но все не так ужасно, как могло бы показаться. затрагивает только версии с 3.0.0 по 3.0.6, эксплуатация нетривиальна, но оттягивать апдейт тоже не стоит
https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
https://www.openssl.org/news/secadv/20221101.txt
https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
https://www.openssl.org/news/secadv/20221101.txt
👍13🖕1
Кто-то в AstraZeneca оставил на GitHub набор внутренних паролей, что открыло доступ к облачной системе с данными пациентов.
https://techcrunch.com/2022/11/03/astrazeneca-passwords-exposed-patient-data/
https://techcrunch.com/2022/11/03/astrazeneca-passwords-exposed-patient-data/
TechCrunch
AstraZeneca password lapse exposed patient data | TechCrunch
Internal passwords were online for more than a year before a good-faith security researcher found them.
🔥58😁29🤯8❤🔥6🌚2🖕2👍1👏1🤬1
В письме, разосланном в госструктуры и банки, Минцифры попросило «в возможно короткие сроки» уточнить, какие VPN-сервисы они используют или планируют использовать, а также в каких целях они это делают и в каких локациях. В опросном листе компания должна указать название и тип VPN, систему, интернет-ресурс и т. д., для использования которых необходим VPN, в том числе в технологических целях (банки/банкоматы, платежные системы, системы хранения данных и т. п.), а также город, регион России или страну использования.
Блокировке оставшихся сервисов VPN быть?
https://www.vedomosti.ru/technology/articles/2022/11/08/949240-roskosmos-rosteh-i-banki-otchitayutsya-ob-ispolzovanii-vpn?from=newsline
Блокировке оставшихся сервисов VPN быть?
https://www.vedomosti.ru/technology/articles/2022/11/08/949240-roskosmos-rosteh-i-banki-otchitayutsya-ob-ispolzovanii-vpn?from=newsline
Ведомости
«Роскосмос», «Ростех» и банки отчитаются об использовании VPN
Это смогло бы предотвратить сбои в работе компаний в случае блокировки VPN-протоколов, подозревают эксперты
🤡39😁15👍11🖕7💩6❤🔥1👎1😱1
Изменения затронут только Россию — для пользователей за пределами страны набор функций и VPN-серверов не изменится. Русскоязычная версия приложения останется на сайтах компании и в магазинах приложений. В пресс-службе компании отказались комментировать «Интерфаксу» причины отключения VPN-приложения.
https://vc.ru/services/535076-laboratoriya-kasperskogo-otklyuchit-svoy-vpn-servis-v-rossii
https://vc.ru/services/535076-laboratoriya-kasperskogo-otklyuchit-svoy-vpn-servis-v-rossii
vc.ru
«Лаборатория Касперского» отключит свой VPN-сервис в России — Сервисы на vc.ru
С 2019 года Kaspersky Secure Connection блокирует доступ к запрещённым в стране сайтам.
😁51🤡43🤔11💩9🖕6👍5🤩2❤1🤬1
ноябрьский Patch Tuesday у Microsoft. 68 уязвимостей, включая 4 zero day
-CVE-2022-41128, JScript9 RCE, via Google TAG
-CVE-2022-41091, MOTW bypass
-CVE-2022-41073, Print spooler EoP, via MSTIC
-CVE-2022-41125, CNG EoP
https://rawcdn.githack.com/campuscodi/Microsoft-Patch-Tuesday-Security-Reports/1a976afcf461b6f104d40601305e4c9773175f57/Reports/MSRC_CVEs2022-Nov.html
-CVE-2022-41128, JScript9 RCE, via Google TAG
-CVE-2022-41091, MOTW bypass
-CVE-2022-41073, Print spooler EoP, via MSTIC
-CVE-2022-41125, CNG EoP
https://rawcdn.githack.com/campuscodi/Microsoft-Patch-Tuesday-Security-Reports/1a976afcf461b6f104d40601305e4c9773175f57/Reports/MSRC_CVEs2022-Nov.html
🤔16🖕4👍1🤡1🥱1
К слову о патчах Microsoft - пара CVE в Windows Server
https://support.microsoft.com/en-us/topic/kb5021131-how-to-manage-the-kerberos-protocol-changes-related-to-cve-2022-37966-fd837ac3-cdec-4e76-a6ec-86e67501407d
https://support.microsoft.com/en-us/topic/kb5020805-how-to-manage-kerberos-protocol-changes-related-to-cve-2022-37967-997e9acc-67c5-48e1-8d0d-190269bf4efb
https://support.microsoft.com/en-us/topic/kb5021131-how-to-manage-the-kerberos-protocol-changes-related-to-cve-2022-37966-fd837ac3-cdec-4e76-a6ec-86e67501407d
https://support.microsoft.com/en-us/topic/kb5020805-how-to-manage-kerberos-protocol-changes-related-to-cve-2022-37967-997e9acc-67c5-48e1-8d0d-190269bf4efb
👍10🖕3🤡1
«Проукраинские» хакеры похитили данные пользователей подконтрольного «Газпром-медиа» сервиса Yappy, сообщают профильные Telegram-каналы и подтверждают источники «Ъ». В открытом доступе оказались таблицы на 2 млн строк, в них содержатся ФИО, мобильные телефоны, даты регистрации и другие данные пользователей сервиса. Эксперты предполагают, что злоумышленники получили доступ к данным через аккаунт одного из администраторов сервиса.
https://www.kommersant.ru/doc/5653066
https://www.kommersant.ru/doc/5653066
Коммерсантъ
Yappy пошел по стопам Rutube
Хакеры взломали еще один сервис «Газпром-медиа»
👍44🎉24🤔8😁6👎3🔥2🤯2🖕1
для macOS/iOS тоже вышли апдейты (macOS 13.0.1 и iOS 16.1.1/iPadOS 16.1.1), исправляющие парочку CVE
https://support.apple.com/en-us/HT213504
https://support.apple.com/en-us/HT213505
https://support.apple.com/en-us/HT213504
https://support.apple.com/en-us/HT213505
Apple Support
About the security content of macOS Ventura 13.0.1
This document describes the security content of macOS Ventura 13.0.1.
🏆10👍4🖕2
По информации телеграм канала @Data1eaks, в базе содержатся 7.237.427 уникальных телефонов, которые уже доступны в боте @PhoneLeaks_bot. На популярном хакерском форуме продается полная база данных. Файл с промокодами и два файла с пользователями содержат следующие поля:
• Имя;
• Эл. почта;
• Телефон;
• Часть данных банковских карт;
• Другие детали.
https://www.securitylab.ru/news/534762.php
• Имя;
• Эл. почта;
• Телефон;
• Часть данных банковских карт;
• Другие детали.
https://www.securitylab.ru/news/534762.php
SecurityLab.ru
Выставлена на продажу база данных пользователей Whoosh
База актуальная на ноябрь 2022 года.
👍13🤡8🔥2🖕2😢1
как чувак нашел уязвимость в Google Pixel, позволявшую разблокировать любой заблокированный телефон и получил за это 70 тыс долларов
https://bugs.xdavidhu.me/google/2022/11/10/accidental-70k-google-pixel-lock-screen-bypass/
https://source.android.com/docs/security/bulletin/2022-11-01
https://bugs.xdavidhu.me/google/2022/11/10/accidental-70k-google-pixel-lock-screen-bypass/
https://source.android.com/docs/security/bulletin/2022-11-01
bugs.xdavidhu.me
Accidental $70k Google Pixel Lock Screen Bypass
David Schütz's bug bounty writeups
👍37🖕3
на протяжении последних пары недель было несколько новостей о том, что Apple активно собирает из своих приложений продуктовую аналитику, даже если пользователь при настройке телефона указывал свое несогласие отправлять аналитику в Apple. Теперь за это против Apple подали иск в суд
https://news.bloomberglaw.com/litigation/apple-hit-with-class-action-over-tracking-of-mobile-app-activity
https://www.bloomberglaw.com/public/desktop/document/LibmanvAppleIncDocketNo522cv07069NDCalNov102022CourtDocket?1668427016
https://gizmodo.com/apple-iphone-analytics-tracking-even-when-off-app-store-1849757558
https://www.youtube.com/watch?v=8JxvH80Rrcw
https://news.bloomberglaw.com/litigation/apple-hit-with-class-action-over-tracking-of-mobile-app-activity
https://www.bloomberglaw.com/public/desktop/document/LibmanvAppleIncDocketNo522cv07069NDCalNov102022CourtDocket?1668427016
https://gizmodo.com/apple-iphone-analytics-tracking-even-when-off-app-store-1849757558
https://www.youtube.com/watch?v=8JxvH80Rrcw
Bloomberg Law
Apple Hit With Class Action Over Tracking of Mobile App Activity
Apple Inc. records users’ private activity on mobile applications without their consent and despite its privacy assurances in violation of the California Invasion of Privacy Act, a new proposed federal class action alleged.
👍70🖕7🎉1
в принципе, трех минут достаточно должно быть
https://www.smh.com.au/national/queensland/hackers-show-porn-on-brisbane-billboard-for-three-minutes-20221121-p5bzyc.html
https://www.smh.com.au/national/queensland/hackers-show-porn-on-brisbane-billboard-for-three-minutes-20221121-p5bzyc.html
The Sydney Morning Herald
Hackers show porn on Brisbane billboard for three minutes
A prominent billboard on one of Brisbane’s busiest roads was illegally modified to display pornography.
😁61👍3🔥2🖕2
“We assessed the vulnerable component to be the Boa web server, which is often used to access settings and management consoles and sign-in screens in devices. Despite being discontinued in 2005, the Boa web server continues to be implemented by different vendors across a variety of IoT devices and popular software development kits (SDKs). Without developers managing the Boa web server, its known vulnerabilities could allow attackers to silently gain access to networks by collecting information from files. Moreover, those affected may be unaware that their devices run services using the discontinued Boa web server, and that firmware updates and downstream patches do not address its known vulnerabilities.”
https://www.microsoft.com/en-us/security/blog/2022/11/22/vulnerable-sdk-components-lead-to-supply-chain-risks-in-iot-and-ot-environments/
https://www.microsoft.com/en-us/security/blog/2022/11/22/vulnerable-sdk-components-lead-to-supply-chain-risks-in-iot-and-ot-environments/
Microsoft News
Vulnerable SDK components lead to supply chain risks in IoT and OT environments
As vulnerabilities in network components, architecture files, and developer tools have become an increasingly popular attack vector to leverage access into secure networks and devices, Microsoft identified such a vulnerable component and found evidence of…
😁15👍9🖕1
интересно, что “взлом whatsapp”, о котором успели написать некоторые издания (“500 миллионов украли!!!”), и не взлом вовсе
https://www.linkedin.com/posts/alon-gal-utb_whatsapp-notabreach-stopscrapingyoulittleshits-activity-7001821915610800128-nSR_/
(вот пример такой статьи о взломе https://cybernews.com/news/whatsapp-data-leak/)
https://www.linkedin.com/posts/alon-gal-utb_whatsapp-notabreach-stopscrapingyoulittleshits-activity-7001821915610800128-nSR_/
(вот пример такой статьи о взломе https://cybernews.com/news/whatsapp-data-leak/)
Linkedin
Alon Gal on LinkedIn: #whatsapp #notabreach #stopscrapingyoulittleshits
The #Whatsapp breach rumors that are circulating are false.
This is a sample I received, they basically scraped all numbers to see if there is a Whatsapp…
This is a sample I received, they basically scraped all numbers to see if there is a Whatsapp…
👻19👍1😱1🖕1
Хоть что-то хорошее от прихода Маска в Твиттер - говорят, что на базе протокола Signal сделают сквозное шифрование для direct messages в сервисе. Посмотрим, как они это объединят между вебом и разными клиентами, включая сторонние.
https://www.tesmanian.com/blogs/tesmanian-blog/twitter-will-adopt-the-signal-protocol-for-encrypted-dms-says-security-researcher
https://www.tesmanian.com/blogs/tesmanian-blog/twitter-will-adopt-the-signal-protocol-for-encrypted-dms-says-security-researcher
TESMANIAN
Twitter Will Adopt Signal Protocol for Encrypted DMs, Says Security Researcher
Twitter continues to improve and may soon use Signal Protocol with end-to-end encryption in Twitter messages, showed lines of code discovered by a security researcher. The move will be in line with Elon Musk's earlier announcement that the platform will be…
❤28👍7🤡4🤔3🖕1
Ирландия продолжает штрафовать Фейсбук за утечку данных 500 млн пользователей, теперь еще на 275 млн долларов. Всего сумма штрафа приближается уже к 1млрд долларов. Тогда, напомню, у многих юзеров утекли имейлы, номера телефонов и у некоторых — геолокационные данные.
https://www.thestreet.com/social-media/meta-fined-275-million-in-irish-data-leak-case
https://www.thestreet.com/social-media/meta-fined-275-million-in-irish-data-leak-case
TheStreet
Meta Fined $275 Million in Irish Data Leak Case
Irish data regulators have fined Facebook's parent company a total of nearly $1 billion related to data breaches.
🥰37👍14🔥2🤔1🤡1🖕1
29 уязвимостей в драйверах Nvidia, включая пару весьма критичныэ. к счастью, исправлены последним апдейтом
https://www.bleepingcomputer.com/news/security/nvidia-releases-gpu-driver-update-to-fix-29-security-flaws/
https://www.bleepingcomputer.com/news/security/nvidia-releases-gpu-driver-update-to-fix-29-security-flaws/
BleepingComputer
NVIDIA releases GPU driver update to fix 29 security flaws
NVIDIA has released a security update for its GPU display driver for Windows, containing a fix for a high-severity flaw that threat actors can exploit to perform, among other things, code execution and privilege escalation.
💔13👍8🖕2
какаято мутная история про то, что камеры Eufy якобы закидывают в свое облако картинки с камеры, даже если облачная функциональность у камеры отключена — пока что это касается превьюшек с видео. Там дальше начинается еще более странное что-то, про то, что стримы с камер можно смотреть с помощью VLC, а данные при этом передаются без шфирования (хотя, конечно же, компания на сайте рассказывает про military grade encryption. я обычно как вижу такое обещание, сразу думаю “пиздят”). там есть и ответ компании про то, что такие превьюшки нужны для уведомлений через пуши об обнаружении объектов на видео, и потом они удаляются. и компания сожалеет, что толком этого не объяснила. ну не знаю, “без облака” должно значить “без облака”, и нефиг тут.
https://www.macrumors.com/2022/11/29/eufy-camera-cloud-uploads-no-user-consent/
https://www.macrumors.com/2022/11/29/eufy-camera-cloud-uploads-no-user-consent/
MacRumors
Anker's Eufy Cameras Caught Uploading Content to the Cloud Without User Consent [Updated]
Anker's popular Eufy-branded security cameras appear to be sending some data to the cloud, even when cloud storage is disabled and local only...
🔥13👍10😁8🤬3👏1🖕1