Mega утверждает, что их метод шифрования файлов не позволяет их расшифровать
Исследователь демонстрирует POC, опровергающий это утверждение

https://www.mega-awry.io
https://arstechnica.com/information-technology/2022/06/mega-says-it-cant-decrypt-your-files-new-poc-exploit-shows-otherwise/

Генеральный прокурор штата Калифорния то ли случайно, то ли намеренно выложил на сайте список всех жителей штата, у которых есть разрешение на скрытое ношение оружия

https://twitter.com/KevinForBOS/status/1542204043774132225

а в штатах очередной виток борьбы с ТикТок — один из руководителей Федеральной комиссии по коммуникациям рекомендовал Apple и Google убрать приложение из аппсторов. Аргументация — отчеты об исследованиях о том, как ТикТок собирает персональные данные пользователей и используется для слежки, а только прикидывается приложением для веселых видео

https://twitter.com/brendancarrfcc/status/1541823585957707776

помню, к этой новости (https://t.me/alexmakus/4723) были комментарии, что винду никто не качает на самом деле. Тем временем новости:

Россияне на 250% чаще стали «гуглить» способы активации ОС Windows 10
Количество запросов в Google, связанных со способами активации операционной системы (ОС) Windows 10, выросло на 80–250% за три месяца, сообщает «Коммерсант» со ссылкой на данные сервиса Google Trends. Процент роста варьируется в зависимости от формулировки запроса.

https://incrussia.ru/news/windows-10/

ProPublica: Google разрешал RuTarget собирать конфиденциальные данные пользователей в течение нескольких месяцев

– RuTarget работает под брендом Segmento, ей владеет «Сбер»
– Данные были получены от миллионов веб-сайтов и приложений
– Т.е. от тех, кто использовал сервисы Google для монетизации
– Например, ID телефонов, IP-адреса, геоданные, интересы и др.
– RuTarget потерял доступ к рекламным сервисам Google в марте
– Компания перестал покупать рекламу напрямую через Google
– Но RuTarget продолжала получать данные вплоть до 23 июня

@ftsec

«Вымпелком» в своем мобильном приложении предлагает абонентам подписать соглашение о передаче их персональных данных структурам «Альфа-групп»: Альфа-банку, «АльфаСтрахованию» и некоторым юрлицам X5 Group (объединяет ритейлеров «Перекресток», «Пятерочка», «Карусель»). Взамен оператор предлагает персональные скидки от партнеров.
В документе говорится, что абонент дает согласие на обработку оператором и его партнерами данных паспорта, адреса электронной почты, номера телефона, ИНН, сведений об оборудовании и его местонахождении при получении услуг связи, информации об их оплате, а также идентификаторах: IMEI, IP-адреса, MAC-адреса и cookie id. Обработка данных осуществляется для «улучшения клиентского опыта, качества обслуживания, предоставления услуг, а также персонифицированных предложений оператора и партнеров», в том числе с помощью обзвона и отправки СМС-сообщений, следует из соглашения.

https://www.kommersant.ru/doc/5445816

Наверняка это нормально и за собственные данные абонентам нечего даже переживать

Там нужно срочно обновить Chrome под Windows - CVE-2022-2294 якобы может уже эксплуатироваться. Там речь идёт о перенаполнении буфера в WebRTC, что может приводить к различным эффектам от падения приложения до обхода различных систем защиты. Деталей про эксплуатацию Google не предоставляет. Это уже четвертая zero-day уязвимость в Chrome в этом году.


https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_25.html

тут еще какаято история про взлом и последующую утечку информации на 1 миллиард жителей Китая. Якобы взломали подразделение полиции Шанхая и слили оттуда базу с именами, национальными идентификаторами, номерами телефонов, информацией о рождении. также база содержит информацию о преступлениях или других инцидентах. Пользователи, с которыми связались исследователи, информацию из базы подтверждают.

https://twitter.com/cz_binance/status/1543700689611792386

более того, якобы взлом был не взлом, а просто кто-то опубликовал пост, в котором случайно оказались параметры доступа
https://twitter.com/cz_binance/status/1543905416748359680

Данные — 23ТБ — выставлены на продажу за 200 тыс долларов.

https://www.vice.com/en/article/y3pgyw/china-leak-1-billion-shanghai-police

https://twitter.com/mossobyaniin/status/1544318154846998531?s=21

затрагивает сайты без https, конечно же, но все равно показательно

Apple в новой версии iOS вводит более жесткий режим Lockdown Mode, который позволит тем, кто чувствует риск взлома, максимально защитить свое устройство. В ущерб некоторой функциональности и удобству, но все же

https://www.apple.com/newsroom/2022/07/apple-expands-commitment-to-protect-users-from-mercenary-spyware/

At launch, Lockdown Mode includes the following protections: 
• Messages: Most message attachment types other than images are blocked. Some features, like link previews, are disabled.
• Web browsing: Certain complex web technologies, like just-in-time (JIT) JavaScript compilation, are disabled unless the user excludes a trusted site from Lockdown Mode.
• Apple services: Incoming invitations and service requests, including FaceTime calls, are blocked if the user has not previously sent the initiator a call or request.
• Wired connections with a computer or accessory are blocked when iPhone is locked.
• Configuration profiles cannot be installed, and the device cannot enroll into mobile device management (MDM), while Lockdown Mode is turned on.

Прекрасная история про то, как в свое время взломали Axie Infinity — компанию с криптоигрой, в результате взлома которой та потеряла почти 600млн долларов в криптовалюте на момент взлома

TL;DR
Сотруднику сделали предложение от несуществующей компании, он скачал ПДФ на компьютер и понеслась….

https://www.theblock.co/post/156038/how-a-fake-job-offer-took-down-the-worlds-most-popular-crypto-game

Уволенный из Facebook сотрудник утверждает, что его уволили за вопросы о законности программы, в рамках которой некоторые сотрудники компании имели возможность восстановить удаленные пользователями данные. Такая практика нарушает правила регулирующих органов об информировании пользователей о политиках сохранения данных

https://www.bloomberg.com/news/articles/2022-07-07/facebook-accessed-deleted-user-data-fired-screener-claims

С прошлой недели новость о том, что сеть отелей Marriott взломали. Да, еще раз. Взломали, похоже, сервер конкретной гостиницы в штате Мериленд, и ушли с 20ГБ данных сотрудников и клиентов компании.

https://www.databreaches.net/exclusive-marriott-hacked-again-yes-heres-what-we-know/

но есть и хорошие новости. Великобритания пока решила не принимать (и судя по сигналам — отложить надолго) Online Safety Bill — законопроект, который должен был определить различные методы борьбы с вредным контентом в интернете. Для канала это релевантно, так как там шла речь о бэкдорах в системах шифрования сообщений
https://twitter.com/eleanormia/status/1547281952029523968

пропустил историю про брелоки к автомобилям Honda, которые взломали исследователи безопасности. В процессе они научились перехватывать коды с расстояния в 30 метров, с возможностью открыть и завести автомобиль позже без ведома владельцев. Затрагивает модели с 2012 по 2022 годы, проблема, скорей всего, присутствует и в других автомобилях. Вроде как проблему можно починить апдейтом модуля, но Хонда на такую безопасность забивает

CVE-2021-46145

https://rollingpwn.github.io/rolling-pwn/

продолжая автомобильную тему. BWM рассказала недавно, что хочет брать деньги за подписку на подогрев сидений. Журналисты поговорили с хакерами, которые готовы делать “джейлбрейк” машинам для активации таких функций без подписки. Интересно, кто победит в этой гонке.

https://www.vice.com/en/article/7k8bv9/bmw-wants-to-charge-for-heated-seats-these-grey-market-hackers-will-fix-that

неделя автомобильных новостей? есть такая компания Micodus, производит GPS-трекеры для автомобилей. Клиенты — различные компании с парком автомобилей, которые используют эти трекеры для мониторинга парков. впрочем, не только компании — государственные органы тоже. 1,5 миллиона трекеров, 420 тысяч клиентов по всему миру (хм, в среднем три трекера на клиент?).

Короче, исследователи нашли там 6 уязвимостей, которые позволяют просматривать местоположение автомобилей, историю перемещения, и даже отключать двигатель автомобиля находу. Одна из них — прописанный пароль в коде для полного контроля трекера. Исследователи связывались с производителем, но никакой реакции не получили и уязвимости не исправлены.

https://www.bleepingcomputer.com/news/security/popular-vehicle-gps-tracker-gives-hackers-admin-privileges-over-sms/