Написал в твиторе тред про мой опыт с условно «электронным» тестом на Ковид и как производители пользуются каждой возможностью, чтобы собрать персональные данные

https://twitter.com/alexmak/status/1473267841461891082?s=21

Кстати, редакция канала в лице меня уезжает в небольшой отпуск, и апдейты, возможно, будут не такими регулярными, как обычно. Я бы сказал «не сломайте интернет, пока меня не будет», но он уже сломан, поэтому бей, ломай, круши. И берегите себя и близких!

Кто там хотел про сниффинг траффика теста на Ковид? Интересное совпадение, но тут мне прислали ссылку на отчёт об уязвимости именно этого теста, с подменой результатов. Красота какая. Актуально для андроида, но там нетривиально все. Производитель уже выпустил патч для приложения.

https://labs.f-secure.com/blog/faking-a-positive-covid-test

=== РЕКЛАМА ====

Матрица MITRE ATT&CK на русском языке

Слышали о MITRE ATT&CK? По данным Positive Technologies, 67% специалистов по ИБ в России уже используют или планируют начать ее использовать для мониторинга атак и реагирования на них.

Команда Positive Technologies перевела матрицу ATT&CK на русский язык и опубликовала в интерактивном формате.

В адаптированной версии вы сможете увидеть, какие угрозы из международной базы знаний может выявить система анализа трафика PT Network Attack Discovery, и узнать, как она это делает.

Посмотреть матрицу

Но есть и хорошие новости: поисковик DDG ставит рекорды

https://www.ghacks.net/2021/12/27/search-engine-duckduckgo-had-another-record-year-in-2021/

Ладно, поскольку мне продолжают присылать инфу о «взломе» госуслуг, то вот.

По ссылке опубликовали информацию, анонсированную как исходный код портала «Госуслуги»
https://cybersec.org/hack/vzlom-gosusulug-hotya-kakoj-tam-vzlom-vernee-skazat-sliv.html

На самом деле речь идет об утечке исходного кода «Госуслуг» Пензенской области - исходники находились в неправильно сконфигурированном репозитории.
https://www.kommersant.ru/doc/5153297

Утверждается, что пользовательские данные в результате этой утечки (которая содержала и ключи от сертификатов) не затронуты.

Чтото странные происходит с LastPass - популярным менеджером паролей. Сначала на прошлой неделе появились посты от пользователей о странных несанкционированных логинах (заблокированных сервисом) из Бразилии

https://news.ycombinator.com/item?id=29705957

Сама компания утверждает, что это все боты, в том числе и логины с уже украденными парами логин-пароль:
Nikolett Bacso-Albaum, the senior director of LogMeIn Global PR told The Verge that the alerts users received were related “to fairly common bot-related activity,” involving malicious attempts to log in to LastPass accounts using email addresses and passwords that bad actors sourced from past breaches of third-party services (i.e. not LastPass).

Но самый правильный вывод: срочно настроить 2ФА, если ещё не
https://www.lastpass.com/products/multifactor-authentication

LastPass подтвердил, что имело место исключительно credentials stuffing, и что никакого взлома не было:

Update, 12/29/21 8:07 am Eastern: LastPass further investigated the issue and found that the alerts were sent in error. Dan DeMichele, VP of Product Management, LastPass, issued an update statement regarding the issue:

As previously stated, LastPass is aware of and has been investigating recent reports of users receiving e-mails alerting them to blocked login attempts.
We quickly worked to investigate this activity and at this time we have no indication that any LastPass accounts were compromised by an unauthorized third-party as a result of this credential stuffing, nor have we found any indication that user’s LastPass credentials were harvested by malware, rogue browser extensions or phishing campaigns.
However, out of an abundance of caution, we continued to investigate in an effort to determine what was causing the automated security alert e-mails to be triggered from our systems.
Our investigation has since found that some of these security alerts, which were sent to a limited subset of LastPass users, were likely triggered in error. As a result, we have adjusted our security alert systems and this issue has since been resolved.
These alerts were triggered due to LastPass’s ongoing efforts to defend its customers from bad actors and credential stuffing attempts. It is also important to reiterate that LastPass’ zero-knowledge security model means that at no time does LastPass store, have knowledge of, or have access to a users’ Master Password(s).
We will continue to regularly monitor for unusual or malicious activity and will, as necessary, continue to take steps designed to ensure that LastPass, its users and their data remain protected and secure.”

Ох (спасибо читателю за ссылку)

tl;dr доступ к шлагбаумам, в том числе управление ими, а также к персональным данным жильцов, которые пользуются этими шлагбаумами, ну и прочая вакханалия

https://habr.com/ru/company/postuf/blog/596293/

Я бы и сказал, что информация опасносте в данном случае, но уже все пропало. университет Киото потерял 77ТБ различных исследовательских данных. И прежде чем вы скажете «ну есть же наверняка бэкапы», я скажу, что потеря произошла как раз из-за ошибки системы резервного копирования :( 34 миллиона файлов 14 исследовательских групп - все пропало из-за ошибки в бэкапе суперкомпьютера Hewlett-Packard.

Анонс университета (на японском)
http://www.iimc.kyoto-u.ac.jp/ja/whatsnew/trouble/detail/211216056978.html

Результаты расследования (тоже на японском)
https://www.iimc.kyoto-u.ac.jp/ja/whatsnew/information/detail/211228056999.html

И новость на английском
https://www.bleepingcomputer.com/news/security/university-loses-77tb-of-research-data-due-to-backup-error/

Всех подписчиков с Новым годом! Всем новых уязвимостей, взломов, утечек и … ой, подождите, кажется, не то. Ну, короче, чтобы всё!

Ну начнём, пожалуй.

Для старта небольшой лол, что уж там - для перевода сообщений в Телеграм на Андроид сообщения отправляются в Google Translate, что уже само по себе несколько спорно с точки зрения конфиденциальности: во-первых, пользователь об этом ничего не знает (поправка - знает), во-вторых, переводы могут содержать конфиденциальные данные, в-третьих, непонятно, что из этого и как идентифицируется гуглом в процессе. Отдельно доставляет тот факт, что Телеграм делает это все полуофициальным методом, для того, чтобы избежать оплаты за использование API (мессенджер прикидывается разными браузерами, и тд). Пост Дурова о «Что лучше, перевод личных сообщений в Гугле или полная блокировка Телеграм в России?» через 3… 2… 1…

https://danpetrov.xyz/programming/2021/12/30/telegram-google-translate.html

Не могу уже с этих жуликов с их обезьянами

According to reports, roughly $2.2 million worth of Bored Ape Yacht Club (BAYC) and Mutant Ape Yacht Club (MAYC) non-fungible tokens (NFTs) were stolen from a collector. The owner of the NFTs Todd Kramer said the incident was “arguably the worst night” of his life. Furthermore, there’s claims that the NFT marketplace Opensea froze the collectibles, and crypto advocates are complaining about the lack of decentralization.

https://news.bitcoin.com/2-2m-worth-of-bored-ape-yacht-club-nfts-stolen-victim-says-incident-was-arguably-the-worst-night-of-his-life/


Anyway…

кстати, о жуликах. Слышали ли вы о Norton Crypto? А это, между прочим, часть антивируса Norton 360, которая майнит эфирную крипту на компьютерах пользователя, так еще и берет с пользователей 15% за майнинг. Совсем там уже охренели. (пока что только в штатах)

https://twitter.com/doctorow/status/1478479483585933312?s=20

https://community.norton.com/en/forums/faq-norton-crypto

(за ссылку спасибо читателю)

ОК, хотя многие среди вас там еще отдыхают до 10 числа, у меня уже все равно отпуск закончился, так что периодически будут появляться обновления канала. Но для начала — череда всяких новостей, которые я пропустил за время моего отсутствия, а они мне кажутся интересными с той или иной точки зрения. Итак, поехали!

Помните Log4J, да? Ну еще бы не помнить. там изначально уязвимость обнаружили в компании Alibaba, и сообщили о ней авторам проекта. И что за это получила Alibaba? Приостановку на 6 месяцев контрактов с министерством промышленности и информационных технологий Китая, потому что “надо было сначала своим сообщить о такой уязвимости”.
https://www.scmp.com/tech/big-tech/article/3160670/apache-log4j-bug-chinas-industry-ministry-pulls-support-alibaba-cloud

А вот еще, помните идиотскую историю про то, как журналист нашел в исходном коде сайта различные персональные данные учителей штата Миссури, а его за это обвинили во взломе и хакерства?

https://t.me/alexmakus/4337
https://t.me/alexmakus/4378

Так они там в своем этом штате Миссури не успокаиваются, и губернатор штата утверждает, что журналисту, скорей всего, грозит предъявление обвинения. Мол, в штате есть закон, который говорит, что человек совершает преступление, если он “сознательно и без разрешения… модифицирует или уничтожает данные, раскрывает или копирует данные, или получает доступ к компьютерной сети и намеренно изучает персональную информацию”.

Естественно, издание, сообщившее об уязвимости, а) вначале сообщило о ней администраторам сайта, б) опубликовало отчет об уязвимости, не раскрывая никакой персональной информации. А вся информация была видна в HTML коде сайта. Даже ФБР говорит, что “не было никакого сетевого взлома”. Но губернатор в этом штате не любит журналистов и поэтому объявил об уголовном преследовании журналиста и издания. Так что не так далек тот день, когда команда “посмотреть исходный код сайта” будет рассматриваться как намеренный взлом и караться по всей строгости закона.

https://www.stltoday.com/news/local/govt-and-politics/parson-says-he-believes-prosecutor-will-bring-charges-in-post-dispatch-case/article_c4d88dae-fbf7-565f-a96c-e3589a626273.html