а вот владельцам Субару на заметку (но не всем, а только тем, кто живет в США, Канаде и Японии). Сервис Subary для онлайн-сервисов под названием STARLINK (но не тот, который у зигующей мартышки), был плохо защищен в интернете и позволял кому попало, зная фамилию владельца, получить массу информации о нем, или управлять сервисами машины. Включая удаленный запуск, открыти и закрытие машины, информацию о местоположении, и историю перемещений за год, и тд.
https://samcurry.net/hacking-subaru
https://samcurry.net/hacking-subaru
samcurry.net
Hacking Subaru: Tracking and Controlling Cars via the STARLINK Admin Panel
On November 20, 2024, Shubham Shah and I discovered a security vulnerability in Subaru’s STARLINK admin panel that gave us unrestricted access to all vehicles and customer accounts in the United States, Canada, and Japan.
🤡46🤣31😱19💩5🖕5👍4👎2😎2🤯1🐳1👻1
тем временем в Тбилиси все катались в пятницу на общественном транспорте бесплатно, потому что хакеры взломали систему продажи и сканирования билетов. Вместо своей функциональности, они проигрывали гимн Грузии, цитаты политиков, и другие фразы. Местные власти отключили систему и разрешили жителям ездить бесплатно до момента восстановления сервиса.
https://civil.ge/archives/655517
https://civil.ge/archives/655517
Civil Georgia
Tbilisi Public Transport Allegedly Hacked, Pro-European Messages Played on Payment Machines
On the morning of 24 January, ticket machines for public transport in Tbilisi, including buses and m
😁76🔥32❤15🤡9🤮2💩2🤔1🐳1
раз уж транспортная тема пошла. Mercedes какое-то время назад публиковал видео о том, как удобно, когда машина о пользователе все знает, и предлагает «умные» подсказки в процессе. Но, вспоминая все истории про продажу пользовательских данных, открытые бакеты с данными в интернете, и даже просто криповость бесконечной слежки со всех сторон, эффект от рекламы получается совсем обратный
https://www.youtube.com/watch?v=UP-FPkiXsXQ
https://www.youtube.com/watch?v=UP-FPkiXsXQ
👍30🤡14💯9👎2🥰1
для пользователей iPhone/iPad будет полезно проапдейтиться до последнего релиза 18.3 — там очень много фиксов, связанных с безопасностью, включая такие, что “Apple is aware of a report that this issue may have been actively exploited against versions of iOS before iOS 17.2.”
https://support.apple.com/en-us/122066
https://www.cve.org/CVERecord?id=CVE-2025-24085
https://support.apple.com/en-us/122066
https://www.cve.org/CVERecord?id=CVE-2025-24085
Apple Support
About the security content of iOS 18.3 and iPadOS 18.3 - Apple Support
This document describes the security content of iOS 18.3 and iPadOS 18.3.
❤24🌚10👍4💯2👎1🤮1🤡1🐳1
Интересно, DeepSeek (если вам это название ничего не говорит, то что вы вообще делаете в интернете) пишет об введенных ограничениях на новые регистрации в связи с “large-scale malicious attacks on DeepSeek's services”
https://status.deepseek.com/incidents/666k4t024szr
https://status.deepseek.com/incidents/666k4t024szr
Deepseek
DeepSeek 网页/API 性能异常(DeepSeek Web/API Degraded Performance)
DeepSeek Service's Status Page - DeepSeek 网页/API 性能异常(DeepSeek Web/API Degraded Performance).
🤡43🙏13🐳8🤔6😁3💩2🥱2🤮1👻1
а вот из полезного, Google сказала, что теперь будет верифицировать VPN-клиенты в Google Store на предмет обещания конфиденциальности и безопасности, и раздавать приложениям специальные погоны. Разработчики должны будут подать информацию в Google о своих практиках работы с пользовательскими данными, и согласиться на независимый аудит.
https://android-developers.googleblog.com/2025/01/helping-users-find-trusted-apps-on-google-play.html
https://android-developers.googleblog.com/2025/01/helping-users-find-trusted-apps-on-google-play.html
Android Developers Blog
Helping users find trusted apps on Google Play
Google Play is introducing a new "Verified" badge for consumer-facing VPN apps that meet high security and privacy standards.
👍108😁17🤡7🤣4✍3❤2🤔2🤬2🍌2🍾2🤗1
Спекулятивное исполнение наносит очередной удар, в этот раз по процессорам Apple, атаками с названием FLOP и SLAP. Эксплуатация уязвимостей позволяет перехватывать информацию о кредитных картах, геолокации при использовании браузеров Chrome и Safari. Исследователи представили Apple свои рекомендации по снижению рисков эксплуатации этих уязвимостей, и, похоже, Apple планирует их внедрить в будущем.
https://predictors.fail
затрагивает все ноутбуки Apple, начиная с 2022 года, десктопы с 2023 года, все iPhone и iPad с 2021 года.
https://predictors.fail
затрагивает все ноутбуки Apple, начиная с 2022 года, десктопы с 2023 года, все iPhone и iPad с 2021 года.
predictors.fail
SLAP and FLOP
The SLAP and FLOP Address and Value Prediction Attacks
👍42🥱19🗿9❤1😢1🫡1
вынесу из комментариев, потому что заслуживает отдельного поста — исследование о том, как DeepSeek оставил внутреннюю базу данных незащищенной, и как исследователи получили доступ к чувствительной информации, включая чаты, секретные ключи и тд
https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak
https://www.wiz.io/blog/wiz-research-uncovers-exposed-deepseek-database-leak
wiz.io
Wiz Research Uncovers Exposed DeepSeek Database Leaking Sensitive Information, Including Chat History | Wiz Blog
A publicly accessible database belonging to DeepSeek allowed full control over database operations, including the ability to access internal data. The exposure includes over a million lines of log streams with highly sensitive information.
👍23🤷♂19🐳11🤡5🥱5✍2😴1🗿1
Информация опасносте
MGM сообщила, что потери от кибер-инцидента составили около 100 млн долларов, плюс 10 млн долларов на различные статьи расходов на последствия взлома — юристы, консультанты, и прочее. http://www.sec.gov/ix?doc=/Archives/edgar/data/789570/000119312523251…
MGM не только понесла прямые потери от взлома, но компании также придется заплатить жертвам, данные которых утекли, дополнительно 45 млн долларов
https://www.cohenmilstein.com/45m-global-settlement-in-mgm-data-breach-class-action-preliminarily-approved/
https://www.cohenmilstein.com/45m-global-settlement-in-mgm-data-breach-class-action-preliminarily-approved/
Cohen Milstein
Settlement in MGM Data Breach Preliminarily Approved
A federal court granted preliminary approval of a $45 million global settlement in a data breach class action against MGM Resorts International for failing to implement reasonable data security…
👍11🤯5🎉3🐳3😁1🤡1
This media is not supported in your browser
VIEW IN TELEGRAM
чистил диск, нашел мем про хакеров
😁174🏆14🔥12🤡4🥱4
GrubHub сообщает о том, что сервера компании стали жертвой кибератаки, в результате которой злоумышленники унесли данные пользователей, водителей и зарегистрированных продавцов на платформе, включая имейлы, номера телефонов, захешированные пароли и последние 4 цифры номеров банковских карт.
https://about.grubhub.com/news/our-response-to-a-third-party-vendor-incident/
https://about.grubhub.com/news/our-response-to-a-third-party-vendor-incident/
Grubhub
Our Response to a Third-Party Vendor Incident - Grubhub
We recently identified a security incident involving a third-party contractor, resulting in unauthorized access to certain user contact information. We took immediate action to contain the situation and have worked with leading forensic experts to investigate…
🗿15🤯10🥰7🤡5😐3👍2🤔2😁1🤩1🐳1
ну надо же, теперь на iOS не только порно-приложения благодаря новым правилам в ЕС, но и вирусы, ворующие данные криптокошельков. модерация спасет и защитит, говорили кук и джобс.
https://securelist.ru/sparkcat-stealer-in-app-store-and-google-play/111638/
https://securelist.ru/sparkcat-stealer-in-app-store-and-google-play/111638/
securelist.ru
Криптостилер SparkCat в магазинах Google Play и App Store
Эксперты «Лаборатории Касперского» обнаружили зараженные криптостилером SparkCat приложения для iOS и Android в Google Play и App Store. Стилер крадет данные криптокошельков с помощью OCR-модели.
🤡30🐳19😁10🔥5💊5👍4🗿4😱3💩1
и снова про iOS, но теперь уже в регулярной рубрике "that this issue may have been exploited" — обновления для iOS/iPadOS 18.3 и iPadOS 17.7.5. Речь про уязвимость, которая позволяла получить доступ к данным на залоченном устройстве, хотя и в редких случаях против конкретных целей.
https://support.apple.com/en-us/122174
https://support.apple.com/en-us/122173
у macOS тоже вышли обновления для трех версий, хотя и без информации о CVE, но, скорей всего, похожие фиксы.
macOS Sequoia 15.3.1
macOS Sonoma 14.7.4
macOS Ventura 13.7.4
https://support.apple.com/en-us/122174
https://support.apple.com/en-us/122173
у macOS тоже вышли обновления для трех версий, хотя и без информации о CVE, но, скорей всего, похожие фиксы.
macOS Sequoia 15.3.1
macOS Sonoma 14.7.4
macOS Ventura 13.7.4
Apple Support
About the security content of iOS 18.3.1 and iPadOS 18.3.1 - Apple Support
This document describes the security content of iOS 18.3.1 and iPadOS 18.3.1
👌11😁9🔥6👍3🤡1
Интересное расследование про трекинг данных, уходящих из мобильных приложений
Кратко:
После более чем двух десятков часов попыток, вот основные выводы:
1. Я обнаружил несколько запросов, отправляемых моим телефоном с моей геолокацией, а также 5 запросов, которые раскрывают мой IP-адрес. Его можно использовать для определения местоположения через обратный DNS.
2. Я многое узнал о RTB-аукционах (реального времени) и протоколе OpenRTB и был шокирован объемом и типами данных, которые передаются вместе со ставками на рекламных биржах.
3. Я отказался от идеи купить свои данные о местоположении у брокера данных или трекингового сервиса, потому что у меня нет достаточно крупной компании, чтобы получить пробный доступ, или 10-50 тысяч долларов на покупку огромной базы данных с данными миллионов людей, включая меня.
Ну, может, у меня и есть такие деньги, но такие траты кажутся нерациональными.
Оказалось, что данные о людях из ЕС — одни из самых дорогих.
Но все же, я знаю, что мои данные о местоположении были собраны, и я знаю, где их купить!
https://timsh.org/tracking-myself-down-through-in-app-ads/
Кратко:
После более чем двух десятков часов попыток, вот основные выводы:
1. Я обнаружил несколько запросов, отправляемых моим телефоном с моей геолокацией, а также 5 запросов, которые раскрывают мой IP-адрес. Его можно использовать для определения местоположения через обратный DNS.
2. Я многое узнал о RTB-аукционах (реального времени) и протоколе OpenRTB и был шокирован объемом и типами данных, которые передаются вместе со ставками на рекламных биржах.
3. Я отказался от идеи купить свои данные о местоположении у брокера данных или трекингового сервиса, потому что у меня нет достаточно крупной компании, чтобы получить пробный доступ, или 10-50 тысяч долларов на покупку огромной базы данных с данными миллионов людей, включая меня.
Ну, может, у меня и есть такие деньги, но такие траты кажутся нерациональными.
Оказалось, что данные о людях из ЕС — одни из самых дорогих.
Но все же, я знаю, что мои данные о местоположении были собраны, и я знаю, где их купить!
https://timsh.org/tracking-myself-down-through-in-app-ads/
tim.sh
Everyone knows your location
How I tracked myself down using leaked location data in the in-app ads, and what I found along the way.
😨61🔥33👍9❤6🤬4🤡3🐳2🤔1🤯1
В декабре 2024 года компания PowerSchool, ведущий поставщик облачных информационных систем для учащихся, стала жертвой взлома. Злоумышленники получили несанкционированный доступ к порталу поддержки клиентов PowerSource, используя скомпрометированные учетные данные. Теперь становится понятен масштаб утечки — 62 млн записей студентов, включая информацию об особых образовательных потребностях, психическом здоровье, дисциплинарных нарушениях и судебных запретах для родителей.
https://www.bleepingcomputer.com/news/security/powerschool-hacker-claims-they-stole-data-of-62-million-students/
https://therecord.media/powerschool-breach-exposed-special-ed-status-mental-health-data
https://www.bleepingcomputer.com/news/security/powerschool-hacker-claims-they-stole-data-of-62-million-students/
https://therecord.media/powerschool-breach-exposed-special-ed-status-mental-health-data
BleepingComputer
PowerSchool hacker claims they stole data of 62 million students
The hacker who breached education tech giant PowerSchool claimed in an extortion demand that they stole the personal data of 62.4 million students and 9.5 million teachers.
🤯32👍3😁3👀3🔥2🎉1
раз уж вы там про ИИ в комментариях, то вот хорошая тема — инъекция информации в чатбот Gemini с откладыванием в долгосрочную память.
The result of Rehberger’s attack is the permanent planting of long-term memories that will be present in all future sessions, opening the potential for the chatbot to act on false information or instructions in perpetuity.
https://arstechnica.com/security/2025/02/new-hack-uses-prompt-injection-to-corrupt-geminis-long-term-memory/
The result of Rehberger’s attack is the permanent planting of long-term memories that will be present in all future sessions, opening the potential for the chatbot to act on false information or instructions in perpetuity.
https://arstechnica.com/security/2025/02/new-hack-uses-prompt-injection-to-corrupt-geminis-long-term-memory/
Ars Technica
New hack uses prompt injection to corrupt Gemini’s long-term memory
There’s yet another way to inject malicious prompts into chatbots.
🔥41👍8😱4❤1
февральский патч безопасности у Microsoft
https://msrc.microsoft.com/update-guide/releaseNote/2025-Feb
63 уязвимости, среди которых есть уязвимости в активной эксплуатации:
1. CVE-2025-21418: Уязвимость повышения привилегий в драйвере Windows Ancillary Function Driver for Winsock. Затрагивает Windows 10, 11 и различные версии Windows Server.
2. CVE-2025-21391: Уязвимость повышения привилегий в Windows Storage, позволяющая локальному атакующему удалять файлы при определенных условиях.
Наиболее серьезной является уязвимость CVE-2025-21198 с рейтингом CVSS 9.0, может иметь серьезные последствия для инфраструктуры высокопроизводительных вычислений.
https://msrc.microsoft.com/update-guide/releaseNote/2025-Feb
63 уязвимости, среди которых есть уязвимости в активной эксплуатации:
1. CVE-2025-21418: Уязвимость повышения привилегий в драйвере Windows Ancillary Function Driver for Winsock. Затрагивает Windows 10, 11 и различные версии Windows Server.
2. CVE-2025-21391: Уязвимость повышения привилегий в Windows Storage, позволяющая локальному атакующему удалять файлы при определенных условиях.
Наиболее серьезной является уязвимость CVE-2025-21198 с рейтингом CVSS 9.0, может иметь серьезные последствия для инфраструктуры высокопроизводительных вычислений.
🤝18👍10🤨1
интересная тема по превращению любого устройства с Bluetooth в трекер Apple AirTag. Исследователи придумали способ, который позволяет злоумышленникам взять сигнал Bluetooth любого устройства, вычислить возможный приватный ключ от системы FindMy, передать его на серверы Apple FindMy, а затем получать местоположение этого устройства.
https://nroottag.github.io
https://nroottag.github.io
nroottag.github.io
nRootTag - Tracking You from a Thousand Miles Away!
Research on how Apple's Find My network can be exploited to track non-Apple devices
🔥53😱28🤯7🤔3🤡2👍1
официальная КБ от Apple по этому поводу
https://support.apple.com/en-us/122234
“Данные, такие как iCloud Keychain и Health, остаются защищенными полным сквозным шифрованием.
iMessage и FaceTime по-прежнему зашифрованы по всему миру, в том числе и в Великобритании.”
ну это пока. в новом мире Трампа, я думаю, Тим Кук уже не будет так борзо сопротивляться ФБР, предотвращая появление бэкдоров в iOS
https://support.apple.com/en-us/122234
“Данные, такие как iCloud Keychain и Health, остаются защищенными полным сквозным шифрованием.
iMessage и FaceTime по-прежнему зашифрованы по всему миру, в том числе и в Великобритании.”
ну это пока. в новом мире Трампа, я думаю, Тим Кук уже не будет так борзо сопротивляться ФБР, предотвращая появление бэкдоров в iOS
Apple Support
Apple can no longer offer Advanced Data Protection in the United Kingdom to new users - Apple Support
Here's what it means.
😢36🤡16😁8🤔2
Forwarded from Раньше всех. Ну почти.
❗️Apple отключит функцию расширенной защиты облачных данных (Advanced Data Protection, ADP) в Великобритании.
Такое решение принято компанией спустя две недели после появления в СМИ информации о том, что власти Великобритании потребовали от нее создать так называемый "бэкдор" для доступа к данным клиентов по всему миру.
Apple сообщила в пятницу, что ADP будет недоступна для новых пользователей в Великобритании. Тем, кто уже использует функцию, придется вручную отключить ее в течение определенного периода, чтобы сохранить учетные записи iCloud.
ADP для iCloud - это необязательная функция, добавляющая сквозное шифрование для обеспечения более высокого уровня безопасности облачных данных. Она защищает в том числе резервные копии iСloud, заметки, фото, текстовые сообщения и другие данные.
Такое решение принято компанией спустя две недели после появления в СМИ информации о том, что власти Великобритании потребовали от нее создать так называемый "бэкдор" для доступа к данным клиентов по всему миру.
Apple сообщила в пятницу, что ADP будет недоступна для новых пользователей в Великобритании. Тем, кто уже использует функцию, придется вручную отключить ее в течение определенного периода, чтобы сохранить учетные записи iCloud.
ADP для iCloud - это необязательная функция, добавляющая сквозное шифрование для обеспечения более высокого уровня безопасности облачных данных. Она защищает в том числе резервные копии iСloud, заметки, фото, текстовые сообщения и другие данные.
😢44🤡36💩14😡8😁7👍3😱1😭1