вдогонку к https://t.me/alexmakus/5159

Компания по генетическому тестированию 23andMe столкнулась с коллективным иском из-за своих практик в области безопасности после того, как хакеры похитили и опубликовали данные о миллионе человек с еврейским происхождением.

Утечка данных была обнародована после того, как хакеры разместили базу данных с названием "Ashkenazi DNA Data of Celebrities" на форумах в темных уголках интернета. Большинство людей в списке не являются знаменитостями, и база данных содержит информацию, такую как отображаемые имена, пол, год рождения и некоторые сведения о генетическом происхождении пользователей.

Хакер, который впервые устроил утечку, предложил продать профили данных оптом по цене от 1 до 10 долларов за аккаунт. Однако может быть продано до 7 миллионов аккаунтов — половина пользователей 23andMe. Неясно, является ли тот, кто составил список Ashkenazi, — на самом деле в нем 999 999 записей, — тем же человеком или группой, которая выставила его на продажу, сообщили в NBC News.

23andMe рассматривает эту утечку как подлинную и проводит расследование инцидента. Кроме того, она требует от своих пользователей изменить пароли.

23andMe подтвердила, что ее данные были скомпрометированы, но утверждает, что ее системы не были нарушены.

красивое, как с помощью Flipper Zero можно отправить айфоны в ближайшем радиусе в бесконечную перезагрузку

https://arstechnica.com/security/2023/11/flipper-zero-gadget-that-doses-iphones-takes-once-esoteric-attacks-mainstream/

тут какаято история про то, Евросоюз хочет обязать браузеры, доступные в европе, доверять ключам и сертификатам, выбранным европейским правительством. Что позволит им перехватывать трафик, разумеется.

https://last-chance-for-eidas.org

Bitwarden добавляет поддержку passkeys
https://bitwarden.com/help/releasenotes/#:~:text=Save%20passkeys%20to%20your%20vault%3A

Через взлом службы поддержки Okta были украдены токены доступа клиентов компании

https://sec.okta.com/harfiles

Пошла активная эксплуатация уязвимости в Atlassian Confluence Server

https://infosec.exchange/@ntkramer/111358137312740939

https://viz.greynoise.io/tag/atlassian-confluence-server-authentication-bypass-attempt?days=3

SysAid предупреждает, что хакеры, которые связаны со взломом MoveIT, похоже, эксплуатируют zero day уязвимость в их ПО для автоматизации

https://www.sysaid.com/blog/service-desk/on-premise-software-security-vulnerability-notification

Берегите свои ssh ключи смолоду

Впервые исследователи продемонстрировали, что значительная часть криптографических ключей, используемых для защиты данных в SSH-трафике между компьютерами и серверами, уязвима для полной компрометации при возникновении естественных вычислительных ошибок в процессе установления соединения.

Уязвимость проявляется в ошибках при генерации подписи, возникающих при установлении соединения между клиентом и сервером. Она затрагивает только ключи, использующие криптографический алгоритм RSA, который исследователи обнаружили примерно в трети изученных ими подписей SSH.

https://eprint.iacr.org/2023/1711.pdf

смешно, но дальше даже немного хуже :)

Эта история про то, как разработчик смартфона Nothing попытался сделать bridge для iMessage, и какой кластерфак приватности из этого получился

https://arstechnica.com/gadgets/2023/11/nothings-imessage-app-was-a-security-catastrophe-taken-down-in-24-hours/

Злоумышленники активно используют две новые уязвимости нулевого дня для объединения маршрутизаторов и видеорегистраторов во враждебную бот-сеть, используемую для распределенных атак типа "отказ в обслуживании", сообщили в четверг исследователи из компании Akamai.

https://www.akamai.com/blog/security-research/new-rce-botnet-spreads-mirai-via-zero-days

766 третьих сторон???

кстати о Microsoft. отчет исследователей о том, как они смогли обойти датчики отпечатков пальцев в Windows Hello с помощью Raspberry Pi и Linux. Особенная вишенка на торте — то, что в ноутбуке Microsoft Surface компания не использует Secure Device Connection Protocol (SCDP), которая сама же разработала для валидации датчиков и шифрования передачи данных.

https://blackwinghq.com/blog/posts/a-touch-of-pwn-part-i/

Эксплуатация уязвимости в ownCloud с получением полного контроля над сервером

https://www.greynoise.io/blog/cve-2023-49103-owncloud-critical-vulnerability-quickly-exploited-in-the-wild

Сама уязвимость
https://owncloud.com/security-advisories/disclosure-of-sensitive-credentials-and-configuration-in-containerized-deployments/

BLUFFS — новый набор атак на Bluetooth, позволяющий расшифровывать данные в сессии обмена данными. Включает в себя парочку новых уязвимостей, затрагивает Bluetooth версий от 4.2 до 5.4

https://dl.acm.org/doi/pdf/10.1145/3576915.3623066
https://francozappa.github.io/post/2023/bluffs-ccs23/

Если у вас Хром на Маке, то не задерживайте с апдейтом

Google is aware that an exploit for CVE-2023-6345 exists in the wild.

https://chromereleases.googleblog.com/2023/11/stable-channel-update-for-desktop_28.html

и как это часто бывает в случае минорных апдейтов iOS/iPadOS/macOS:

Apple is aware of a report that this issue may have been exploited against versions of iOS before iOS 16.7.1.

https://support.apple.com/en-us/HT214031
https://support.apple.com/en-us/HT214032