Вредоносные расширения для Visual Studio уже в маркетплейсе VS
https://blog.checkpoint.com/securing-the-cloud/malicious-vscode-extensions-with-more-than-45k-downloads-steal-pii-and-enable-backdoors/
https://blog.checkpoint.com/securing-the-cloud/malicious-vscode-extensions-with-more-than-45k-downloads-steal-pii-and-enable-backdoors/
Check Point Blog
VSCode Security: Malicious Extensions Detected- More Than 45,000 Downloads- PII Exposed, and Backdoors Enabled - Check Point Blog
Highlights: CloudGuard Spectral detected malicious extensions on the VSCode marketplace Users installing these extensions were enabling attackers to steal
🔥27😁14🫡7🤡5👍3😢3🥱2🎉1
Отправляете кому-то защищенный паролем ZIP-архив? ничего, Microsoft все равно просканирует его содержимое
https://arstechnica.com/information-technology/2023/05/microsoft-is-scanning-the-inside-of-password-protected-zip-files-for-malware/
Дополнение от читателя:
“Относительно проверки зашифрованных архивов и того что майрософт лезет в них — все намного проще. Файлы в шифрованных ZIP-архивы имеют нешифрованные CRC-чеки и имена файлов, по котором можно проверять их с базой сигнатур. Этим занимаются все антивирусные ПО сейчас”
https://arstechnica.com/information-technology/2023/05/microsoft-is-scanning-the-inside-of-password-protected-zip-files-for-malware/
Дополнение от читателя:
“Относительно проверки зашифрованных архивов и того что майрософт лезет в них — все намного проще. Файлы в шифрованных ZIP-архивы имеют нешифрованные CRC-чеки и имена файлов, по котором можно проверять их с базой сигнатур. Этим занимаются все антивирусные ПО сейчас”
Ars Technica
Microsoft is scanning the inside of password-protected zip files for malware
If you think a password prevents scanning in the cloud, think again.
🤡51👍17🔥3🖕3🤯2🤬2🙈1
Forwarded from BBC News | Русская служба
Утечки из Пентагона: Джека Тейшейру трижды предупреждали о его чрезмерном интересе к разведданным
Прокуроры в США предоставили суду новые документы, демонстрирующие, что младший офицер Национальной гвардии Джек Тейшейра, которого обвиняют в недавней гигантской утечке секретов Пентагона, неоднократно игнорировал предупреждения от своего начальства о неподобающем обращении с секретными материалами.
В настоящий момент обвинители добиваются того, чтобы 21-летнего технического служащего военной базы не выпускали из-под стражи домой дожидаться, пока начнется суд. Опубликованные в ночь на четверг документы – это один из их аргументов в пользу того, чтобы Тейшейра оставался под стражей.
Прокуратура утверждает, что в 2022 году Тейшейра дважды получил выговор за "вызывающие беспокойство" действия, связанные с секретной информацией.
🔻В сентябре 2022 года начальство заметило, что Тейшейра делал записи о секретных разведывательных данных и клал эти конспекты себе в карман. После этого ему приказали больше так не делать.
🔻Но в октябре 2022 года в отношении Тейшейры появилась новая служебная запись. В ней говорится, что он "потенциально игнорирует распоряжение о прекращении и невозобновлении действий, связанных с глубоким изучением разведданных", полученное им месяцем ранее.
В этой записи поясняется, что Тейшейра задавал "очень конкретные вопросы" во время совещания, после чего ему приказали сосредоточиться на своей работе, а не на том, чтобы глубоко закапываться в разведывательную информацию.
🔻В третьей записи, датированной февралем 2023 года, говорится, что Тейшейра был замечен за просмотром информации, "которая не была связана с его основными обязанностями и имела отношение к разведке". Там также отмечено, что раньше его уже призывали прекратить подобную деятельность.
––
Пока остается неясным, почему руководство Тейшейры ограничивалось лишь подобными предупреждениями, не сделав никаких конкретных шагов по пресечению его доступа к настолько серьезной развединформации.
Суд в штате Массачусетс в ближайшие дни должен решить, оставлять ли Тейшейру за решеткой, пока он дожидается суда. Его адвокаты просят передать его на это время под присмотр отца, уверяя, что у обвиняемого нет намерений бежать от правосудия.
Тейшейру обвиняют в том, что он выложил огромные массивы секретных документов в чате на социальной платформе, популярной среди геймеров. Эту утечку называют крупнейшей как минимум за десятилетие.
В просочившихся документах подробно описывается помощь США и НАТО Украине, а также оценки американской разведки в отношении союзников, которые могут обострить отношения с этими странами.
@bbcrussian
Прокуроры в США предоставили суду новые документы, демонстрирующие, что младший офицер Национальной гвардии Джек Тейшейра, которого обвиняют в недавней гигантской утечке секретов Пентагона, неоднократно игнорировал предупреждения от своего начальства о неподобающем обращении с секретными материалами.
В настоящий момент обвинители добиваются того, чтобы 21-летнего технического служащего военной базы не выпускали из-под стражи домой дожидаться, пока начнется суд. Опубликованные в ночь на четверг документы – это один из их аргументов в пользу того, чтобы Тейшейра оставался под стражей.
Прокуратура утверждает, что в 2022 году Тейшейра дважды получил выговор за "вызывающие беспокойство" действия, связанные с секретной информацией.
🔻В сентябре 2022 года начальство заметило, что Тейшейра делал записи о секретных разведывательных данных и клал эти конспекты себе в карман. После этого ему приказали больше так не делать.
🔻Но в октябре 2022 года в отношении Тейшейры появилась новая служебная запись. В ней говорится, что он "потенциально игнорирует распоряжение о прекращении и невозобновлении действий, связанных с глубоким изучением разведданных", полученное им месяцем ранее.
В этой записи поясняется, что Тейшейра задавал "очень конкретные вопросы" во время совещания, после чего ему приказали сосредоточиться на своей работе, а не на том, чтобы глубоко закапываться в разведывательную информацию.
🔻В третьей записи, датированной февралем 2023 года, говорится, что Тейшейра был замечен за просмотром информации, "которая не была связана с его основными обязанностями и имела отношение к разведке". Там также отмечено, что раньше его уже призывали прекратить подобную деятельность.
––
Пока остается неясным, почему руководство Тейшейры ограничивалось лишь подобными предупреждениями, не сделав никаких конкретных шагов по пресечению его доступа к настолько серьезной развединформации.
Суд в штате Массачусетс в ближайшие дни должен решить, оставлять ли Тейшейру за решеткой, пока он дожидается суда. Его адвокаты просят передать его на это время под присмотр отца, уверяя, что у обвиняемого нет намерений бежать от правосудия.
Тейшейру обвиняют в том, что он выложил огромные массивы секретных документов в чате на социальной платформе, популярной среди геймеров. Эту утечку называют крупнейшей как минимум за десятилетие.
В просочившихся документах подробно описывается помощь США и НАТО Украине, а также оценки американской разведки в отношении союзников, которые могут обострить отношения с этими странами.
@bbcrussian
🤡75👍24❤7💊5🗿3🔥2🤣2🥰1🤔1
Apple выпустила апдейт для iOS/iPadOS до версии 16.5. 39 исправленных уязвимостей, три из которых были в активной эксплуатации. (две были исправлены ранее выпуском Rapid Security Response — новой фичи для срочных обновлений безопасности)
https://support.apple.com/kb/HT213757
То же самое касается и апдейтов для других систем компании
https://support.apple.com/en-us/HT201222
https://support.apple.com/kb/HT213757
То же самое касается и апдейтов для других систем компании
https://support.apple.com/en-us/HT201222
Apple Support
About the security content of iOS 16.5 and iPadOS 16.5
This document describes the security content of iOS 16.5 and iPadOS 16.5.
❤11🔥6👍3💅2
Global_Surveillance_The_Secretive_Swiss_Dealer_Enabling_Israeli.pdf
154.4 KB
одно слово — SS7 (хотя слово ли это?). Как уязвимости в этой системе помогают различным преступным организациям в их делах.
ttps://www.haaretz.com/israel-news/security-aviation/2023-05-10/ty-article-magazine/.premium/global-surveillance-the-secretive-swiss-dealer-enabling-israeli-spy-firms/00000188-0005-dc7e-a3fe-22cdf2900000
(а вот и бесплатная версия) https://archive.is/A2qmD
ttps://www.haaretz.com/israel-news/security-aviation/2023-05-10/ty-article-magazine/.premium/global-surveillance-the-secretive-swiss-dealer-enabling-israeli-spy-firms/00000188-0005-dc7e-a3fe-22cdf2900000
(а вот и бесплатная версия) https://archive.is/A2qmD
👍15
из рубрики “преступление и наказание”. Евросоюз выписал Meta штраф на 1,3 млрд долларов за отправку пользовательских данных ЕС в США.
https://www.wsj.com/articles/meta-fined-1-3-billion-over-data-transfers-to-u-s-b53dbb04?mod=djemalertNEWS
https://www.wsj.com/articles/meta-fined-1-3-billion-over-data-transfers-to-u-s-b53dbb04?mod=djemalertNEWS
The Wall Street Journal
Meta Fined $1.3 Billion Over Data Transfers to U.S.
The decision puts pressure on Washington to implement surveillance changes for Europe to allow Meta to keep the data spigot open.
🌚39👍31👏6😁5🤡5🤪3🗿2🤯1🤬1
In response, Bitbucket issued two new SSH host keys today and will be replacing the current host keys on June 20, 2023. Please review this blog and complete the applicable steps outlined below as soon as possible.
https://bitbucket.org/blog/ssh-host-key-changes
https://bitbucket.org/blog/ssh-host-key-changes
Work Life by Atlassian
ACTION REQUIRED: Update your Bitbucket Cloud SSH Host Keys
Hello Bitbucket Cloud users, We recently learned that encrypted copies of Bitbucket’s SSH host keys were included in a data...
🤨14🫡6😡3
Официально про штраф Meta в 1,2 млрд евро
http://www.dataprotection.ie/en/news-media/press-releases/Data-Protection-Commission-announces-conclusion-of-inquiry-into-Meta-Ireland
http://www.dataprotection.ie/en/news-media/press-releases/Data-Protection-Commission-announces-conclusion-of-inquiry-into-Meta-Ireland
Data Protection Commission
Data Protection Commission announces conclusion of inquiry into Meta Ireland | Data Protection Commission
The Data Protection Commission (“the DPC”) has today announced the conclusion of its inquiry into Meta Platforms Ireland Limited (“Meta Ireland”), examining the basis upon which Meta Ireland transfers personal data from the EU/EEA to the US in connection…
👍27🤬2🤡2
брутфорс отпечатка пальца на Андроиде
https://arstechnica.com/information-technology/2023/05/hackers-can-brute-force-fingerprint-authentication-of-android-devices/
https://arstechnica.com/information-technology/2023/05/hackers-can-brute-force-fingerprint-authentication-of-android-devices/
Ars Technica
Here’s how long it takes new BrutePrint attack to unlock 10 different smartphones
BrutePrint requires just $15 of equipment and a little amount of time with a phone.
😱42🔥14👍3😁2🤔1🤯1🤬1🤡1🥱1
несколько ссылок с новостями прошлой недели, до которых не дошли руки вовремя:
- у пользователей Твиттера, которые удаляли свои твиты, они (твиты) возвращаются
https://www.theverge.com/2023/5/22/23732497/twitter-bug-restoring-deleted-tweets-retweets
- PoC эксплойта, который позволяет получить из памяти master password у KeePass, популярного менеджера паролей
https://github.com/vdohney/keepass-password-dumper
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-32784
- популярное приложение для трекинга лучшего времени для зачатия ребенка, оказывается, сливало данные о пользователях в китайские рекламные агентства
https://techcrunch.com/2023/05/18/ftc-premom-fertility-tracking-shared-data-google/
- у пользователей Твиттера, которые удаляли свои твиты, они (твиты) возвращаются
https://www.theverge.com/2023/5/22/23732497/twitter-bug-restoring-deleted-tweets-retweets
- PoC эксплойта, который позволяет получить из памяти master password у KeePass, популярного менеджера паролей
https://github.com/vdohney/keepass-password-dumper
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-32784
- популярное приложение для трекинга лучшего времени для зачатия ребенка, оказывается, сливало данные о пользователях в китайские рекламные агентства
https://techcrunch.com/2023/05/18/ftc-premom-fertility-tracking-shared-data-google/
The Verge
A Twitter bug is restoring deleted tweets and retweets — including my own
Another bug to add to Twitter’s writhing mass of problems
😁21🔥4🌭1
GitLab has released an emergency security update, version 16.0.1, to address a maximum severity (CVSS v3.1 score: 10.0) path traversal flaw tracked as CVE-2023-2825.
не так то часто вижу уязвимости с 10.0
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-2825
https://about.gitlab.com/releases/2023/05/23/critical-security-release-gitlab-16-0-1-released/
не так то часто вижу уязвимости с 10.0
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-2825
https://about.gitlab.com/releases/2023/05/23/critical-security-release-gitlab-16-0-1-released/
cve.mitre.org
CVE -
CVE-2023-2825
CVE-2023-2825
The mission of the CVE® Program is to identify, define, and catalog publicly disclosed cybersecurity vulnerabilities.
🔥30🤯13🤣9👍1🤔1😢1
сотрудники ТикТока пересылали друг другу пользовательские данные — водительские удостоверения, адреса, фото
https://www.nytimes.com/2023/05/24/technology/inside-how-tiktok-shares-user-data-lark.html
https://www.nytimes.com/2023/05/24/technology/inside-how-tiktok-shares-user-data-lark.html
NY Times
Driver’s Licenses, Addresses, Photos: Inside How TikTok Shares User Data
Employees of the Chinese-owned video app have regularly posted user information on a messaging and collaboration tool called Lark, according to internal documents.
🤡40😁9🔥2👎1🤔1🥴1
VPN хорошо, а бесплатный VPN, казалось бы, лучше. Пока не случится неизбежное — например, сервис SuperVPN допустил утечку 360 млн записей своих пользователей — имейлы, оригинальные IP адреса, данные геолокации, данные об использовании сервиса.
https://www.hackread.com/free-vpn-service-supervpn-leaks-user-records/
https://www.hackread.com/free-vpn-service-supervpn-leaks-user-records/
Hackread - Latest Cybersecurity, Tech, Crypto & Hacking News
Free VPN Service SuperVPN Exposes 360 Million User Records
SuperVPN is the same free VPN service provider that leaked customers’ data back in May 2022.
😁53❤14😱13🤬5🥴5❤🔥3🤡3🥰2
популярное приложение в Google Play начало втихаря регулярно включать микрофон, записывать сегменты с голосом пользователей, и заливать записи в облако.
https://techcrunch.com/2023/05/29/popular-android-app-microphone-spying-google-play/
https://techcrunch.com/2023/05/29/popular-android-app-microphone-spying-google-play/
TechCrunch
A popular Android app began secretly spying on its users months after it was listed on Google Play
The screen recording app, downloaded more than 50,000 times, steals files and stealthily uploads microphone audio from a user's device.
🤬36😁15🗿12🤡8🤣4👍1🥰1
Хороший материал от Wired о том, как в Евросоюзе точат ножи на сквозное шифрование переписки и других коммуникаций, и очень хотят его запретить
https://www.wired.com/story/europe-break-encryption-leaked-document-csa-law/
https://www.wired.com/story/europe-break-encryption-leaked-document-csa-law/
WIRED
Leaked Government Document Shows Spain Wants to Ban End-to-End Encryption
In response to an EU proposal to scan private messages for illegal material, the country's officials said it is “imperative that we have access to the data.”
🤬102🤡14👍3🤔2💔2
История из рубрики “преступление и наказание”.
Еще в 2019 году тут была новость про компанию Ring, принадлежающую Амазону, и про то, как сотрудники и подрядчики могли просматривать записи с видеокамер пользователей
https://t.me/alexmakus/2586
компания за это наконец-то заплатит штраф, аж 5,8 млн долларов
https://www.ftc.gov/news-events/news/press-releases/2023/05/ftc-says-ring-employees-illegally-surveilled-customers-failed-stop-hackers-taking-control-users
https://www.documentcloud.org/documents/23830628-ftc-complaint-vs-ring
https://www.reuters.com/legal/us-ftc-sues-amazoncoms-ring-2023-05-31/
Еще в 2019 году тут была новость про компанию Ring, принадлежающую Амазону, и про то, как сотрудники и подрядчики могли просматривать записи с видеокамер пользователей
https://t.me/alexmakus/2586
компания за это наконец-то заплатит штраф, аж 5,8 млн долларов
https://www.ftc.gov/news-events/news/press-releases/2023/05/ftc-says-ring-employees-illegally-surveilled-customers-failed-stop-hackers-taking-control-users
https://www.documentcloud.org/documents/23830628-ftc-complaint-vs-ring
https://www.reuters.com/legal/us-ftc-sues-amazoncoms-ring-2023-05-31/
Telegram
Информация опасносте
Накопившихся за последние несколько дней материалов оказалось столько, что его можно группировать по категориям. Вот, например, сразу несколько материалов о камерах.
1. Прекрасная история про камеры компании Ring (принадлежит Amazon). Компания производит…
1. Прекрасная история про камеры компании Ring (принадлежит Amazon). Компания производит…
🤡31👍10❤8
миллионы материнок Gigabyte продавались с бэкдором в прошивке. Производитель, скорей всего, оставил его для обновления прошивок, но имплементация оказалась небезопасной и позволяла злоумышленникам использовать её во вредоносных целях
https://eclypsium.com/blog/supply-chain-risk-from-gigabyte-app-center-backdoor/
https://eclypsium.com/blog/supply-chain-risk-from-gigabyte-app-center-backdoor/
Eclypsium | Supply Chain Security for the Modern Enterprise
Supply Chain Risk from Gigabyte App Center Backdoor
Eclypsium Research discovers that Gigabyte motherboards have an embedded backdoor in their firmware, which drops a Windows executable that can download and execute additional payloads insecurely. The backdoor affects gaming PCs and high-end computers.
🔥32😱17🤬4
фсб рф утверждает, что якобы агентство национальной безопасности США использовало неизвестное вредоносное ПО для доступа в iOS через уязвимости системы. причем “предусмотренные производителем программные уязвимости.” — то есть бэкдоры. доказательств, разумеется, фсб рф не предоставили.
https://www.reuters.com/technology/russias-fsb-says-us-nsa-penetrated-thousands-apple-phones-spy-plot-2023-06-01/
http://www.fsb.ru/fsb/press/message/single.htm%21id%3D10439739%40fsbMessage.html
https://www.reuters.com/technology/russias-fsb-says-us-nsa-penetrated-thousands-apple-phones-spy-plot-2023-06-01/
http://www.fsb.ru/fsb/press/message/single.htm%21id%3D10439739%40fsbMessage.html
Reuters
Russia says US hacked thousands of Apple phones in spy plot
Russia's Federal Security Service (FSB) said on Thursday it had uncovered an American espionage operation that compromised thousands of iPhones using sophisticated surveillance software.
🤣82🤡54👍12💩4🥰3🤔3🗿2🔥1😱1🤬1