в качестве бонуса для оставшихся 1699 читателей — информация об очередной утечке, в этот раз — 58 миллионов записей, включая имейл, дату рождения, имя, адрес и номер телефона. Данные были украдены из незащищенной базы данных MongoDB компании Modern Business Solution, о которой вы, скорей всего, никогда не слышали (я тоже, например, не слышал). Фишка в том, что компания — из области B2B, то есть это такой хостинг баз данных для других бизнесов, так что если даже вы напрямую там ничего не хранили, возможно, что кто-то из клиентов MBS хранил там ваши данные. как и обычно в таких ситуациях, на помощь спешит https://haveibeenpwned.com/, у которого уже есть доступ к утекшей базе MBS, и вы можете проверить наличие своей информации там. вот тут немного больше информации про утечку из MBS https://www.riskbasedsecurity.com/2016/10/modern-business-solutions-stumbles-over-a-modern-business-problem-58m-records-dumped-from-an-unsecured-database/

парочка ссылок от читателя Виктора, который поделился информацией в почту. В частности, ссылка 1: про уязвимость, которая позволяет одним социальным сервисам получать информацию о том, залогинены ли вы в другой социальный сервис. лечится, например, установкой плагина в браузер (но safari не поддерживается) https://robinlinus.github.io/socialmedia-leak/. Ссылка 2: статья в медузе, где они пересказывают то, что уже какое-то время назад было известно: используя информацию из гироскопа или батарейки, можно получить информацию о владельце смартфона. это, в целом, не новость, но повторить это будет не лишним https://meduza.io/feature/2016/10/14/giroskop-i-batareyka-shpionyat-za-vami

ну и ни дня без новостей про IoT, потому что it never ends, this shit. Akamai пишет о том, как с помощью эксплуатации уязвимости 12-ЛЕТНЕЙ!!! давности в SSH строятся ботнеты из IoT-барахла. вот информация об этой уязвимости http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-1653, вот пост у Akamai об этоhttps://blogs.akamai.com/2016/10/when-things-attack.html, а вот ПДФ с детальной информацией https://regmedia.co.uk/2016/10/13/sshowdown-exploitation-of-iot-devices.pdf

сегодня мы вкрации поговорим о "безопасных" приложениях — тех приложениях, которые обещают безопасно хранить ваши данные, например, тексты или фотографии. Если вы пользуетесь подобными приложениями на Android, то у меня для вас плохие новости. почитайте вот статью, как с помощью молотка и какой-то матери можно получить доступ к материалам, хранящимся внутри подобных приложений. мораль статьи такова, что большинство разработчиков таких программ сами толком нихрена не смыслят в безопасности и в итоге обманывают пользователя несбыточными обещаниями http://bbqand0days.com/Password-Storage-In-Sensitive-Apps/

добрый вечер. с вами в эфире очередные новости из мира информационной опасности. например, странная история про журнал о диабете, который опубликовал логин и пароль к своей базе данных прямо у себя на сайте.

в рамках постоянных взломов и утечек информации из почты (то демократической партии, то штаба клинтон) эксперты взглянули на почтовые сервера трампа. а там.... Win2k3, и IIS 6.0. короче, "заходи, кто хочет, бери что хочешь"

тут Vice пишет о том, как в России планируют монтировать на базовых станциях для сотовой связи подавители сигналов, которые типа как должны сбить с толку ракеты. вообще вся эта военная истерия, конечно, наводит депрессию и вызывает желание начать компать бункер, как в Cloverfield Lane 10 http://motherboard.vice.com/read/russia-plans-to-turn-civilian-cell-phone-towers-into-cruise-missile-jammers

И снова здравствуйте, дорогие читатели. сегодня у нас привет Мак-юзерам. Эксперты из Intego обнаружили новую малварь для Мака, которая маскируется под установщик Adobe Flash (кто бы мог подумать, что его будут по-прежнему добровольно ставить?). Причем там забавно, вначале типа как выглядит "поставь Flash", а когда начинаешь устанавливать, начинается уже веселее. Нельзя сказать, что это — сильно вредоносное приложение, по крайней мере, пока; все, что оно делает — это через скрипт закачивает приложения и устанавливает на Мак. пока что оно устанавливает MPlayer, но ведь кто знает, что оно решит поставить потом? Так что осторожней там, и уж точно не качайте никаких установщиков Flash, это вам точно не надо https://www.intego.com/mac-security-blog/silverinstaller-uses-new-techniques-to-install-puapup/?utm_medium=email&utm_source=security_alert&utm_campaign=security_alert_2016_10_19_silverinstaller&utm_content=intro

не совсем инфосековое, но очень интересно — препарирование приложения Facebook для iOS. Шутка ли — 165МБ, стало интересно, что же туда натолкали, а тут оппа — все уже написано. один список сторонних библиотек чего стоит http://blog.timac.org/?p=1303

большое исследование экспертов из университета Georgetown о том, что половина взрослого населения США находится в базах распознавания лиц правоохранительных органов. там рассказывается, как некоторые штаты просто дают доступ полиции и ФБР для поиска преступников, используя информацию из фотографий в водительских удостоверениях. основная проблема заключается в том, что, по мнению правозащитников, невинные люди не должны находиться в базах для поисков преступников, и то, что ФБР с полицией имеют неконтролируемый доступ к ней, сильно неправильно https://www.perpetuallineup.org/sites/default/files/2016-10/The%20Perpetual%20Line-Up%20-%20Center%20on%20Privacy%20and%20Technology%20at%20Georgetown%20Law.pdf

Сегодня в качестве бонуса — лонгрид в виде отчета компании Eset о деятельности группы хакеров Sednit, также известной под именем Fancy Bear. Говорят, именно она стоит за взломом комиссии демократической партии США и еще много чего. В США много говорят о том, что группировка создана и функционирует при поддержке госорганов РФ, хотя четких доказательств этого пока что никто не предоставил. показательно, что многие свои "взломы" группировка реализовывала с помощью фишинга — то есть когда жертва получает ссылку (в почте или еще как-нибудь) на страницу, которая выглядит "как настоящая", где приходится ввести логин-пароль, а дальше уже дело техники. В общем, почитайте, там много интересного http://www.welivesecurity.com/wp-content/uploads/2016/10/eset-sednit-part1.pdf

и вот еще статья в The New York Times, как у подрядчика обнаружили залежи украденных у NSA документов и инструментов для взлома. и после этого ФБР будет рассказывать "ну вы сделайте тут бэкдор для айфона, мы его будем надежно хранить, никто его не заполучит". хахаха. остается только отдать должное Apple, что у компании тогда хватило яиц противостоять ФБР http://www.nytimes.com/2016/10/20/us/harold-martin-nsa.html?_r=1

Хак за Родину (из американского Esquire)