неплохо справляются) об атаке ransomware на больницу. там в целом грустная история о том, что изза недоступности оборудования, которое не работало изза атаки, монитор сердцебиения ребенка при рождении не уведомил персонал, ребенок родился с травмой мозга и несколько месяцев спустя умер. Мама подала в суд на больницу, аргументируя, что хакерская атака убрала дополнительный уровень безопасности и контроля. Если суд примет решение в её пользу, то это станет первым подтвержденным случаем смерти от ransomware атаки.

https://www.wsj.com/articles/ransomware-hackers-hospital-first-alleged-death-11633008116

Про Pandora Papers вы, наверно, уже слышали в новостях. Очередная утечка документов из офшоров, миллионы документов, десятки бывших и текущих мировых лидеров, сотни политиков из десятков стран:

The secret documents expose offshore dealings of the King of Jordan, the presidents of Ukraine, Kenya and Ecuador, the prime minister of the Czech Republic and former British Prime Minister Tony Blair. The files also detail  financial activities of Russian President Vladimir Putin’s “unofficial minister of propaganda” and more than 130 billionaires from Russia, the United States, Turkey and other nations.

11,9 миллионов файлов, 600 журналистов и 150 изданий 2 года изучали документы. Опять напишут сотни статей, все повздыхают и поцокают языками, подкачают головой - и ничего не произойдёт.

https://www.icij.org/investigations/pandora-papers/global-investigation-tax-havens-offshore/

Думаю, многим из вас вчера такое письмо с уведомлением пришло

PS для комментаторов «в чем тут ownage” - в самом письме написано о монетизации данных. Поэтому ситуация, как по мне, заслуживает нотификации

«Я протестировал нововведение в Telegram на Android и ничего подозрительного не обнаружил. Всё security-заявленное со стороны Tg работало так, как с обложки. Спустя только несколько суток (минимальный, честный срок автоудаления сообщений - 24ч.), проявив усердие, я добился того что искал: сообщения которые должны автоудаляться у участников личного и приватного групповых чатов <удалялись> только визуально (очистка окна сообщений), а в реальности сообщения-картинки оставались на устройствах в открытом кэше, который доступен любому пользователю по пути: /Storage/Emulated/0/Telegram/Telegram Image.»

там дальше интересно про общение с командой ТГ по поводу баунти, договор с ТГ о неразглашении информации о баге, и в итоге публикацию информации об уязвимости. в общем, красивое!

https://habr.com/en/post/580582/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41861

Простое и понятное пояснение, что, скорей всего, произошло с ФБ вчера, когда весь ФБ внезапно оказался опасносте и недоступен:
1. Накатили апдейт на маршрутизатор, который как-то пошёл не так, и стали недоступными dns для FB/IG/WA
2. ФБ, по сути, отключает свой сегмент сети от интернета - какое-то время домен Facebook . Com практически не существовал в сети
3. В это время пользователи приложений и веб-сайтов нетерпеливо автоматически и вручную пытаются загрузить себе ФБ, что приводит к нагрузке на и так загруженную инфраструктуру.

Бонус: в ФБ не работают внутренние инструменты, включая систему пропусков. Админы с боем пробиваются физически к серверам, потому что удалённый доступ тоже не работает. Весело у них там, да.

https://blog.cloudflare.com/october-2021-facebook-outage/

Кстати, о ФБ. Тут появилась вчера инфа о продаже собранной пользовательской информации из ФБ на 1,5 млрд пользователей. Правда, никаких подтверждений нет и вроде как продавец скамер, но что в этой всей новости нового?

https://www.privacyaffairs.com/facebook-data-sold-on-hacker-forum/

Syniverse — компания, которая является, по сути, точкой обмена информации между мобильными операторами в США (и некоторыми другими), через которую проходят данные о звонках, текстовые сообщения, информация об использовании мобильных данных, и тд. В сентябре компания подала в комиссию по ценным бумагам США документ (компания готовится к IPO), в котором говорится, что «неизвестные лица или организации получили несанкционированный доступ к базам данных внутри сетей компании», и что данные учетных записей как минимум 235 клиентов компании для доступа к среде обмена данными были скромпрометированы.

Взлом, по информации от компании, произошел в мае 2016 года, и был обнаружен в мае 2021 года. ПЯТЬ ЛЕТ. Компания обрабатывает 740 млрд текстовых сообщений в год, и напрямую подключена к более чем 300 мобильным операторам по всему миру. Что там было именно взломано, и к чему именно получили доступ злоумышленники, компания пока что не раскрывает, но в худшем сценарии это могут быть триллионы текстовых сообщений, с неизвестно какой еще информацией. да где же этому конец???

https://www.sec.gov/Archives/edgar/data/1839175/000119312521284329/d234831dprem14a.htm

Windows 11 Security Book - документ с базовым описанием различных изменений и нововведений в системах безопасности операционной системы

https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RWMyFE

И полезный тред в твиттере с другими материалами на эту тему

https://twitter.com/NerdPyle/status/1445434635937140736

Google тоже решила включить 2ФА принудительно для 150млн пользователей

https://blog.google/technology/safety-security/making-sign-safer-and-more-convenient/

Воу, воу, тут Twitch, похоже, взломали. Причём весь. В составе утечки:

- полный исходный код проекта с комментами
- отчеты о выплатах
- СДК и сервисы AWS, используемые в проекте
- другие проекты, принадлежащие Twitch
- инструменты службы безопасности (ирония!)

125ГБ данных.

https://www.videogameschronicle.com/news/the-entirety-of-twitch-has-reportedly-been-leaked/

Вчера я как-то упустил момент, что у Твича также увели и зашифрованные пароли пользователей

https://reddit.com/r/Twitch/comments/q2gcq2/over_120gb_of_twitch_website_data_has_been_leaked/

Так что если вы ещё не поменяли там пароль и не включили 2фа, я не понимаю, что вы тут вообще делаете

Twitch подтвердил взлом и то, что это был именно хак из-за неправильной конфигурации на сервере, а не инсайдерская работа. Про утёкшие пароли вроде бы не подтверждают, но компания ещё работает над изучением того, что именно утекло

https://blog.twitch.tv/en/2021/10/06/updates-on-the-twitch-security-incident/

Чувак скупает домены, очень похожие на известные криптобиржи, и, видимо, там удаётся мутить достаточно фрода, чтобы оправдать потраченные на эти домены 200 тыс долларов

https://www.washingtonpost.com/technology/2021/10/08/cryptocurrency-scam-websites/

Wwwblockchain.com, hlockchain.com, blpckchain.com, conibase.com

берегите свои криптоденежки!

Количество дней с последнего «Apple is aware of a report that this issue may have been actively exploited.»:

0

https://support.apple.com/en-us/HT212846

Тут накопилась целая серия всяких новостей вокруг Apple, так что поехали!

Отчет Sophos о некой кампании CryptoRom по обману пользователей на сервисах знакомств (Tinder, Bumble, Grindr, Facebook Dating), где злоумышленники втирались в доверие к жертвам, а потом уговаривали их скачать фейковые приложения криптовалют. Затем жертвы вроде как вкладывали деньги в этих приложениях, а денежки пропадали. Интересный момент в этом — то, что в качестве приложений использовались приложения для iOS, которые были подписаны в рамках Apple Developer Enterprise Program. Это программа, где обычно крупные разработчики разрабатывают продукты для внутренних нужд (а те, кто помельче, используют её для распространения бета-версий). Интересно, что установка приложения по enterprise программе требует установки профиля, который к тому же дает возможность удаленного контроля над некоторыми настройками и данными пользователей, что тоже весело Всего, по словам Sophos, удалось украсть 1,4 млн долларов. Какая удобная для Apple история во время, когда все говорят про то, что нужно срочно заставить Apple разрешить sideloading приложений на iPhone.

https://www.sophos.com/en-us/press-office/press-releases/2021/10/expanding-cryptorom-iphone-scam-rakes-in-millions.aspx

История с Денисом Токаревым (он же illusionofchaos), исследователем безопасности, который нашел в iOS несколько уязвимостей, не договорился с Apple в рамках их программы баунти, и опубликовал информацию о них после выхода нового релиза iOS 15, продолжается. Похоже, что в iOS 15.0.2 одну из уязвимостей Apple таки исправила, но не указала Дениса как обнаружившего уязвимость. Возможно, потому, что информация об уязвимости уже была публичной на момент выхода 15.0.2, но все равно гораздо больше похоже на какое-то свинство.

https://twitter.com/illusionofcha0s/status/1447985867734278147?s=20
https://twitter.com/illusionofcha0s/status/1448269165417148418

https://www.bleepingcomputer.com/news/apple/apple-silently-fixes-ios-zero-day-asks-bug-reporter-to-keep-quiet/

еще в iOS 14 Apple выкатила тему, что в системе сохраняются логи различных приложениий, которые обращаются к различным «чувствительным» компонентам системы — сетевая актвиность, использование систем, к которым пользователь разрешил доступ (микрофон, камера, и тд), другие события. Мне тут вчера читатель подсказал приложение, которое позволяет удобно просматривать эти логи и отчеты прямо на телефоне. Правда, разработчик из Китая, но вроде как клянется, что никакие дополнительные данные с телефона не уходят из его приложения.

https://apps.apple.com/ua/app/app-privacy-insights/id1575583991