Там нужно срочно обновить Chrome под Windows - CVE-2022-2294 якобы может уже эксплуатироваться. Там речь идёт о перенаполнении буфера в WebRTC, что может приводить к различным эффектам от падения приложения до обхода различных систем защиты. Деталей про эксплуатацию Google не предоставляет. Это уже четвертая zero-day уязвимость в Chrome в этом году.
https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_25.html
https://chromereleases.googleblog.com/2022/03/stable-channel-update-for-desktop_25.html
Chrome Releases
Stable Channel Update for Desktop
The Stable channel has been updated to 99.0.4844.84 for Windows, Mac and Linux which will roll out over the coming days/weeks. A full list o...
🔥10👍6👎2
тут еще какаято история про взлом и последующую утечку информации на 1 миллиард жителей Китая. Якобы взломали подразделение полиции Шанхая и слили оттуда базу с именами, национальными идентификаторами, номерами телефонов, информацией о рождении. также база содержит информацию о преступлениях или других инцидентах. Пользователи, с которыми связались исследователи, информацию из базы подтверждают.
https://twitter.com/cz_binance/status/1543700689611792386
более того, якобы взлом был не взлом, а просто кто-то опубликовал пост, в котором случайно оказались параметры доступа
https://twitter.com/cz_binance/status/1543905416748359680
Данные — 23ТБ — выставлены на продажу за 200 тыс долларов.
https://www.vice.com/en/article/y3pgyw/china-leak-1-billion-shanghai-police
https://twitter.com/cz_binance/status/1543700689611792386
более того, якобы взлом был не взлом, а просто кто-то опубликовал пост, в котором случайно оказались параметры доступа
https://twitter.com/cz_binance/status/1543905416748359680
Данные — 23ТБ — выставлены на продажу за 200 тыс долларов.
https://www.vice.com/en/article/y3pgyw/china-leak-1-billion-shanghai-police
🤯23👍10👏5😁4👎2🤔1
https://twitter.com/mossobyaniin/status/1544318154846998531?s=21
затрагивает сайты без https, конечно же, но все равно показательно
затрагивает сайты без https, конечно же, но все равно показательно
🤮83🤯21👍9🤬7😁4💩3👎1🔥1🤔1
Apple в новой версии iOS вводит более жесткий режим Lockdown Mode, который позволит тем, кто чувствует риск взлома, максимально защитить свое устройство. В ущерб некоторой функциональности и удобству, но все же
https://www.apple.com/newsroom/2022/07/apple-expands-commitment-to-protect-users-from-mercenary-spyware/
At launch, Lockdown Mode includes the following protections:
• Messages: Most message attachment types other than images are blocked. Some features, like link previews, are disabled.
• Web browsing: Certain complex web technologies, like just-in-time (JIT) JavaScript compilation, are disabled unless the user excludes a trusted site from Lockdown Mode.
• Apple services: Incoming invitations and service requests, including FaceTime calls, are blocked if the user has not previously sent the initiator a call or request.
• Wired connections with a computer or accessory are blocked when iPhone is locked.
• Configuration profiles cannot be installed, and the device cannot enroll into mobile device management (MDM), while Lockdown Mode is turned on.
https://www.apple.com/newsroom/2022/07/apple-expands-commitment-to-protect-users-from-mercenary-spyware/
At launch, Lockdown Mode includes the following protections:
• Messages: Most message attachment types other than images are blocked. Some features, like link previews, are disabled.
• Web browsing: Certain complex web technologies, like just-in-time (JIT) JavaScript compilation, are disabled unless the user excludes a trusted site from Lockdown Mode.
• Apple services: Incoming invitations and service requests, including FaceTime calls, are blocked if the user has not previously sent the initiator a call or request.
• Wired connections with a computer or accessory are blocked when iPhone is locked.
• Configuration profiles cannot be installed, and the device cannot enroll into mobile device management (MDM), while Lockdown Mode is turned on.
Apple Newsroom
Apple expands commitment to protect users from mercenary spyware
Apple today detailed two initiatives to help protect users who may be personally targeted by sophisticated digital threats.
👍76💩2👎1
Прекрасная история про то, как в свое время взломали Axie Infinity — компанию с криптоигрой, в результате взлома которой та потеряла почти 600млн долларов в криптовалюте на момент взлома
TL;DR
Сотруднику сделали предложение от несуществующей компании, он скачал ПДФ на компьютер и понеслась….
https://www.theblock.co/post/156038/how-a-fake-job-offer-took-down-the-worlds-most-popular-crypto-game
TL;DR
Сотруднику сделали предложение от несуществующей компании, он скачал ПДФ на компьютер и понеслась….
https://www.theblock.co/post/156038/how-a-fake-job-offer-took-down-the-worlds-most-popular-crypto-game
The Block
How a fake job offer took down the world’s most popular crypto game
An engineer’s interest in joining what turned out to be a fictitious company led to March’s $540 million Axie Infinity hack.
😁30👍5🤯3👎2🔥1
Уволенный из Facebook сотрудник утверждает, что его уволили за вопросы о законности программы, в рамках которой некоторые сотрудники компании имели возможность восстановить удаленные пользователями данные. Такая практика нарушает правила регулирующих органов об информировании пользователей о политиках сохранения данных
https://www.bloomberg.com/news/articles/2022-07-07/facebook-accessed-deleted-user-data-fired-screener-claims
https://www.bloomberg.com/news/articles/2022-07-07/facebook-accessed-deleted-user-data-fired-screener-claims
Bloomberg
Facebook Accessed Deleted User Data, Fired Screener Claims
A former Facebook content screener says he was fired for raising alarms about a company protocol allowing employees to resurrect data that users deleted.
🤡38👎8🤔4👍3
С прошлой недели новость о том, что сеть отелей Marriott взломали. Да, еще раз. Взломали, похоже, сервер конкретной гостиницы в штате Мериленд, и ушли с 20ГБ данных сотрудников и клиентов компании.
https://www.databreaches.net/exclusive-marriott-hacked-again-yes-heres-what-we-know/
https://www.databreaches.net/exclusive-marriott-hacked-again-yes-heres-what-we-know/
🌚15🔥5😱4👎2😁2👍1😢1
но есть и хорошие новости. Великобритания пока решила не принимать (и судя по сигналам — отложить надолго) Online Safety Bill — законопроект, который должен был определить различные методы борьбы с вредным контентом в интернете. Для канала это релевантно, так как там шла речь о бэкдорах в системах шифрования сообщений
https://twitter.com/eleanormia/status/1547281952029523968
https://twitter.com/eleanormia/status/1547281952029523968
Twitter
Hearing that the Online Safety Bill has been dropped from government business next week with a view for it to "come back in the autumn" (aka when there's a new PM
Read: it's being dropped
Pretty key piece of govt legislation gone
Read: it's being dropped
Pretty key piece of govt legislation gone
👍29❤2👎1
пропустил историю про брелоки к автомобилям Honda, которые взломали исследователи безопасности. В процессе они научились перехватывать коды с расстояния в 30 метров, с возможностью открыть и завести автомобиль позже без ведома владельцев. Затрагивает модели с 2012 по 2022 годы, проблема, скорей всего, присутствует и в других автомобилях. Вроде как проблему можно починить апдейтом модуля, но Хонда на такую безопасность забивает
CVE-2021-46145
https://rollingpwn.github.io/rolling-pwn/
CVE-2021-46145
https://rollingpwn.github.io/rolling-pwn/
😱39🔥12👍3🥰2👎1
продолжая автомобильную тему. BWM рассказала недавно, что хочет брать деньги за подписку на подогрев сидений. Журналисты поговорили с хакерами, которые готовы делать “джейлбрейк” машинам для активации таких функций без подписки. Интересно, кто победит в этой гонке.
https://www.vice.com/en/article/7k8bv9/bmw-wants-to-charge-for-heated-seats-these-grey-market-hackers-will-fix-that
https://www.vice.com/en/article/7k8bv9/bmw-wants-to-charge-for-heated-seats-these-grey-market-hackers-will-fix-that
VICE
BMW Wants to Charge for Heated Seats. These Grey Market Hackers Will Fix That.
A vibrant community of BMW “coders” has modified the luxury vehicles for years. Now they’re ready to unlock BMW’s controversial heated seat subscription.
😁60👍14👎1👌1
неделя автомобильных новостей? есть такая компания Micodus, производит GPS-трекеры для автомобилей. Клиенты — различные компании с парком автомобилей, которые используют эти трекеры для мониторинга парков. впрочем, не только компании — государственные органы тоже. 1,5 миллиона трекеров, 420 тысяч клиентов по всему миру (хм, в среднем три трекера на клиент?).
Короче, исследователи нашли там 6 уязвимостей, которые позволяют просматривать местоположение автомобилей, историю перемещения, и даже отключать двигатель автомобиля находу. Одна из них — прописанный пароль в коде для полного контроля трекера. Исследователи связывались с производителем, но никакой реакции не получили и уязвимости не исправлены.
https://www.bleepingcomputer.com/news/security/popular-vehicle-gps-tracker-gives-hackers-admin-privileges-over-sms/
Короче, исследователи нашли там 6 уязвимостей, которые позволяют просматривать местоположение автомобилей, историю перемещения, и даже отключать двигатель автомобиля находу. Одна из них — прописанный пароль в коде для полного контроля трекера. Исследователи связывались с производителем, но никакой реакции не получили и уязвимости не исправлены.
https://www.bleepingcomputer.com/news/security/popular-vehicle-gps-tracker-gives-hackers-admin-privileges-over-sms/
BleepingComputer
Popular vehicle GPS tracker gives hackers admin privileges over SMS
Vulnerability researchers have found security issues in a GPS tracker that is advertised as being present in about 1.5 million vehicles in 169 countries.
😁33🔥8👍6😱3👎1🤯1💩1🤡1
If you installed Atlassian Questions For Confluence (vendor official plugin) it creates an accessible Confluence login with a default password.
https://twitter.com/GossiTheDog/status/1550030472503300096
https://twitter.com/GossiTheDog/status/1550030472503300096
😁30😱9👍4❤2👎2
У мессенджера, который утверждал, что у них используется сквозное шифрование, утекли незашифрованные переписки пользователей
https://techcrunch.com/2022/07/22/justalk-unencrypted/
https://techcrunch.com/2022/07/22/justalk-unencrypted/
TechCrunch
Messaging app JusTalk is spilling millions of unencrypted messages | TechCrunch
The app claims to be end-to-end encrypted, but user messages and phone numbers are logged in plaintext.
🤡151😁11👍5🥴4👎1
из рубрики “преступление и наказание” — за утечку 76 млн записей своих пользователей в США в 2021 году компания T-Mobile согласилась заплатить 350 млн долларов штрафа (еще 150 млн должно будет пойти на технологии обеспечения безопасности данных). Из 350 млн долларов там, скорей всего, половина уйдет юристам, остальные копейки раздадут некоторым пользователям. Доход компании в 2021 году составил более 80 млрд долларов.
https://www.theverge.com/2022/7/22/23274833/t-mobile-2021-hack-settlement-lawsuit-500-million
https://www.theverge.com/2022/7/22/23274833/t-mobile-2021-hack-settlement-lawsuit-500-million
The Verge
T-Mobile agrees to $350 million settlement over its massive 2021 data breach
T-Mobile was sued after the huge hack.
🤡50👍8🤔2👎1
😁76😱26💩11🤬3👍2👎2😢2
Google рассказывает о приложении, которое опубликовала группировка Turla, известная своей принадлежностью к ФСБ. Приложение должно было “организовать DDoS атаки против российских сайтов”, а на самом деле пыталось собирать информацию о пользователях приложений. Особого распространения приложение не получило.
https://blog.google/threat-analysis-group/continued-cyber-activity-in-eastern-europe-observed-by-tag/
https://blog.google/threat-analysis-group/continued-cyber-activity-in-eastern-europe-observed-by-tag/
Google
Continued cyber activity in Eastern Europe observed by TAG
Google’s Threat Analysis Group (TAG) continues to closely monitor the cybersecurity environment in Eastern Europe with regard to the war in Ukraine. Many Russian government cyber assets have remained focused on Ukraine and related issues since the invasion…
😁41👍5💩4👎2🤬1
TeamViewer тут поймали за тем, что он устанавливал подозрительный шрифт, который очень подходит для web fingerprinting. компания утверждает, что удалит шрифт в будущем.
https://www.ctrl.blog/entry/teamviewer-font-privacy.html
https://www.ctrl.blog/entry/teamviewer-font-privacy.html
Ctrl.blog
TeamViewer installs suspicious font only useful for web fingerprinting
A weird almost unreadable font file bundled with TeamViewer for Windows software lets website detect if you’ve installed the software. Raises privacy concerns.
😁42🤡11🔥8💩5👎4🥴4👍3👏2🌚2