Эпол тут опять чтото сломала в своей системе, и некоторые системные приложения ходят в интернет мимо VPN-тоннелей, которые могут быть подняты на iPhone в этот момент
https://twitter.com/mysk_co/status/1579997801047822336?
Данные, которые ходят мимо VPN — данные о здоровье, кошелек, карты. Сами они по себе тоже обладают сквозным шифрованием, но сам факт удручает. Возможно, все закончится каким-то системным апдейтом с решением этой ситуации, но пока что Эпол молчит
если вы испытываете чувство дежавю, как я, то вот, например, новость об этом из далекого 2020 года, где похожая ботва уже происходила. Там же и апдейт по поводу текущей ситуации
https://protonvpn.com/blog/apple-ios-vulnerability-disclosure/
https://twitter.com/mysk_co/status/1579997801047822336?
Данные, которые ходят мимо VPN — данные о здоровье, кошелек, карты. Сами они по себе тоже обладают сквозным шифрованием, но сам факт удручает. Возможно, все закончится каким-то системным апдейтом с решением этой ситуации, но пока что Эпол молчит
если вы испытываете чувство дежавю, как я, то вот, например, новость об этом из далекого 2020 года, где похожая ботва уже происходила. Там же и апдейт по поводу текущей ситуации
https://protonvpn.com/blog/apple-ios-vulnerability-disclosure/
Twitter
We confirm that iOS 16 does communicate with Apple services outside an active VPN tunnel. Worse, it leaks DNS requests. #Apple services that escape the VPN connection include Health, Maps, Wallet.
We used @ProtonVPN and #Wireshark. Details in the video:
…
We used @ProtonVPN and #Wireshark. Details in the video:
…
🖕27👍8🤬5🔥3😁2🤔2
Стоимость взломанных аккаунтов. А телеграм-аккаунты ваши ничего не стоят
https://atlasvpn.com/blog/hacked-tiktok-accounts-cost-less-than-a-mcdonalds-meal
https://atlasvpn.com/blog/hacked-tiktok-accounts-cost-less-than-a-mcdonalds-meal
😁54👍8👎3🖕2
Потому что за утечки пользовательских данных платить много не хочется, да и тратиться на обеспечение безопасности этих данных тоже не хочется
https://incrussia.ru/news/fond-dlya-vyplat/
https://incrussia.ru/news/fond-dlya-vyplat/
Inc. Russia
«Яндекс», VK, «Сбер» и другие IT-компании раскритиковали идею фонда для выплат пострадавшим от утечек данных
Ассоциация больших данных (АБД), объединяющая «Яндекс», VK, «Сбер», «Ростелеком» и другие IT-компании, раскритиковала инициативу Минцифры о создании фонда материальной компенсации для граждан, которые пострадали из-за утечки персональных данных. Для его финансирования…
🤡98😁12🖕8👍3❤1
Эпол наконец-то запустила полноценный вебсайт по поводу своей программы по кибербезопасноти, выплатам за обнаруженные проблемы, и получении устройств для исследований. Но выплаты все равно будет минимизировать
https://security.apple.com
https://security.apple.com
Apple Security Research
Hear about the latest advances in Apple security from our engineering teams, send us your own research, and work directly with us to be recognized and rewarded for helping keep our users safe.
👍12🤡11🖕4
OpenSSL 3.0.7 is a security-fix release. The highest severity issue
fixed in this release is CRITICAL:https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html
😱26👍3🤔3🖕1
кстати про Эпол. там вышли iOS 16.1/iPadOS 16.1, и количество критических CVE в них достаточно большое, чтобы не оттягивать с установкой. Включая даже такое:
Impact: An application may be able to execute arbitrary code with kernel privileges. Apple is aware of a report that this issue may have been actively exploited.
https://support.apple.com/en-us/HT213489
Impact: An application may be able to execute arbitrary code with kernel privileges. Apple is aware of a report that this issue may have been actively exploited.
https://support.apple.com/en-us/HT213489
Apple Support
About the security content of iOS 16.1 and iPadOS 16
This document describes the security content of iOS 16.1 and iPadOS 16.
👍20😁7🖕1
читатель прислал тут. актуально для жителей Беларуси
https://just-eat.by/nas-vzlomali.html
за такие breach disclosure я бы, конечно, гнал из профессии, но там у них, поди, админ на полставки — вторая полставки уборщиком по ночам.
дополнение: ...про утечку персональнызх данных из сервиса доставки еды было известно 07.10 от регулятора
https://cpd.by/podtverzhden-fakt-utechki-personalnyh-dannyh-v-odnom-iz-servisov-dostavki-edy/
https://just-eat.by/nas-vzlomali.html
за такие breach disclosure я бы, конечно, гнал из профессии, но там у них, поди, админ на полставки — вторая полставки уборщиком по ночам.
дополнение: ...про утечку персональнызх данных из сервиса доставки еды было известно 07.10 от регулятора
https://cpd.by/podtverzhden-fakt-utechki-personalnyh-dannyh-v-odnom-iz-servisov-dostavki-edy/
just-eat.by
Нас взломали
🖕9👍5🥰2
но все не так ужасно, как могло бы показаться. затрагивает только версии с 3.0.0 по 3.0.6, эксплуатация нетривиальна, но оттягивать апдейт тоже не стоит
https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
https://www.openssl.org/news/secadv/20221101.txt
https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
https://www.openssl.org/news/secadv/20221101.txt
👍13🖕1
Кто-то в AstraZeneca оставил на GitHub набор внутренних паролей, что открыло доступ к облачной системе с данными пациентов.
https://techcrunch.com/2022/11/03/astrazeneca-passwords-exposed-patient-data/
https://techcrunch.com/2022/11/03/astrazeneca-passwords-exposed-patient-data/
TechCrunch
AstraZeneca password lapse exposed patient data | TechCrunch
Internal passwords were online for more than a year before a good-faith security researcher found them.
🔥58😁29🤯8❤🔥6🌚2🖕2👍1👏1🤬1
В письме, разосланном в госструктуры и банки, Минцифры попросило «в возможно короткие сроки» уточнить, какие VPN-сервисы они используют или планируют использовать, а также в каких целях они это делают и в каких локациях. В опросном листе компания должна указать название и тип VPN, систему, интернет-ресурс и т. д., для использования которых необходим VPN, в том числе в технологических целях (банки/банкоматы, платежные системы, системы хранения данных и т. п.), а также город, регион России или страну использования.
Блокировке оставшихся сервисов VPN быть?
https://www.vedomosti.ru/technology/articles/2022/11/08/949240-roskosmos-rosteh-i-banki-otchitayutsya-ob-ispolzovanii-vpn?from=newsline
Блокировке оставшихся сервисов VPN быть?
https://www.vedomosti.ru/technology/articles/2022/11/08/949240-roskosmos-rosteh-i-banki-otchitayutsya-ob-ispolzovanii-vpn?from=newsline
Ведомости
«Роскосмос», «Ростех» и банки отчитаются об использовании VPN
Это смогло бы предотвратить сбои в работе компаний в случае блокировки VPN-протоколов, подозревают эксперты
🤡39😁15👍11🖕7💩6❤🔥1👎1😱1
Изменения затронут только Россию — для пользователей за пределами страны набор функций и VPN-серверов не изменится. Русскоязычная версия приложения останется на сайтах компании и в магазинах приложений. В пресс-службе компании отказались комментировать «Интерфаксу» причины отключения VPN-приложения.
https://vc.ru/services/535076-laboratoriya-kasperskogo-otklyuchit-svoy-vpn-servis-v-rossii
https://vc.ru/services/535076-laboratoriya-kasperskogo-otklyuchit-svoy-vpn-servis-v-rossii
vc.ru
«Лаборатория Касперского» отключит свой VPN-сервис в России — Сервисы на vc.ru
С 2019 года Kaspersky Secure Connection блокирует доступ к запрещённым в стране сайтам.
😁51🤡43🤔11💩9🖕6👍5🤩2❤1🤬1
ноябрьский Patch Tuesday у Microsoft. 68 уязвимостей, включая 4 zero day
-CVE-2022-41128, JScript9 RCE, via Google TAG
-CVE-2022-41091, MOTW bypass
-CVE-2022-41073, Print spooler EoP, via MSTIC
-CVE-2022-41125, CNG EoP
https://rawcdn.githack.com/campuscodi/Microsoft-Patch-Tuesday-Security-Reports/1a976afcf461b6f104d40601305e4c9773175f57/Reports/MSRC_CVEs2022-Nov.html
-CVE-2022-41128, JScript9 RCE, via Google TAG
-CVE-2022-41091, MOTW bypass
-CVE-2022-41073, Print spooler EoP, via MSTIC
-CVE-2022-41125, CNG EoP
https://rawcdn.githack.com/campuscodi/Microsoft-Patch-Tuesday-Security-Reports/1a976afcf461b6f104d40601305e4c9773175f57/Reports/MSRC_CVEs2022-Nov.html
🤔16🖕4👍1🤡1🥱1
К слову о патчах Microsoft - пара CVE в Windows Server
https://support.microsoft.com/en-us/topic/kb5021131-how-to-manage-the-kerberos-protocol-changes-related-to-cve-2022-37966-fd837ac3-cdec-4e76-a6ec-86e67501407d
https://support.microsoft.com/en-us/topic/kb5020805-how-to-manage-kerberos-protocol-changes-related-to-cve-2022-37967-997e9acc-67c5-48e1-8d0d-190269bf4efb
https://support.microsoft.com/en-us/topic/kb5021131-how-to-manage-the-kerberos-protocol-changes-related-to-cve-2022-37966-fd837ac3-cdec-4e76-a6ec-86e67501407d
https://support.microsoft.com/en-us/topic/kb5020805-how-to-manage-kerberos-protocol-changes-related-to-cve-2022-37967-997e9acc-67c5-48e1-8d0d-190269bf4efb
👍10🖕3🤡1
«Проукраинские» хакеры похитили данные пользователей подконтрольного «Газпром-медиа» сервиса Yappy, сообщают профильные Telegram-каналы и подтверждают источники «Ъ». В открытом доступе оказались таблицы на 2 млн строк, в них содержатся ФИО, мобильные телефоны, даты регистрации и другие данные пользователей сервиса. Эксперты предполагают, что злоумышленники получили доступ к данным через аккаунт одного из администраторов сервиса.
https://www.kommersant.ru/doc/5653066
https://www.kommersant.ru/doc/5653066
Коммерсантъ
Yappy пошел по стопам Rutube
Хакеры взломали еще один сервис «Газпром-медиа»
👍44🎉24🤔8😁6👎3🔥2🤯2🖕1