20475
Чаще про c̶y̶b̶e̶r̶s̶e̶x̶ cybersec Нет, «опасносте» не опечатка @alexmaknet Размещение рекламы остановлено в связи с войной России против Украины
«Проукраинские» хакеры похитили данные пользователей подконтрольного «Газпром-медиа» сервиса Yappy, сообщают профильные Telegram-каналы и подтверждают источники «Ъ». В открытом доступе оказались таблицы на 2 млн строк, в них содержатся ФИО, мобильные телефоны, даты регистрации и другие данные пользователей сервиса. Эксперты предполагают, что злоумышленники получили доступ к данным через аккаунт одного из администраторов сервиса.
https://www.kommersant.ru/doc/5653066
ноябрьский Patch Tuesday у Microsoft. 68 уязвимостей, включая 4 zero day
-CVE-2022-41128, JScript9 RCE, via Google TAG
-CVE-2022-41091, MOTW bypass
-CVE-2022-41073, Print spooler EoP, via MSTIC
-CVE-2022-41125, CNG EoP
https://rawcdn.githack.com/campuscodi/Microsoft-Patch-Tuesday-Security-Reports/1a976afcf461b6f104d40601305e4c9773175f57/Reports/MSRC_CVEs2022-Nov.html
В письме, разосланном в госструктуры и банки, Минцифры попросило «в возможно короткие сроки» уточнить, какие VPN-сервисы они используют или планируют использовать, а также в каких целях они это делают и в каких локациях. В опросном листе компания должна указать название и тип VPN, систему, интернет-ресурс и т. д., для использования которых необходим VPN, в том числе в технологических целях (банки/банкоматы, платежные системы, системы хранения данных и т. п.), а также город, регион России или страну использования.
Блокировке оставшихся сервисов VPN быть?
https://www.vedomosti.ru/technology/articles/2022/11/08/949240-roskosmos-rosteh-i-banki-otchitayutsya-ob-ispolzovanii-vpn?from=newsline
Кто-то в AstraZeneca оставил на GitHub набор внутренних паролей, что открыло доступ к облачной системе с данными пациентов.
https://techcrunch.com/2022/11/03/astrazeneca-passwords-exposed-patient-data/
Не знаю, насколько правда — склоняюсь, что нет, но забавно: якобы Cisco удаленно отконфигурировало пользователям в рф беспроводные точки доступа в открытый бесплатный доступ
(платов, похоже, текст потер, а батранков все еще нет)
кстати про Эпол. там вышли iOS 16.1/iPadOS 16.1, и количество критических CVE в них достаточно большое, чтобы не оттягивать с установкой. Включая даже такое:
Impact: An application may be able to execute arbitrary code with kernel privileges. Apple is aware of a report that this issue may have been actively exploited.
https://support.apple.com/en-us/HT213489
Эпол наконец-то запустила полноценный вебсайт по поводу своей программы по кибербезопасноти, выплатам за обнаруженные проблемы, и получении устройств для исследований. Но выплаты все равно будет минимизировать
https://security.apple.com
Потому что за утечки пользовательских данных платить много не хочется, да и тратиться на обеспечение безопасности этих данных тоже не хочется
https://incrussia.ru/news/fond-dlya-vyplat/
Интересно, список доменов, которые пытаются майнить криптовалюту в браузерах пользователей. Полезно добавить их в блокиратор рекламы
https://github.com/Marfjeh/coinhive-block/blob/master/domains
есть интересный апдейт про OnePlus:
The OnePlus story about sending data back to Chinese servers is complete and total FUD.
In short, this is what happens when people who don't know what they're looking at (for example, me) try to draw technical conclusions with incomplete information. No, OnePlus is not sending your bank account number to China, nor is it collecting your text messages.
And no, OnePlus isn't collecting its Chinese users' bank account numbers. The dude found a file of the *blacklisted* content that is explicitly voided out for collection on the Chinese ROM.
If you want to complain about data harvesting in China, have at it. We aren't in China.
https://twitter.com/RDR0b11/status/956951714870984704
тут мне подсказывают, что вдогонку про историю с OnePlus надо бы указать и некий вывод, сделанный автором изначального обнаружения подозрительной библиотеки в ОС OnePlus:
"пока что мы можем только сделать вывод о том, что это не нормально — включать такой SDK в приложение для управления буфером обмена, даже если это SDK неактивно"
https://twitter.com/fs0c131y/status/956920886120144897
Ладно, OnePlus. Но эта контора Teddymobile сотрудничает и с другими производителями смартфонов, о чем можно прочитать прямо на их сайте. Кто знает, что они там собирают
teddymobile.cn/page/coop.do
многие знают про популярное приложение Tinder (даже я знаю, хотя я им не пользуюсь). Так вот, тут израильская компания Checkmarx продемонстрировала уязвимости в приложении, которые позволяют злоумышленникам, находящимся в одной с пользователем сети, следить за свайпами в приложении, видеть фотографии профилей, подменять их и тд. А все в связи с тем, что для передачи некоторых данных в приложении, не используется HTTPS
https://www.wired.com/story/tinder-lack-of-encryption-lets-strangers-spy-on-swipes/
по ссылке, зарегистрировавшись, можно скачать детальный отчет https://www.checkmarx.com/2018/01/23/tinder-someone-may-watching-swipe-2/
Кстати, тоже в продолжение темы отношений правительств и криптовалю. Министерство финансов России опубликовало законопроект «О цифровых финансовых активах», регулирующий криптовалюты и проведение ICO (initial coin offering, аналог IPO для криптовалют).
В проекте закона даны определения цифровых финансовых активов, к которым отнесены криптовалюта и токен. Оба они не признаются законным средством платежа на территории РФ.
Обмен токенов на другую криптовалюту или рубли может происходить только через специальных операторов. Стать им может только зарегистрированное в России юридическое лицо, соблюдающее федеральные законы «О рынке ценных бумаг» или «Об организованных торгах».
При выпуске токенов должны публиковаться сопроводительные документы, основной из которых – публичная оферта. В ней следует описать все детали сделки по продаже токенов, а также раскрыть бенефициаров проекта. При этом неквалифицированные инвесторы (то есть, например, обычные люди) в рамках одного ICO не смогут приобрести токены более чем на 50 тысяч рублей. Сумма, которую хотел бы привлечь эмитент токенов на ICO, законопроектом не ограничивается.
https://www.minfin.ru/ru/document/?id_4=121810&page_id=2104&popup=Y&area_id=4
К слову о патчах Microsoft - пара CVE в Windows Server
https://support.microsoft.com/en-us/topic/kb5021131-how-to-manage-the-kerberos-protocol-changes-related-to-cve-2022-37966-fd837ac3-cdec-4e76-a6ec-86e67501407d
https://support.microsoft.com/en-us/topic/kb5020805-how-to-manage-kerberos-protocol-changes-related-to-cve-2022-37967-997e9acc-67c5-48e1-8d0d-190269bf4efb
Изменения затронут только Россию — для пользователей за пределами страны набор функций и VPN-серверов не изменится. Русскоязычная версия приложения останется на сайтах компании и в магазинах приложений. В пресс-службе компании отказались комментировать «Интерфаксу» причины отключения VPN-приложения.
https://vc.ru/services/535076-laboratoriya-kasperskogo-otklyuchit-svoy-vpn-servis-v-rossii
https://twitter.com/CarlyPage_/status/1589636556079628288?s=20&t=DeRVHd4707sD2MlwycFDqA
Читать полностью…
но все не так ужасно, как могло бы показаться. затрагивает только версии с 3.0.0 по 3.0.6, эксплуатация нетривиальна, но оттягивать апдейт тоже не стоит
https://www.openssl.org/blog/blog/2022/11/01/email-address-overflows/
https://www.openssl.org/news/secadv/20221101.txt
читатель прислал тут. актуально для жителей Беларуси
https://just-eat.by/nas-vzlomali.html
за такие breach disclosure я бы, конечно, гнал из профессии, но там у них, поди, админ на полставки — вторая полставки уборщиком по ночам.
дополнение: ...про утечку персональнызх данных из сервиса доставки еды было известно 07.10 от регулятора
https://cpd.by/podtverzhden-fakt-utechki-personalnyh-dannyh-v-odnom-iz-servisov-dostavki-edy/
OpenSSL 3.0.7 is a security-fix release. The highest severity issue
fixed in this release is CRITICAL:
https://mta.openssl.org/pipermail/openssl-announce/2022-October/000238.html
информация о геолокации опасносте
https://habr.com/ru/post/694984/
Кстати, на ту же тему - вот и в рекламах на ютюбе обнаружили майнеры криптовалют https://twitter.com/photovirus/status/957017836106416129
Читать полностью…
биржа криптовалют Concheck подтвердила взлом и потерю токенов на сумму примерно 533 миллиона долларов, что делает это самым большим взломом бирж за последнее время. Но нестрашно, как только в панике курс криптовалют опять рухнет, то сумма потерянных токенов сразу станет гораздо меньше. Блокчейн, говорили они, все транзакции отслеживаются, говорили они. Никогда такого не было, и вот опять!
https://www.coindesk.com/coincheck-confirms-crypto-hack-loss-larger-than-mt-gox/
можно относиться к деятельности Лаборатории Касперского как угодно (я знаю, что среди читателей канала весьма противоположные мнения на этот счет), но вот забавный тест про статью Медузы о Лаборатории Касперского, с помощью которого ЛК хорошо pwned Медузу
https://www.kaspersky.ru/blog/meduza-allegations-quiz/19553/
Интересная ссылка от читателя канала, а также по совместительству — автора канала /channel/cypherdog/ — об очередной попытке создать максимально защищенный мессенджер. Он типа весь такой революционный, и для анархистов, что вызвало у меня немного усмешку, но интересно было почитать про архитектуру приложения
telegra.ph/Briar---revolyucionnyj-messendzher-01-24
информация отсюда (там в треде есть еще дополнительная инфа и интересное обсуждение)
https://twitter.com/fs0c131y/status/956628910308982785
Только недавно я писал об истории, когда обнаружилось, что сайт производителя смартфонов OnePlus взломали и на протяжении нескольких месяцев воровали данные банковских карт покупателей на сайте (если раньше, чтобы подцепить вредоносное ПО, надо было купить смартфон с Android и установить на него какой-то софт, то с помощью OnePlus достаточно было просто купить смартфон, чтобы потерять данные карточки — оптимизация!). Так вот, тут в бете OxygenOS Open Beta 2 (это их форк Андроида для своих телефонов) обнаружилось еще более интересное: у приложения для буфера обмена нашелся странный файл badword.txt, в котором есть очень много интересных слов. файл на китайском, то есть пользователи на других языках вроде как не затронуты, но все же.
По порядку:
1. Там очень много ключевых слов, включая address, email, home, birthday, и проч. проч (я вставлю картинки со скриншотами чуть позже)
2. файлы лежат в шифрованной библиотеке teddymobile
3. teddymobile — компания, идентифицирующая пользователей по SMS-сообщениям
4. похоже, что OnePlus отправяет IMEI и другую информацию на сервера teddymobile
Короче, если у вас телефон OnePLus, то я бы задумался над тем, чтобы в будущем поменять его на телефон другого производителя, а то подход компании к данным пользователя что-то никому не нравится.
Откровения одной журналистки, которая, хоть и сделала себе сложный пароль, но в какой-то момент обнаружила (когда хакнули её банковский счет), что использовать один и тот же пароль в разных местах — чревато. Ну и парочка полезных советов про пароли, все очевидное, но все равно нужно повторять
https://www.inc.com/melissa-thompson/the-phone-call-that-changed-way-i-choose-my-passwords-forever.html
(я себе, кстати, на этот год запланировал задачу разобраться хорошенько с паролями, найти места, где еще применяется reuse паролей — да, мне стыдно — и исправить все, чтобы было правильно. Я даже жену уговорил наконец-то завести себе менеджер паролей, и вам рекомендую, если еще не)
Привет! в продолжение вчерашней темы о сетевом нейтралитете — интересная статья на geektimes на эту тему от читателя канала
https://geektimes.ru/post/297513/
PS а вообще клевая аудитория у канала! это вам не мемасики постить 🙂