https://www.microsoft.com/en-us/security/blog/2024/12/12/convincing-a-billion-users-to-love-passkeys-ux-design-insights-from-microsoft-to-boost-adoption-and-security/

Как Microsoft решила от паролей избавляться, и как она будет принуждать пользователей переходить на passkey

Суд признал NSO виновной во взломе серверов WhatsApp (иск от 2019 года)

https://www.reuters.com/technology/cybersecurity/us-judge-finds-israels-nso-group-liable-hacking-whatsapp-lawsuit-2024-12-21/

Министерство финансов США стало жертвой взлома китайскими государственными хакерами. BeyondTrust — подрядчик организации — сообщил министерству, что злоумышленникии использовани украденный ключ (токен?) для удаленного доступа к некоторым компьютерам, и получили доступ к некоторым несекретным документам.

https://www.nytimes.com/2024/12/30/us/politics/china-hack-treasury.html

с Новым годом, подписчики

По поводу утечки Росреестра.

Для тех, кто в танке: хакеры утверждают, что выкачали данные Росреестра – ведомства, которое занимается регистрацией прав на недвижимость. В прошлом году база Ростреестра, на основе которой были сделаны сотни журналистских расследований, была закрыта для свободного изучения. С учетом этого для расследователей такая утечка была бы кладезем информации. А для простых граждан – поводом серьезно напрячься, ведь подобные массивы быстро доползают до агрегаторов, которыми пользуются, в том числе, мошенники.

Но пока не совсем понятно, что именно утекло. В выложенном фрагменте нет кадастровых номеров – ключевого идентификатора в Едином государственно реестре недвижимости. В утечке есть: внутренний id, фио, дата рождения, СНИЛС (раньше номер пенсионного даже указывался в выписках Росреестра) и адрес. Всего более 80 млн строк. В 6,5 млн случаев есть телефон, еще в 410 тысячах – электронная почта.

Не увидев кадастровых номеров, я сначала подумал, что это все, кто пользовался системой Росреестра (там авторизация была через "Госуслуги"). Но 80 млн строк – это много, а хакеры говорят, что всего в базе 2 млрд строк (это не проверено). Конечно, хакеры, вырезая из выкаченного массива пробный кусок, могли обрезать кадастровые номера. Но ключевой вопрос остается – это просто адреса регистрации или актуальная недвижимость граждан? Да, чаще всего эта информация совпадает, но не всегда.

"Агентство" проанализировало 15 адресов из утечки, в некоторых случаях они совпала с данными о регистрации указанных граждан в других утечках. Периодически список физических лиц перемежается юрлицами – в основном это муниципальные организации, банки и застройщики, по ним либо указан адрес регистрации, либо вообще нет адреса (иногда в случае с "Сбербанком"). Банки и застройщики повторяются, как будто список граждан далее в утечке каким-то образом относится к ним (ипотека, регистрация права – что угодно).

Повторюсь – возможно, хакеры просто криво вырезали пробник (например, там даже нет названий столбцов). Но точно сказать, что именно взломано и какие именно данные утекли, можно будет чуть позже, когда либо станет доступна вся утечка, либо хакеры перевыложат пробник.

На комментарий Росреестра о том, что у них якобы ничего не утекло, предлагаю не обращать внимания. Российские госорганы, банки и онлайн-магазины всегда так делают, отрицая очевидное до последнего.

@zakharovchannel

а вот владельцам Субару на заметку (но не всем, а только тем, кто живет в США, Канаде и Японии). Сервис Subary для онлайн-сервисов под названием STARLINK (но не тот, который у зигующей мартышки), был плохо защищен в интернете и позволял кому попало, зная фамилию владельца, получить массу информации о нем, или управлять сервисами машины. Включая удаленный запуск, открыти и закрытие машины, информацию о местоположении, и историю перемещений за год, и тд.

https://samcurry.net/hacking-subaru

тем временем в Тбилиси все катались в пятницу на общественном транспорте бесплатно, потому что хакеры взломали систему продажи и сканирования билетов. Вместо своей функциональности, они проигрывали гимн Грузии, цитаты политиков, и другие фразы. Местные власти отключили систему и разрешили жителям ездить бесплатно до момента восстановления сервиса.

https://civil.ge/archives/655517

раз уж транспортная тема пошла. Mercedes какое-то время назад публиковал видео о том, как удобно, когда машина о пользователе все знает, и предлагает «умные» подсказки в процессе. Но, вспоминая все истории про продажу пользовательских данных, открытые бакеты с данными в интернете, и даже просто криповость бесконечной слежки со всех сторон, эффект от рекламы получается совсем обратный

https://www.youtube.com/watch?v=UP-FPkiXsXQ

для пользователей iPhone/iPad будет полезно проапдейтиться до последнего релиза 18.3 — там очень много фиксов, связанных с безопасностью, включая такие, что “Apple is aware of a report that this issue may have been actively exploited against versions of iOS before iOS 17.2.”

https://support.apple.com/en-us/122066

https://www.cve.org/CVERecord?id=CVE-2025-24085

Интересно, DeepSeek (если вам это название ничего не говорит, то что вы вообще делаете в интернете) пишет об введенных ограничениях на новые регистрации в связи с “large-scale malicious attacks on DeepSeek's services”

https://status.deepseek.com/incidents/666k4t024szr

а вот из полезного, Google сказала, что теперь будет верифицировать VPN-клиенты в Google Store на предмет обещания конфиденциальности и безопасности, и раздавать приложениям специальные погоны. Разработчики должны будут подать информацию в Google о своих практиках работы с пользовательскими данными, и согласиться на независимый аудит.

https://android-developers.googleblog.com/2025/01/helping-users-find-trusted-apps-on-google-play.html

Спекулятивное исполнение наносит очередной удар, в этот раз по процессорам Apple, атаками с названием FLOP и SLAP. Эксплуатация уязвимостей позволяет перехватывать информацию о кредитных картах, геолокации при использовании браузеров Chrome и Safari. Исследователи представили Apple свои рекомендации по снижению рисков эксплуатации этих уязвимостей, и, похоже, Apple планирует их внедрить в будущем.

https://predictors.fail

затрагивает все ноутбуки Apple, начиная с 2022 года, десктопы с 2023 года, все iPhone и iPad с 2021 года.

вынесу из комментариев, потому что заслуживает отдельного поста — исследование о том, как DeepSeek оставил внутреннюю базу данных незащищенной, и как исследователи получили доступ к чувствительной информации, включая чаты, секретные ключи и тд

https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak

MGM не только понесла прямые потери от взлома, но компании также придется заплатить жертвам, данные которых утекли, дополнительно 45 млн долларов

https://www.cohenmilstein.com/45m-global-settlement-in-mgm-data-breach-class-action-preliminarily-approved/

чистил диск, нашел мем про хакеров

GrubHub сообщает о том, что сервера компании стали жертвой кибератаки, в результате которой злоумышленники унесли данные пользователей, водителей и зарегистрированных продавцов на платформе, включая имейлы, номера телефонов, захешированные пароли и последние 4 цифры номеров банковских карт.

https://about.grubhub.com/news/our-response-to-a-third-party-vendor-incident/

ну надо же, теперь на iOS не только порно-приложения благодаря новым правилам в ЕС, но и вирусы, ворующие данные криптокошельков. модерация спасет и защитит, говорили кук и джобс.

https://securelist.ru/sparkcat-stealer-in-app-store-and-google-play/111638/

и снова про iOS, но теперь уже в регулярной рубрике "that this issue may have been exploited" — обновления для iOS/iPadOS 18.3 и iPadOS 17.7.5. Речь про уязвимость, которая позволяла получить доступ к данным на залоченном устройстве, хотя и в редких случаях против конкретных целей.

https://support.apple.com/en-us/122174
https://support.apple.com/en-us/122173

у macOS тоже вышли обновления для трех версий, хотя и без информации о CVE, но, скорей всего, похожие фиксы.
macOS Sequoia 15.3.1
macOS Sonoma 14.7.4
macOS Ventura 13.7.4

Интересное расследование про трекинг данных, уходящих из мобильных приложений

Кратко:
После более чем двух десятков часов попыток, вот основные выводы:
1. Я обнаружил несколько запросов, отправляемых моим телефоном с моей геолокацией, а также 5 запросов, которые раскрывают мой IP-адрес. Его можно использовать для определения местоположения через обратный DNS.
2. Я многое узнал о RTB-аукционах (реального времени) и протоколе OpenRTB и был шокирован объемом и типами данных, которые передаются вместе со ставками на рекламных биржах.
3. Я отказался от идеи купить свои данные о местоположении у брокера данных или трекингового сервиса, потому что у меня нет достаточно крупной компании, чтобы получить пробный доступ, или 10-50 тысяч долларов на покупку огромной базы данных с данными миллионов людей, включая меня.
Ну, может, у меня и есть такие деньги, но такие траты кажутся нерациональными.
Оказалось, что данные о людях из ЕС — одни из самых дорогих.

Но все же, я знаю, что мои данные о местоположении были собраны, и я знаю, где их купить!

https://timsh.org/tracking-myself-down-through-in-app-ads/

В декабре 2024 года компания PowerSchool, ведущий поставщик облачных информационных систем для учащихся, стала жертвой взлома. Злоумышленники получили несанкционированный доступ к порталу поддержки клиентов PowerSource, используя скомпрометированные учетные данные. Теперь становится понятен масштаб утечки — 62 млн записей студентов, включая информацию об особых образовательных потребностях, психическом здоровье, дисциплинарных нарушениях и судебных запретах для родителей.

https://www.bleepingcomputer.com/news/security/powerschool-hacker-claims-they-stole-data-of-62-million-students/

https://therecord.media/powerschool-breach-exposed-special-ed-status-mental-health-data