еще одна смешная история. Я все склонялся к тому, что статья не очень по теме канала, но мне её столько раз прислали уже, что, видимо, я все-таки ошибаюсь (никогда такого не было, и вот опять!). Короче, статья о том, как чувак в Калифорнии зарегистрировал себе автомобильный номер NULL, возможно, надеясь, что это уменьшит количество штрафов, которые он будет получать. (ну и номер прикольный, да). Но оказалось, что штрафы в Калифорнии для их местного ГАИ выписывает коммерческий подрядчик, у которого в системе все было гораздо проще: если номер не распознался или отсутствует, в базу записывается NULL. Поэтому чуваку пришли все такие штрафы, на 12 тыс долларов. Хорошо.
https://www.wired.com/story/null-license-plate-landed-one-hacker-ticket-hell/

у меня когда-то давно, когда я был молодой и глупый, был такой номер. вообще штрафов не приходило 🙂

историю про банк Capital One и утечку сотни миллионов пользовательских записей помните, да? (https://t.me/alexmakus/2958) Похоже, что Пейдж Томпсон, обвиняемая в этой утечке, получила доступ к данным еще 30 компаний. Говорят, что среди потенциальных жертв могут оказаться Unicredit, Vodafone, Ford. Основное подозрение, что Томпсон, как бывший сотрудник Amazon, знала о какой-то уязвимости в AWS (ну, или забыли у нее права отобрать при уходе), и таким образом получила доступ к информации. Доказательств, что она данные успела куда-то слить или продать, нет. А вообще там яркая личность: преследование других людей, угрозы устроить стрельбу в офисе, угрозы сделать "самоубийство полицией".

Вот документы, поданные прокуром в суд по этому делу
https://www.scribd.com/document/421860692/Thompson-New-Memorandum

Но ладно Capital One. Британская компания Suprema, которая предоставляет услуги банкам, полиции и другим организациям по аутентификации сотрудников для доступа в защищенные здания, оставила базу с информацией доступной в интернете всем желающим. 1 миллион человек, биометрическая информация о распознавании лиц и отпечатков пальцев, незашифрованные пароли и другая личная информация пользователей системы Biostar 2 (логи доступа, фотографии, уровни доступа к информации, и тд). При этом в базе хранились не хеши отпечатков, которые нельзя отреверсить (как это сделано, например, при хранении биометрии в айфонах и андроид-смартфонах), а прямо сканы отпечатков, которые при желании можно и воспроизвести.

Базу данных нашли исследователи безопасности, и информации о том, был ли доступ к базе у злоумышленников, нет. При этом исследователи говорят, что они могли даже добавлять новых пользователей в базу. более того, разработчик системы еще к тому же не очень-то шел на сотрудничество.

https://www.vpnmentor.com/blog/report-biostar2-leak/

тут какаято совершенно сумасшедшая история про Уганду и то, как правительство Уганды следило за оппозиционером и его смартфоном, включая перехват шифрованной переписки. (а что тут нового, скажете вы?) а суть тут такая, что органы выяснили модель смартфона, которым пользовался "угандийский навальный", и обратилась к производителю смартфона для того, чтобы помочь со слежкой за оппозиционером и получением доступа к данным на телефоне. Два сотрудника производителя смартфона использовали израильское ПО (видимо, что-то от NSO Group, которая уже неоднократно фигурировала в этом канале) для взлома и получения данных. Производитель (который отрицает свое участие в этом празднике безопасности) — Huawei. Слоган компании — Make it possible — начинает играть новыми красками.

пейволл https://www.wsj.com/articles/huawei-technicians-helped-african-governments-spy-on-political-opponents-11565793017?mod=searchresults&page=1&pos=1

рерайт https://www.theregister.co.uk/2019/08/15/huawei_uganda_report/

PS кстати, на фоне новостей о крупных закупках правительства Уганды оборудования для видеонаблюдения угадайте у какого компании, эта новость уже не выглядит такой удивительной. Хотя нет, все равно выглядит. WTF?
https://www.msn.com/en-us/news/world/ugandas-cash-strapped-cops-spend-126-mln-on-cctv-from-huawei/ar-AAFQ5FV

хаха, там с Хуавеем еще и Замбия отметилась, кстати. Замбия твитит, что все это неправда
https://twitter.com/Mwebantu/status/1162406643679813632

Эти новости из категории "никогда такого не было, и вот опять". 85 приложений в Google Play, притворяющихся фото-приложениями, 8 млн установок, а все для того, чтобы показывать рекламу на весь экран
https://blog.trendmicro.com/trendlabs-security-intelligence/adware-posing-as-85-photography-and-gaming-apps-on-google-play-installed-over-8-million-times/

странная история о "недосмотре" в антивирусе Лаборатории Касперского, который присваивал пользователям уникальный UUID при проверке УРЛов в браузере на безопасность. УРЛы должны были показывать зеленый значок безопасности в браузере, но это достигалось инъекцией скрипта в загружаемые странички. Проблема была в том, что UUID был уникальным для компьютера и не менялся, что привело, по сути, к созданию механизма слежения за пользователями на разных сайтах. проблема появилась в 2015 году, и была исправлена только в 2019 году, после того, как журналисты, обнаружившие проблему, сообщили о ней разработчику.

статья обнаруживших проблему https://www.heise.de/ct/artikel/Kasper-Spy-Kaspersky-Anti-Virus-puts-users-at-risk-4496138.html

информация об уязвимости
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8286

Исправление заключается в том, что UUID теперь уникальный для всех пользователей определенной версии продукта ЛК, что, как пишут журналисты, тоже не идеально. Злоумышленники могут узнать о том, каким продуктом ЛК пользуются пользователи, и оттуда попытаться уже каким-то образом обмануть пользователя. Журналисты предлагают просто отключить в настройках опцию внедрения скрипта в трафик, хотя, уверен, параноики предложат удалить продукт ЛК с компьютера.

на фоне этой истории, конечно, то, что ЛК пытается заставить Apple через ФАС дать первым возможность собирать аналитику в мобильном приложении по мониторингу детей, выглядит несколько... мммм... как бы это сказать? 🙂 Спорно, как минимум.

https://alexmak.net/2019/08/08/lk-fas-apple/

Поскольку канал читают не только те, кому эта тема интересна, но и профессионалы «этого дела», то вам может быть полезно почитать про вакансии, доступные специалистам по информационной безопасности. Вакансии - штука полезная, поэтому публикуются бесплатно.
————РАБОТА!————
Центр информационной безопасности сбытовых предприятий ПАО «Газпром нефть» открыл новые позиции!

Если Вам знакомы такие понятия, как devsecops, hardening, docker, аудит и этичный хакинг, знаете и используете нормативные акты РФ в сфере информационной безопасности, а также лучшие практики по защите автоматизированных систем, загляните сюда:

https://spb.hh.ru/vacancy/31998607
https://spb.hh.ru/vacancy/31999154
https://spb.hh.ru/vacancy/31999400
 
Вопросы и резюме можно направлять на Sperantseva.ea@gazprom-neft.ru или откликами на вакансии на hh.ru .

Очень странная лажа со стороны Apple. Они исправили некий баг в 12.3, а в 12.4, видимо, влили какой-то старый код, который фикс откатил обратно. Результат: используя этот баг, исследователи смогли выпустить джейлбрейк для версии 12.4, что стало первым джейлбрейком iOS для публичной актуальной версии системы за последние несколько лет


https://www.vice.com/en_us/article/qvgp77/hacker-releases-first-public-iphone-jailbreak-in-years

https://github.com/pwn20wndstuff/Undecimus/releases

Это в целом достаточно серьезная лажа, так как джейлбрейк может применяться с разными целями. Кто-то может поставить себе приложение-рекордер звонков, а кто-то - вредоносное ПО-шпион. Джейлбрейки в сфере инфосека часто используются для того, чтобы получить более свободный доступ к системе и изучать её на предмет других уязвимостей. Не удивлюсь, если в ближайшие пару дней Apple срочно выкатит 12.4.1 для исправления этой лажи.

MoviePass, кластерфак прошлого года (модный стартап, пытавшийся очень агрессивно продвигать тему подписки для подходов в кино и неоднократно обосравшийся на этой теме), снова в новостях. В этот раз — по теме канала. Так как компания оставила открытой базу данных доменных адресов компании, среди которых обнаружилась коллекция пользовательской информации. в частности, номера дебетных карт клиентов компании (они же - карты участников программы), баланс карт, дату окончания срока действия, а также записи с персональными картами пользователей, адресами и именами. рубрика "никогда такого не было, и вот опять"
https://techcrunch.com/2019/08/20/moviepass-thousands-data-exposed-leak/

а эта новость пригодится юзерам техники Apple — айфонов, айпадов и Маков. Yubico наконец-то начали поставки ключа YubiKey 5Ci, который содержит в себе одновременно разъемы Lightning и USB-C, и поддерживает все платформы компании. https://www.yubico.com/product/yubikey-5ci

Самого ключа недостаточно, нужно, чтобы приложение поддерживало его. В случае с этим ключом вот список совместимых приложений
https://www.yubico.com/works-with-yubikey/catalog/#protocol=all&usecase=all&key=-yubikey-5ci

Полезная ссылка от читателя
https://www.linux.org.ru/news/security/15175589

Motherboard сообщает о том, что подрядчики Microsoft прослушивали не только записи Cortana, но и аудиозаписи игроков Xbox, у которой тоже есть команды голосовой активации
https://www.vice.com/en_us/article/43kv4q/microsoft-human-contractors-listened-to-xbox-owners-homes-kinect-cortana

тем временем Google, Mozilla и Apple решили блокировать сертификат Казахстана для перехвата трафика
https://venturebeat.com/2019/08/21/google-and-mozilla-block-kazakhstan-root-ca-certificate-from-chrome-and-firefox/

ладно я еще могу понять отображение проникновения через компьютер в виртуальный мир. и даже маску. Но что делают эти перчатки?

популярный хостинг-провайдер Hostinger рассказал о неавторизованном доступе к базе данных клиентов компании (через найденный токен получили доступ в API базы). В базе данных хранились логины, имейлы, пароли в алогоритме SHA-1. Всего у компании 29 млн клиентов, злоумышленники получили доступ к данным 14 млн человек. Те клиенты, кого это затронуло, уже должны были получить имейл о сбросе пароля

https://www.hostinger.com/blog/security-incident-what-you-need-to-know/?trifyguhioy8

Гонконгские IT-специалисты выяснили, как узнать телефонный номер пользователя Telegram, даже если тот скрыл его от всех в настройках мессенджера. Утечка происходит через публичные чаты — члены таких групп могут распознать среди участников контакты из своей телефонной книжки.

https://threatpost.ru/telegram-shows-your-number-despite-your-sociophobia/33870/

Собственно, как я и предполагал тут (https://t.me/alexmakus/3005), Apple выкатила апдейт 12.4.1 для iPhone, где вкатила фикс того, что она откатила в 12.4 после того, как пофиксила в 12.3 (да, оно на самом деле так запутанно и есть, как звучит)
https://support.apple.com/en-us/HT210549