Для чего только в эти дни не делают приложения, чтобы помогало найти друзей по интересам. Тиндер, грайндер, и вот тут Трифан (3Fun), которое, как вы можете догадаться, позволяет пользователям находить любителей секса, где больше двух человек.
Наверно, не станет сюрпризом тот факт, что у такого приложения произошла утечка данных, в которых раскрылись данные местоположения пользоватей, даты рождения, предпочтения в их, скажем так, интересах, скрытые фотографии, и другая частная информация. Точнее, так: данные были доступны публично, но была ли реальная утечка данных, непонятно. В любом случае, исследователи смогли получить все, что хотели, от приложения:
https://www.pentestpartners.com/security-blog/group-sex-app-leaks-locations-pictures-and-other-personal-details-identifies-users-in-white-house-and-supreme-court/
Анекдот в тему:
- В групповом сексе участвовать будешь?
- А кто участвует?
- Ты, я и твоя жена.
- Вот еще!
- Ну, тогда я тебя вычеркиваю...
(раньше было проще, никаких приложений)
Наверно, не станет сюрпризом тот факт, что у такого приложения произошла утечка данных, в которых раскрылись данные местоположения пользоватей, даты рождения, предпочтения в их, скажем так, интересах, скрытые фотографии, и другая частная информация. Точнее, так: данные были доступны публично, но была ли реальная утечка данных, непонятно. В любом случае, исследователи смогли получить все, что хотели, от приложения:
https://www.pentestpartners.com/security-blog/group-sex-app-leaks-locations-pictures-and-other-personal-details-identifies-users-in-white-house-and-supreme-court/
Анекдот в тему:
- В групповом сексе участвовать будешь?
- А кто участвует?
- Ты, я и твоя жена.
- Вот еще!
- Ну, тогда я тебя вычеркиваю...
(раньше было проще, никаких приложений)
Pentestpartners
Group sex app leaks locations, pics and personal details. Identifies users in White House and Supreme Court | Pen Test Partners
We’ve seen some pretty poor security in dating apps over recent years; breaches of personal data, leaking users locations and more. But this one really takes the biscuit: probably the […]
мне уже с утра прислали несколько раз ссылки с содержанием "ааааа, face id взломали!!!" (face id — система сканирования лица для разблокировки в устройствах Apple). Если не обращать внимания на любителей дешевых кликов, и почитать оригинал, то оттуда можно узнать интересные детали. Действительно, на BlackHat исследователи показали интересную уязвимость в технологии Face ID, которая позволяет обойти так называемую "детекцию жизни" или, возможно, "одушевленности". Эта фишка используется для определения того, смотрит ли человек в камеру, так называемая детекция внимания — полезная опция в Face ID. Короче, суть в том, что если на жертву надеть очки со специально размещенной на линзах черной и белой лентой, то Face ID переключится в немного другой режим распознавания, и разблокирует телефон, даже если человек не смотрит в телефон. то есть для успешной атаки нужен человек-владелец iPhone, и в идеале он должен быть без сознания. Тогда на него можно надеть эти очки, и просканировать его лицо с помощью Face ID. Уверен, российские полицейские с радостью возьмут этот метод на вооружение — привести жертву в состояние "без сознания" им не составит никакого труда.
https://threatpost.com/researchers-bypass-apple-faceid-using-biometrics-achilles-heel/147109/
https://threatpost.com/researchers-bypass-apple-faceid-using-biometrics-achilles-heel/147109/
Threat Post
Researchers Bypass Apple FaceID Using Biometrics ‘Achilles Heel’
Researchers were able to bypass Apple's FaceID using a pair of glasses with tape on the lenses.
A new harmful virus has been discovered which records victims' desktops when they visit an adult website in a blackmail scam.
The malware, named Varenyky, has sparked fears that hackers could use the footage to extort users for money, antivirus maker ESET said in a report.
Какое интересное название у вируса
The malware, named Varenyky, has sparked fears that hackers could use the footage to extort users for money, antivirus maker ESET said in a report.
Какое интересное название у вируса
Анонимность? Какая анонимность? Signal, конечно, лучше, но хотя бы номер телефона от всех скройте в настройках Телеграма (АПДъ Короче, все тлен и бессмысленно, можно не скрывать)
https://meduza.io/feature/2019/08/10/kto-takoy-tovarisch-mayor
https://meduza.io/feature/2019/08/10/kto-takoy-tovarisch-mayor
Meduza
Товарищ майор
В пятницу, 9 августа, за день до митинга на проспекте Сахарова, в телеграм-канале «Товарищ майор» (@MayorFSB) появился пост со словами: «Слушай, ну эти идиоты в чате Команды Навального совсем обезумели — они случайно выложили прямо в свой чат ВСЮ базу своих…
Сегодня такой день, что могу только бросить вам несколько ссылок, присланных читателями! (обещаю исправиться)
Google позволяет пользователям скачать архив со всеми собранными данными о них. Реддиторы, сделавшие это, рассказывают об интересной/пугающей информации, которую они там обнаружили
https://telegra.ph/rAskReddit-CHast-82-08-11
Google позволяет пользователям скачать архив со всеми собранными данными о них. Реддиторы, сделавшие это, рассказывают об интересной/пугающей информации, которую они там обнаружили
https://telegra.ph/rAskReddit-CHast-82-08-11
Telegraph
r/AskReddit. Часть 82
Google позволяет пользователям скачать архив со всеми собранными данными о них. Реддиторы, сделавшие это, рассказывают об интересной/пугающей информации, которую они там обнаружили Уже ни для кого не секрет, что Гугл складирует огромное количество информации…
уязвимости в протоколе Picture Transfer Protocol (PTP) в камерах Canon, позволяют получить контроль над устройством и даже установить шифрующе-вымогающее ПО. Можно отключить WiFi, можно поставить апдейт прошивки камеры
https://www.bleepingcomputer.com/news/security/canon-dslr-camera-infected-with-ransomware-over-the-air/
https://www.bleepingcomputer.com/news/security/canon-dslr-camera-infected-with-ransomware-over-the-air/
BleepingComputer
Canon DSLR Camera Infected with Ransomware Over the Air
Vulnerabilities in the image transfer protocol used in digital cameras enabled a security researcher to infect with ransomware a Canon EOS 80D DSLR over a Wifi connection.
уязвимость в SQLite, приводящая к исполнению кода, с примером на iOS, потому что Apple забила на исправление баги
https://research.checkpoint.com/select-code_execution-from-using-sqlite/
https://research.checkpoint.com/select-code_execution-from-using-sqlite/
Check Point Research
SELECT code_execution FROM * USING SQLite; - Check Point Research
Gaining code execution using a malicious SQLite database Research By: Omer Gull tl;dr SQLite is one of the most deployed software in the world. However, from a security perspective, it has only been examined through the lens of WebSQL and browser exploitation.…
Бойтесь друзей, кабели для айфона приносящие (удаленный доступ к компьютеру, к которому подключен кабель — бесплатный бонус с помощью импланта в кабеле)
https://www.vice.com/en_us/article/evj4qw/these-iphone-lightning-cables-will-hack-your-computer
https://www.vice.com/en_us/article/evj4qw/these-iphone-lightning-cables-will-hack-your-computer
Vice
These Legit-Looking iPhone Lightning Cables Will Hijack Your Computer
It looks like an Apple lightning cable. It works like an Apple lightning cable. But it will give an attacker a way to remotely tap into your computer.
по наводке читателя: уязвимость в Windows, аналогичная нашумевшей BlueKeep (CVE-2019-0708), только этот раз не надо выпускать патч для Windows XP. Затронуты версии от Windows 7 SP1 до Windows 10, включая различные серверные версии. Уязвимости, как пишет Microsoft, "wormable", то есть имеют свойство размножаться между компьютерами без помощи пользователей.
https://msrc-blog.microsoft.com/2019/08/13/patch-new-wormable-vulnerabilities-in-remote-desktop-services-cve-2019-1181-1182/
апдейты брать тут
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182
Кто не проапдейтился, тот сам себе Кевин Митник.
https://msrc-blog.microsoft.com/2019/08/13/patch-new-wormable-vulnerabilities-in-remote-desktop-services-cve-2019-1181-1182/
апдейты брать тут
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1182
Кто не проапдейтился, тот сам себе Кевин Митник.
смешная история про то, как подросток нашел уязвимости в информационной системе школы (а также района), позволявшей получить доступ ко всем записям о студентах и проч. Говорит, разработчик системы игнорировал его информацию об уязвимостях, поэтому он отправил сообщение всем пользователям, зарегистрированным в системе. Так его заметили и на два дня отстранили от занятий (можно это, конечно, назвать наказанием).
https://techcrunch.com/2019/08/09/school-data-student-security-def-con/
https://techcrunch.com/2019/08/09/school-data-student-security-def-con/
TechCrunch
How safe are school records? Not very, says student security researcher
If you can’t trust your bank, government or your medical provider to protect your data, what makes you think students are any safer? Turns out, according to one student security researcher, they’re not. Eighteen-year-old Bill Demirkapi, a recent high school…
еще одна смешная история. Я все склонялся к тому, что статья не очень по теме канала, но мне её столько раз прислали уже, что, видимо, я все-таки ошибаюсь (никогда такого не было, и вот опять!). Короче, статья о том, как чувак в Калифорнии зарегистрировал себе автомобильный номер NULL, возможно, надеясь, что это уменьшит количество штрафов, которые он будет получать. (ну и номер прикольный, да). Но оказалось, что штрафы в Калифорнии для их местного ГАИ выписывает коммерческий подрядчик, у которого в системе все было гораздо проще: если номер не распознался или отсутствует, в базу записывается NULL. Поэтому чуваку пришли все такие штрафы, на 12 тыс долларов. Хорошо.
https://www.wired.com/story/null-license-plate-landed-one-hacker-ticket-hell/
https://www.wired.com/story/null-license-plate-landed-one-hacker-ticket-hell/
WIRED
How a 'NULL' License Plate Landed One Hacker in Ticket Hell
Security researcher Joseph Tartaro thought NULL would make a fun license plate. He's never been more wrong.
историю про банк Capital One и утечку сотни миллионов пользовательских записей помните, да? (https://t.me/alexmakus/2958) Похоже, что Пейдж Томпсон, обвиняемая в этой утечке, получила доступ к данным еще 30 компаний. Говорят, что среди потенциальных жертв могут оказаться Unicredit, Vodafone, Ford. Основное подозрение, что Томпсон, как бывший сотрудник Amazon, знала о какой-то уязвимости в AWS (ну, или забыли у нее права отобрать при уходе), и таким образом получила доступ к информации. Доказательств, что она данные успела куда-то слить или продать, нет. А вообще там яркая личность: преследование других людей, угрозы устроить стрельбу в офисе, угрозы сделать "самоубийство полицией".
Вот документы, поданные прокуром в суд по этому делу
https://www.scribd.com/document/421860692/Thompson-New-Memorandum
Вот документы, поданные прокуром в суд по этому делу
https://www.scribd.com/document/421860692/Thompson-New-Memorandum
Telegram
Информация опасносте
Воу, воу, мегаутечка у банка Сaptial One в США.
19 июля банк обнаружил, что была взломана база заявок на открытие кредитных карт банка. Сам несанкционированный взлом произошёл 22 и 23 марта 2019 года. Были украдены заявки людей, которые подавались на открытие…
19 июля банк обнаружил, что была взломана база заявок на открытие кредитных карт банка. Сам несанкционированный взлом произошёл 22 и 23 марта 2019 года. Были украдены заявки людей, которые подавались на открытие…
Но ладно Capital One. Британская компания Suprema, которая предоставляет услуги банкам, полиции и другим организациям по аутентификации сотрудников для доступа в защищенные здания, оставила базу с информацией доступной в интернете всем желающим. 1 миллион человек, биометрическая информация о распознавании лиц и отпечатков пальцев, незашифрованные пароли и другая личная информация пользователей системы Biostar 2 (логи доступа, фотографии, уровни доступа к информации, и тд). При этом в базе хранились не хеши отпечатков, которые нельзя отреверсить (как это сделано, например, при хранении биометрии в айфонах и андроид-смартфонах), а прямо сканы отпечатков, которые при желании можно и воспроизвести.
Базу данных нашли исследователи безопасности, и информации о том, был ли доступ к базе у злоумышленников, нет. При этом исследователи говорят, что они могли даже добавлять новых пользователей в базу. более того, разработчик системы еще к тому же не очень-то шел на сотрудничество.
https://www.vpnmentor.com/blog/report-biostar2-leak/
Базу данных нашли исследователи безопасности, и информации о том, был ли доступ к базе у злоумышленников, нет. При этом исследователи говорят, что они могли даже добавлять новых пользователей в базу. более того, разработчик системы еще к тому же не очень-то шел на сотрудничество.
https://www.vpnmentor.com/blog/report-biostar2-leak/
vpnMentor
Report: Data Breach in Biometric Security Platform Affecting Millions of Users
Led by internet privacy researchers Noam Rotem and Ran Locar, vpnMentor’s team recently discovered a huge data breach in security platform BioStar 2.
BioStar 2 is a web-based
BioStar 2 is a web-based
тут какаято совершенно сумасшедшая история про Уганду и то, как правительство Уганды следило за оппозиционером и его смартфоном, включая перехват шифрованной переписки. (а что тут нового, скажете вы?) а суть тут такая, что органы выяснили модель смартфона, которым пользовался "угандийский навальный", и обратилась к производителю смартфона для того, чтобы помочь со слежкой за оппозиционером и получением доступа к данным на телефоне. Два сотрудника производителя смартфона использовали израильское ПО (видимо, что-то от NSO Group, которая уже неоднократно фигурировала в этом канале) для взлома и получения данных. Производитель (который отрицает свое участие в этом празднике безопасности) — Huawei. Слоган компании — Make it possible — начинает играть новыми красками.
пейволл https://www.wsj.com/articles/huawei-technicians-helped-african-governments-spy-on-political-opponents-11565793017?mod=searchresults&page=1&pos=1
рерайт https://www.theregister.co.uk/2019/08/15/huawei_uganda_report/
PS кстати, на фоне новостей о крупных закупках правительства Уганды оборудования для видеонаблюдения угадайте у какого компании, эта новость уже не выглядит такой удивительной. Хотя нет, все равно выглядит. WTF?
https://www.msn.com/en-us/news/world/ugandas-cash-strapped-cops-spend-126-mln-on-cctv-from-huawei/ar-AAFQ5FV
пейволл https://www.wsj.com/articles/huawei-technicians-helped-african-governments-spy-on-political-opponents-11565793017?mod=searchresults&page=1&pos=1
рерайт https://www.theregister.co.uk/2019/08/15/huawei_uganda_report/
PS кстати, на фоне новостей о крупных закупках правительства Уганды оборудования для видеонаблюдения угадайте у какого компании, эта новость уже не выглядит такой удивительной. Хотя нет, все равно выглядит. WTF?
https://www.msn.com/en-us/news/world/ugandas-cash-strapped-cops-spend-126-mln-on-cctv-from-huawei/ar-AAFQ5FV
WSJ
Huawei Technicians Helped African Governments Spy on Political Opponents
Employees embedded with cybersecurity forces in Uganda and Zambia intercepted encrypted communications and used cell data to track opponents, according to a Wall Street Journal investigation. Huawei said it “rejects completely the unfounded and inaccurate…
хаха, там с Хуавеем еще и Замбия отметилась, кстати. Замбия твитит, что все это неправда
https://twitter.com/Mwebantu/status/1162406643679813632
https://twitter.com/Mwebantu/status/1162406643679813632
Twitter
Mwebantu
Huawei spying allegation is fake news, Government says. #Zambia @Dora_Siliya
Эти новости из категории "никогда такого не было, и вот опять". 85 приложений в Google Play, притворяющихся фото-приложениями, 8 млн установок, а все для того, чтобы показывать рекламу на весь экран
https://blog.trendmicro.com/trendlabs-security-intelligence/adware-posing-as-85-photography-and-gaming-apps-on-google-play-installed-over-8-million-times/
https://blog.trendmicro.com/trendlabs-security-intelligence/adware-posing-as-85-photography-and-gaming-apps-on-google-play-installed-over-8-million-times/
Trend Micro
Adware Posing as 85 Photography and Gaming Apps on Google Play Installed Over 8 Million Times
The mobile platform is ubiquitous — enabling users to make online transactions, run their everyday lives, or even use it in the workplace. It’s no surprise that fraudsters and cybercriminals would want to cash in on it. Delivering adware, for example, enables…
странная история о "недосмотре" в антивирусе Лаборатории Касперского, который присваивал пользователям уникальный UUID при проверке УРЛов в браузере на безопасность. УРЛы должны были показывать зеленый значок безопасности в браузере, но это достигалось инъекцией скрипта в загружаемые странички. Проблема была в том, что UUID был уникальным для компьютера и не менялся, что привело, по сути, к созданию механизма слежения за пользователями на разных сайтах. проблема появилась в 2015 году, и была исправлена только в 2019 году, после того, как журналисты, обнаружившие проблему, сообщили о ней разработчику.
статья обнаруживших проблему https://www.heise.de/ct/artikel/Kasper-Spy-Kaspersky-Anti-Virus-puts-users-at-risk-4496138.html
информация об уязвимости
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8286
Исправление заключается в том, что UUID теперь уникальный для всех пользователей определенной версии продукта ЛК, что, как пишут журналисты, тоже не идеально. Злоумышленники могут узнать о том, каким продуктом ЛК пользуются пользователи, и оттуда попытаться уже каким-то образом обмануть пользователя. Журналисты предлагают просто отключить в настройках опцию внедрения скрипта в трафик, хотя, уверен, параноики предложат удалить продукт ЛК с компьютера.
на фоне этой истории, конечно, то, что ЛК пытается заставить Apple через ФАС дать первым возможность собирать аналитику в мобильном приложении по мониторингу детей, выглядит несколько... мммм... как бы это сказать? 🙂 Спорно, как минимум.
https://alexmak.net/2019/08/08/lk-fas-apple/
статья обнаруживших проблему https://www.heise.de/ct/artikel/Kasper-Spy-Kaspersky-Anti-Virus-puts-users-at-risk-4496138.html
информация об уязвимости
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-8286
Исправление заключается в том, что UUID теперь уникальный для всех пользователей определенной версии продукта ЛК, что, как пишут журналисты, тоже не идеально. Злоумышленники могут узнать о том, каким продуктом ЛК пользуются пользователи, и оттуда попытаться уже каким-то образом обмануть пользователя. Журналисты предлагают просто отключить в настройках опцию внедрения скрипта в трафик, хотя, уверен, параноики предложат удалить продукт ЛК с компьютера.
на фоне этой истории, конечно, то, что ЛК пытается заставить Apple через ФАС дать первым возможность собирать аналитику в мобильном приложении по мониторингу детей, выглядит несколько... мммм... как бы это сказать? 🙂 Спорно, как минимум.
https://alexmak.net/2019/08/08/lk-fas-apple/
c't Magazin
Kasper-Spy: Kaspersky Anti-Virus puts users at risk
Kaspersky promises security and data protection. However, a data leak allowed third parties to spy on users while they were surfing the web. For years.