дополнительные детали об утечке Delivery Club
https://twitter.com/MayhemDayOne/status/1528647030398124032

Хакеры взломали систему китайской полиции в Синьцзян и передали журналистам материалы о происходящемв полиции — в частности, об отношении к содержащимся в лагерях уйгурах, фотографии задержанных, и тд

https://www.bbc.co.uk/news/extra/85qihtvw6e/the-faces-from-chinas-uyghur-detention-camps

https://twitter.com/thezedwards/status/1528808759027331072?s=21&t=B3dzHDuW2VW8Jnm1meTqUA

Браузер позволяет сервисам Microsoft, например, Linkedin или Bing, собирать данные о пользователях и не блокирует их трекеры, обнаружил исследователь и основатель аналитического агентства Victory Medium Зак Эдвардс. К примеру, такими данными браузер продолжает делиться с Microsoft при посещении Facebook* и других сайтов.
Основатель и глава DuckDuckGo Габриэль Вайнберг ответил пользователю, что браузер блокирует большинство сторонних трекеров, но соглашение с Microsoft о синдикации поиска не позволяет им сделать больше. Речь идёт о контекстной рекламе, которая позволяет показывать объявления в результатах поиска на сторонних сайтах.

https://vc.ru/services/428716-duckduckgo-zaklyuchil-sdelku-s-microsoft-po-ney-on-ne-blokiruet-reklamnye-trekery-kompanii-v-svoem-brauzere

WTF

ProtonMail проводит ребрендинг —  сменит название на Proton — и обновит тарифы, объединив в одном пакете почту, VPN, хранилище данных и зашифрованный календарь

https://www.engadget.com/proton-encrypted-email-vpn-calendar-rebrand-103024950.html

Google отключит в России часть ускоряющих загрузку контента серверов Это оборудование позволяет улучшать качество видео и снижать затраты операторов
Отдельные российские интернет-провайдеры получили от Google уведомления об отключении серверов, которые позволяют ускорить загрузку сервисов этой компании. На сетях крупнейших операторов это оборудование продолжает работать
https://www.rbc.ru/technology_and_media/26/05/2022/628e65049a79476511920dfa

Bluetooth ключи опасносте — чтото там про BLE и proximity, и якобы апдейтами ПО не чинится, но производители могут уменьшить риски с помощью некоторых изменений. Демо, конечно, на Tesla, для максимального PR-эффекта, но пока непонятно, пора ли выжигать ключи BT огнеметами

https://newsroom.nccgroup.com/news/ncc-group-uncovers-bluetooth-low-energy-ble-vulnerability-that-puts-millions-of-cars-mobile-devices-and-locking-systems-at-risk-447952

https://research.nccgroup.com/2022/05/15/technical-advisory-ble-proximity-authentication-vulnerable-to-relay-attacks/

https://research.nccgroup.com/2022/05/15/technical-advisory-tesla-ble-phone-as-a-key-passive-entry-vulnerable-to-relay-attacks/

Уязвимости и атаки на CMS Bitrix

1. Особенности
2. Уязвимости
3. Методы атак

Приятного чтения!

Хакер методом социальной инженерии получил доступ и скачал базу данных с информацией о сотнях сотрудников телекоммуникационной компании Verizon. Теперь вымогает у компании 250 тысяч долларов за непубликацию этих данных. Взломщик убедил сотрудника, что он из службы поддержки, получил удаленный доступ к компьютеру и написал скрипт по выкачиванию данных из базы.

https://www.vice.com/en/article/wxdwxn/hacker-steals-database-of-hundreds-of-verizon-employees

Мы подтверждаем проблемы с доступностью IPsec (туда же IKEv2) в некоторых регионах.

UPD: на некоторых операторах (включая Ростелеком) в регионах IPsec не проходит даже между сервером и клиентом в России.

Это большой удар в том числе по корпоративным сетям - множество администраторов таких сетей сейчас срочно ищут решения для обхода.

❗️Tor Browser подлежит удалению из магазина Google Play.

В соответствии с решением Саратовского районного суда Роскомнадзор потребовал от Google LLC удалить из магазина Google Play программное приложение Tor Browser.

Суд признал содержащуюся в Tor Browser информацию запрещенной к распространению на территории Российской Федерации, а также само программное приложение, позволяющее получить доступ к запрещенному контенту и способствующее совершению уголовных преступлений.

В настоящее время мы изучаем проблему, но она не вызвана какими-либо изменениями с нашей стороны. Вполне вероятно, что местные интернет-провайдеры и власти мешают VPN-соединениям, и в этом случае мы не сможем решить такие проблемы. Некоторые серверы могут продолжать работать. Мы продолжаем попытки обойти блокировку. Спасибо за ваше терпение и понимание.

https://protonstatus.com/incidents/189

"Согласно закону "О связи", средства обхода блокировок противоправного контента признаются угрозой. Центр мониторинга и управления сетью связи общего пользования (ЦМУ ССОП) принимает меры по ограничению работы на территории России VPN-сервисов, нарушающих российское законодательство",- сообщили в ведомстве "Интерфаксу" в ответ на запрос относительно проблем с доступом пользователей в России к сервису Proton VPN.

https://www.interfax.ru/russia/844320

У Confluence дыра в безопасности! (Zero-day без патча и в активной эксплуатации в Confluence Server и Data Center). По ссылкам есть рекомендации по снижению рисков.

https://www.volexity.com/blog/2022/06/02/zero-day-exploitation-of-atlassian-confluence/

https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

Исправили

https://confluence.atlassian.com/doc/confluence-security-advisory-2022-06-02-1130377146.html

«Over the course of these next few weeks I will be releasing 137.21GB of Telegram group chats and messages, of which I was not a part of. Why? This is all thanks to an exploit in October of 2019 that allowed one to access the group page with recent messages if proper permissions were not set up. At the time of writing this, the team at Telegram have been contacted about this. I've only ever seen two people mention this exploit in passing, one in person and one on Twitter, so I know I was not the only one.»

https://www.twitlonger.com/show/n_1ss24a6

Чувак там срывает покровы со всяких разных групп социума, но ягодка в том, благодаря чему он это делает - благодаря «уязвимости», которая позволяла получать сообщения из групп в ТГ, не присоединяясь к ним. Он собрал кучу обсуждений в разных группах и будет публиковать их, обещая, что не все проекты, утечка о которых будет опубликована, переживут это.

Хорошо, что тут нет никаких секретов!

CVE везде

Что предлагаем. Внедрить оборотный штраф за отсутствие у оператора систем оперативно-разыскных мероприятий (СОРМ). Предлагаемый размер штрафа — от 0,01 до 0,05% от годовой выручки оператора за услуги связи, но не более 0,02% годовой выручки от реализации всех товаров (работ, услуг) и не менее 1 млн рублей. Сейчас также обсуждаем возможность в первый раз ограничиться предупреждением.

📁 Минцифры предлагает поправки в Налоговый кодекс, КоАП России и закон «О связи»

Минцифры подготовило изменения в три федеральных закона. Пакет документов опубликован сегодня для общественного обсуждения.

Ниже излагаем суть каждой поправки.

1️⃣ Проект федерального закона «О внесении изменений в статью 333 части второй Налогового кодекса Российской Федерации»

🔹 Что предлагаем. Увеличить размер госпошлины с 7,5 тысяч до 1 млн рублей на 9 видов лицензий по услугам связи.

🔹 Суть инициативы. Увеличение госпошлины до 1 млн рублей не позволит операторам, нарушающим законодательство, с легкостью получать новые лицензии. Стоимость лицензии станет стоп-фактором для нарушителей и защитит граждан от сомнительных услуг.

В России около 10 тысяч операторов, которые предоставляют услуги связи. Сейчас получить лицензию можно всего за 7,5 тысяч рублей. Недобросовестные операторы пользуются этим: например, когда Роскомнадзор выявил нарушение, операторы не оплачивают штраф, а пишут заявление о прекращении лицензии и сразу оформляют новую. Это проще, чем оплатить штраф.

❗ Важное примечание. Нововведение коснется только новых операторов. Операторы, которые уже имеют лицензии, будут продлевать их на прежних условиях — за 750 рублей. Действует лицензия до пяти лет.

2️⃣ Проект федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» (статья 13.46)

🔹 Что предлагаем. Внедрить оборотный штраф за отсутствие у оператора систем оперативно-разыскных мероприятий (СОРМ). Предлагаемый размер штрафа — от 0,01 до 0,05% от годовой выручки оператора за услуги связи, но не более 0,02% годовой выручки от реализации всех товаров (работ, услуг) и не менее 1 млн рублей. Сейчас также обсуждаем возможность в первый раз ограничиться предупреждением.

🔹 Суть инициативы. СОРМ — системы, которые операторы связи должны устанавливать на своих сетях связи в соответствии с требованиями ФСБ.
СОРМ позволяет расследовать преступления и предотвращать теракты. Оборудование должно устанавливаться на сетях каждого оператора связи, но небольшие операторы экономят и уклоняются от внедрения СОРМ. Минцифры всегда учитывает интересы рынка, но в вопросе безопасности компромиссов быть не может. Если законопроект примут, операторам придется устанавливать СОРМ, чтобы избежать оборотных штрафов, а Минцифры будет уверено, что сети российских операторов не используют преступники.

3️⃣ Проект федерального закона «О внесении изменений в Федеральный закон «О связи» (в части согласования схемы построения сети связи)

🔹 Что предлагаем. Согласно законопроекту, перед тем как получить лицензию на оказание услуг связи, оператор должен будет согласовать с ФСБ России схему построения сети.

🔹 Суть инициативы. Предполагается, что новые операторы будут получать на схему сети визу ФСБ и уже с этой визой обращаться в Роскомнадзор за лицензией. При продлении срока действия лицензии, к заявлению потребуется приложить акт ввода в эксплуатацию СОРМ, а при его отсутствии — план мероприятий по внедрению СОРМ, согласованный с ФСБ.

Инициатива позволит ФСБ России начать работу с операторами связи по внедрению СОРМ еще на этапе получения лицензии, а не постфактум, как это происходит сейчас. То есть все новые операторы связи будут выходить на рынок уже с установленной СОРМ. И при продлении лицензии у операторов связи тоже будут эти системы.

@mintsifry

Ох уж эти стартапы (на продажу выставлены тысячи документов пользователей стартапа с прокатом велосипедов)

https://techcrunch.com/2022/06/08/mobike-passports-identity-exposed/

я не понимаю, вот эти порноботы с бесконечным спамом в комментах, неужели эта херня работает, раз они так настырно уже много месяцев спамят?