ProPublica: Google разрешал RuTarget собирать конфиденциальные данные пользователей в течение нескольких месяцев

– RuTarget работает под брендом Segmento, ей владеет «Сбер»
– Данные были получены от миллионов веб-сайтов и приложений
– Т.е. от тех, кто использовал сервисы Google для монетизации
– Например, ID телефонов, IP-адреса, геоданные, интересы и др.
– RuTarget потерял доступ к рекламным сервисам Google в марте
– Компания перестал покупать рекламу напрямую через Google
– Но RuTarget продолжала получать данные вплоть до 23 июня

@ftsec

«Вымпелком» в своем мобильном приложении предлагает абонентам подписать соглашение о передаче их персональных данных структурам «Альфа-групп»: Альфа-банку, «АльфаСтрахованию» и некоторым юрлицам X5 Group (объединяет ритейлеров «Перекресток», «Пятерочка», «Карусель»). Взамен оператор предлагает персональные скидки от партнеров.
В документе говорится, что абонент дает согласие на обработку оператором и его партнерами данных паспорта, адреса электронной почты, номера телефона, ИНН, сведений об оборудовании и его местонахождении при получении услуг связи, информации об их оплате, а также идентификаторах: IMEI, IP-адреса, MAC-адреса и cookie id. Обработка данных осуществляется для «улучшения клиентского опыта, качества обслуживания, предоставления услуг, а также персонифицированных предложений оператора и партнеров», в том числе с помощью обзвона и отправки СМС-сообщений, следует из соглашения.

https://www.kommersant.ru/doc/5445816

Наверняка это нормально и за собственные данные абонентам нечего даже переживать

Там нужно срочно обновить Chrome под Windows - CVE-2022-2294 якобы может уже эксплуатироваться. Там речь идёт о перенаполнении буфера в WebRTC, что может приводить к различным эффектам от падения приложения до обхода различных систем защиты. Деталей про эксплуатацию Google не предоставляет. Это уже четвертая zero-day уязвимость в Chrome в этом году.


https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_25.html

тут еще какаято история про взлом и последующую утечку информации на 1 миллиард жителей Китая. Якобы взломали подразделение полиции Шанхая и слили оттуда базу с именами, национальными идентификаторами, номерами телефонов, информацией о рождении. также база содержит информацию о преступлениях или других инцидентах. Пользователи, с которыми связались исследователи, информацию из базы подтверждают.

https://twitter.com/cz_binance/status/1543700689611792386

более того, якобы взлом был не взлом, а просто кто-то опубликовал пост, в котором случайно оказались параметры доступа
https://twitter.com/cz_binance/status/1543905416748359680

Данные — 23ТБ — выставлены на продажу за 200 тыс долларов.

https://www.vice.com/en/article/y3pgyw/china-leak-1-billion-shanghai-police

https://twitter.com/mossobyaniin/status/1544318154846998531?s=21

затрагивает сайты без https, конечно же, но все равно показательно

Apple в новой версии iOS вводит более жесткий режим Lockdown Mode, который позволит тем, кто чувствует риск взлома, максимально защитить свое устройство. В ущерб некоторой функциональности и удобству, но все же

https://www.apple.com/newsroom/2022/07/apple-expands-commitment-to-protect-users-from-mercenary-spyware/

At launch, Lockdown Mode includes the following protections: 
• Messages: Most message attachment types other than images are blocked. Some features, like link previews, are disabled.
• Web browsing: Certain complex web technologies, like just-in-time (JIT) JavaScript compilation, are disabled unless the user excludes a trusted site from Lockdown Mode.
• Apple services: Incoming invitations and service requests, including FaceTime calls, are blocked if the user has not previously sent the initiator a call or request.
• Wired connections with a computer or accessory are blocked when iPhone is locked.
• Configuration profiles cannot be installed, and the device cannot enroll into mobile device management (MDM), while Lockdown Mode is turned on.

Прекрасная история про то, как в свое время взломали Axie Infinity — компанию с криптоигрой, в результате взлома которой та потеряла почти 600млн долларов в криптовалюте на момент взлома

TL;DR
Сотруднику сделали предложение от несуществующей компании, он скачал ПДФ на компьютер и понеслась….

https://www.theblock.co/post/156038/how-a-fake-job-offer-took-down-the-worlds-most-popular-crypto-game

Уволенный из Facebook сотрудник утверждает, что его уволили за вопросы о законности программы, в рамках которой некоторые сотрудники компании имели возможность восстановить удаленные пользователями данные. Такая практика нарушает правила регулирующих органов об информировании пользователей о политиках сохранения данных

https://www.bloomberg.com/news/articles/2022-07-07/facebook-accessed-deleted-user-data-fired-screener-claims

С прошлой недели новость о том, что сеть отелей Marriott взломали. Да, еще раз. Взломали, похоже, сервер конкретной гостиницы в штате Мериленд, и ушли с 20ГБ данных сотрудников и клиентов компании.

https://www.databreaches.net/exclusive-marriott-hacked-again-yes-heres-what-we-know/

но есть и хорошие новости. Великобритания пока решила не принимать (и судя по сигналам — отложить надолго) Online Safety Bill — законопроект, который должен был определить различные методы борьбы с вредным контентом в интернете. Для канала это релевантно, так как там шла речь о бэкдорах в системах шифрования сообщений
https://twitter.com/eleanormia/status/1547281952029523968

пропустил историю про брелоки к автомобилям Honda, которые взломали исследователи безопасности. В процессе они научились перехватывать коды с расстояния в 30 метров, с возможностью открыть и завести автомобиль позже без ведома владельцев. Затрагивает модели с 2012 по 2022 годы, проблема, скорей всего, присутствует и в других автомобилях. Вроде как проблему можно починить апдейтом модуля, но Хонда на такую безопасность забивает

CVE-2021-46145

https://rollingpwn.github.io/rolling-pwn/

продолжая автомобильную тему. BWM рассказала недавно, что хочет брать деньги за подписку на подогрев сидений. Журналисты поговорили с хакерами, которые готовы делать “джейлбрейк” машинам для активации таких функций без подписки. Интересно, кто победит в этой гонке.

https://www.vice.com/en/article/7k8bv9/bmw-wants-to-charge-for-heated-seats-these-grey-market-hackers-will-fix-that

неделя автомобильных новостей? есть такая компания Micodus, производит GPS-трекеры для автомобилей. Клиенты — различные компании с парком автомобилей, которые используют эти трекеры для мониторинга парков. впрочем, не только компании — государственные органы тоже. 1,5 миллиона трекеров, 420 тысяч клиентов по всему миру (хм, в среднем три трекера на клиент?).

Короче, исследователи нашли там 6 уязвимостей, которые позволяют просматривать местоположение автомобилей, историю перемещения, и даже отключать двигатель автомобиля находу. Одна из них — прописанный пароль в коде для полного контроля трекера. Исследователи связывались с производителем, но никакой реакции не получили и уязвимости не исправлены.

https://www.bleepingcomputer.com/news/security/popular-vehicle-gps-tracker-gives-hackers-admin-privileges-over-sms/

If you installed Atlassian Questions For Confluence (vendor official plugin) it creates an accessible Confluence login with a default password.

https://twitter.com/GossiTheDog/status/1550030472503300096

У мессенджера, который утверждал, что у них используется сквозное шифрование, утекли незашифрованные переписки пользователей
https://techcrunch.com/2022/07/22/justalk-unencrypted/

из рубрики “преступление и наказание” — за утечку 76 млн записей своих пользователей в США в 2021 году компания T-Mobile согласилась заплатить 350 млн долларов штрафа (еще 150 млн должно будет пойти на технологии обеспечения безопасности данных). Из 350 млн долларов там, скорей всего, половина уйдет юристам, остальные копейки раздадут некоторым пользователям. Доход компании в 2021 году составил более 80 млрд долларов.

https://www.theverge.com/2022/7/22/23274833/t-mobile-2021-hack-settlement-lawsuit-500-million