Потому что за утечки пользовательских данных платить много не хочется, да и тратиться на обеспечение безопасности этих данных тоже не хочется

https://incrussia.ru/news/fond-dlya-vyplat/

информация о геолокации опасносте

https://habr.com/ru/post/694984/

Эпол наконец-то запустила полноценный вебсайт по поводу своей программы по кибербезопасноти, выплатам за обнаруженные проблемы, и получении устройств для исследований. Но выплаты все равно будет минимизировать

https://security.apple.com

кстати про Эпол. там вышли iOS 16.1/iPadOS 16.1, и количество критических CVE в них достаточно большое, чтобы не оттягивать с установкой. Включая даже такое:

Impact: An application may be able to execute arbitrary code with kernel privileges. Apple is aware of a report that this issue may have been actively exploited.

https://support.apple.com/en-us/HT213489

читатель прислал тут. актуально для жителей Беларуси

https://just-eat.by/nas-vzlomali.html

за такие breach disclosure я бы, конечно, гнал из профессии, но там у них, поди, админ на полставки — вторая полставки уборщиком по ночам.

дополнение: ...про утечку персональнызх данных из сервиса доставки еды было известно 07.10 от регулятора

https://cpd.by/podtverzhden-fakt-utechki-personalnyh-dannyh-v-odnom-iz-servisov-dostavki-edy/

Не знаю, насколько правда — склоняюсь, что нет, но забавно: якобы Cisco удаленно отконфигурировало пользователям в рф беспроводные точки доступа в открытый бесплатный доступ
(платов, похоже, текст потер, а батранков все еще нет)

но все не так ужасно, как могло бы показаться. затрагивает только версии с 3.0.0 по 3.0.6, эксплуатация нетривиальна, но оттягивать апдейт тоже не стоит

https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
https://www.openssl.org/news/secadv/20221101.txt

Кто-то в AstraZeneca оставил на GitHub набор внутренних паролей, что открыло доступ к облачной системе с данными пациентов.

https://techcrunch.com/2022/11/03/astrazeneca-passwords-exposed-patient-data/

В письме, разосланном в госструктуры и банки, Минцифры попросило «в возможно короткие сроки» уточнить, какие VPN-сервисы они используют или планируют использовать, а также в каких целях они это делают и в каких локациях. В опросном листе компания должна указать название и тип VPN, систему, интернет-ресурс и т. д., для использования которых необходим VPN, в том числе в технологических целях (банки/банкоматы, платежные системы, системы хранения данных и т. п.), а также город, регион России или страну использования.

Блокировке оставшихся сервисов VPN быть?

https://www.vedomosti.ru/technology/articles/2022/11/08/949240-roskosmos-rosteh-i-banki-otchitayutsya-ob-ispolzovanii-vpn?from=newsline

Изменения затронут только Россию — для пользователей за пределами страны набор функций и VPN-серверов не изменится. Русскоязычная версия приложения останется на сайтах компании и в магазинах приложений. В пресс-службе компании отказались комментировать «Интерфаксу» причины отключения VPN-приложения.


https://vc.ru/services/535076-laboratoriya-kasperskogo-otklyuchit-svoy-vpn-servis-v-rossii

ноябрьский Patch Tuesday у Microsoft. 68 уязвимостей, включая 4 zero day

-CVE-2022-41128, JScript9 RCE, via Google TAG
-CVE-2022-41091, MOTW bypass
-CVE-2022-41073, Print spooler EoP, via MSTIC
-CVE-2022-41125, CNG EoP

https://rawcdn.githack.com/campuscodi/Microsoft-Patch-Tuesday-Security-Reports/1a976afcf461b6f104d40601305e4c9773175f57/Reports/MSRC_CVEs2022-Nov.html

К слову о патчах Microsoft - пара CVE в Windows Server

https://support.microsoft.com/en-us/topic/kb5021131-how-to-manage-the-kerberos-protocol-changes-related-to-cve-2022-37966-fd837ac3-cdec-4e76-a6ec-86e67501407d

https://support.microsoft.com/en-us/topic/kb5020805-how-to-manage-kerberos-protocol-changes-related-to-cve-2022-37967-997e9acc-67c5-48e1-8d0d-190269bf4efb

«Проукраинские» хакеры похитили данные пользователей подконтрольного «Газпром-медиа» сервиса Yappy, сообщают профильные Telegram-каналы и подтверждают источники «Ъ». В открытом доступе оказались таблицы на 2 млн строк, в них содержатся ФИО, мобильные телефоны, даты регистрации и другие данные пользователей сервиса. Эксперты предполагают, что злоумышленники получили доступ к данным через аккаунт одного из администраторов сервиса.

https://www.kommersant.ru/doc/5653066

для macOS/iOS тоже вышли апдейты (macOS 13.0.1 и iOS 16.1.1/iPadOS 16.1.1), исправляющие парочку CVE

https://support.apple.com/en-us/HT213504
https://support.apple.com/en-us/HT213505

По информации телеграм канала @Data1eaks, в базе содержатся 7.237.427 уникальных телефонов, которые уже доступны в боте @PhoneLeaks_bot. На популярном хакерском форуме продается полная база данных. Файл с промокодами и два файла с пользователями содержат следующие поля:

• Имя;
• Эл. почта;
• Телефон;
• Часть данных банковских карт;
• Другие детали.

https://www.securitylab.ru/news/534762.php

А что случилось? куда подевались суверенные сертификаты?

как чувак нашел уязвимость в Google Pixel, позволявшую разблокировать любой заблокированный телефон и получил за это 70 тыс долларов

https://bugs.xdavidhu.me/google/2022/11/10/accidental-70k-google-pixel-lock-screen-bypass/

https://source.android.com/docs/security/bulletin/2022-11-01

на протяжении последних пары недель было несколько новостей о том, что Apple активно собирает из своих приложений продуктовую аналитику, даже если пользователь при настройке телефона указывал свое несогласие отправлять аналитику в Apple. Теперь за это против Apple подали иск в суд

https://news.bloomberglaw.com/litigation/apple-hit-with-class-action-over-tracking-of-mobile-app-activity
https://www.bloomberglaw.com/public/desktop/document/LibmanvAppleIncDocketNo522cv07069NDCalNov102022CourtDocket?1668427016

https://gizmodo.com/apple-iphone-analytics-tracking-even-when-off-app-store-1849757558

https://www.youtube.com/watch?v=8JxvH80Rrcw