20339
Чаще про c̶y̶b̶e̶r̶s̶e̶x̶ cybersec Нет, «опасносте» не опечатка @alexmaknet Размещение рекламы остановлено в связи с войной России против Украины
вдогонку к истории про уязвимость в iOS, которую обнаружили в ЛК (которая очень похожа на то, что делала Pegasus, а также фсб рф, кажется, объявила бекдором)
https://securelist.com/operation-triangulation/109842/
компания выпустила утилиту, которая проверяет телефон на предмет обнаружения возможных последствий.
https://securelist.com/find-the-triangulation-utility/109867/
Июньское обновление безопасности для Android — исправление 56 уязвимостей, включая 5 критичных, и одной, которая была в активной эксплуатации
https://source.android.com/docs/security/bulletin/2023-06-01
миллионы материнок Gigabyte продавались с бэкдором в прошивке. Производитель, скорей всего, оставил его для обновления прошивок, но имплементация оказалась небезопасной и позволяла злоумышленникам использовать её во вредоносных целях
https://eclypsium.com/blog/supply-chain-risk-from-gigabyte-app-center-backdoor/
Хороший материал от Wired о том, как в Евросоюзе точат ножи на сквозное шифрование переписки и других коммуникаций, и очень хотят его запретить
https://www.wired.com/story/europe-break-encryption-leaked-document-csa-law/
VPN хорошо, а бесплатный VPN, казалось бы, лучше. Пока не случится неизбежное — например, сервис SuperVPN допустил утечку 360 млн записей своих пользователей — имейлы, оригинальные IP адреса, данные геолокации, данные об использовании сервиса.
https://www.hackread.com/free-vpn-service-supervpn-leaks-user-records/
GitLab has released an emergency security update, version 16.0.1, to address a maximum severity (CVSS v3.1 score: 10.0) path traversal flaw tracked as CVE-2023-2825.
не так то часто вижу уязвимости с 10.0
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-2825
https://about.gitlab.com/releases/2023/05/23/critical-security-release-gitlab-16-0-1-released/
брутфорс отпечатка пальца на Андроиде
https://arstechnica.com/information-technology/2023/05/hackers-can-brute-force-fingerprint-authentication-of-android-devices/
Официально про штраф Meta в 1,2 млрд евро
http://www.dataprotection.ie/en/news-media/press-releases/Data-Protection-Commission-announces-conclusion-of-inquiry-into-Meta-Ireland
из рубрики “преступление и наказание”. Евросоюз выписал Meta штраф на 1,3 млрд долларов за отправку пользовательских данных ЕС в США.
https://www.wsj.com/articles/meta-fined-1-3-billion-over-data-transfers-to-u-s-b53dbb04?mod=djemalertNEWS
одно слово — SS7 (хотя слово ли это?). Как уязвимости в этой системе помогают различным преступным организациям в их делах.
ttps://www.haaretz.com/israel-news/security-aviation/2023-05-10/ty-article-magazine/.premium/global-surveillance-the-secretive-swiss-dealer-enabling-israeli-spy-firms/00000188-0005-dc7e-a3fe-22cdf2900000
(а вот и бесплатная версия) https://archive.is/A2qmD
Утечки из Пентагона: Джека Тейшейру трижды предупреждали о его чрезмерном интересе к разведданным
Прокуроры в США предоставили суду новые документы, демонстрирующие, что младший офицер Национальной гвардии Джек Тейшейра, которого обвиняют в недавней гигантской утечке секретов Пентагона, неоднократно игнорировал предупреждения от своего начальства о неподобающем обращении с секретными материалами.
В настоящий момент обвинители добиваются того, чтобы 21-летнего технического служащего военной базы не выпускали из-под стражи домой дожидаться, пока начнется суд. Опубликованные в ночь на четверг документы – это один из их аргументов в пользу того, чтобы Тейшейра оставался под стражей.
Прокуратура утверждает, что в 2022 году Тейшейра дважды получил выговор за "вызывающие беспокойство" действия, связанные с секретной информацией.
🔻В сентябре 2022 года начальство заметило, что Тейшейра делал записи о секретных разведывательных данных и клал эти конспекты себе в карман. После этого ему приказали больше так не делать.
🔻Но в октябре 2022 года в отношении Тейшейры появилась новая служебная запись. В ней говорится, что он "потенциально игнорирует распоряжение о прекращении и невозобновлении действий, связанных с глубоким изучением разведданных", полученное им месяцем ранее.
В этой записи поясняется, что Тейшейра задавал "очень конкретные вопросы" во время совещания, после чего ему приказали сосредоточиться на своей работе, а не на том, чтобы глубоко закапываться в разведывательную информацию.
🔻В третьей записи, датированной февралем 2023 года, говорится, что Тейшейра был замечен за просмотром информации, "которая не была связана с его основными обязанностями и имела отношение к разведке". Там также отмечено, что раньше его уже призывали прекратить подобную деятельность.
––
Пока остается неясным, почему руководство Тейшейры ограничивалось лишь подобными предупреждениями, не сделав никаких конкретных шагов по пресечению его доступа к настолько серьезной развединформации.
Суд в штате Массачусетс в ближайшие дни должен решить, оставлять ли Тейшейру за решеткой, пока он дожидается суда. Его адвокаты просят передать его на это время под присмотр отца, уверяя, что у обвиняемого нет намерений бежать от правосудия.
Тейшейру обвиняют в том, что он выложил огромные массивы секретных документов в чате на социальной платформе, популярной среди геймеров. Эту утечку называют крупнейшей как минимум за десятилетие.
В просочившихся документах подробно описывается помощь США и НАТО Украине, а также оценки американской разведки в отношении союзников, которые могут обострить отношения с этими странами.
@bbcrussian
Вредоносные расширения для Visual Studio уже в маркетплейсе VS
https://blog.checkpoint.com/securing-the-cloud/malicious-vscode-extensions-with-more-than-45k-downloads-steal-pii-and-enable-backdoors/
если вы владелец Тойоты в Японии, то у меня для вас плохие новости. Компания говорит, что изза человеческой ошибки могли утечь данные клиентов компании, которые подписались на облачный сервис
https://www.reuters.com/business/autos-transportation/toyota-flags-possible-leak-more-than-2-mln-users-vehicle-data-japan-2023-05-12/
Дискорд рассылает своим пользователям письма счастья с уведомлениями о взломе и утечке информации
https://www.bleepingcomputer.com/news/security/discord-discloses-data-breach-after-support-agent-got-hacked/
Твиттер запустил шифрование для личных сообщений между пользователями. Только это не не сквозное шифрование - Твиттер может читать переписку, и это «шифрование» никак не проинформирует участников о MITM атаке. По ссылке можно почитать о большом количестве ограничений этой фичи, которую и шифрованием в обычном смысле трудно назвать. Функция доступна только для платных пользователей. Хотя непонятно, зачем ею пользоваться в принципе.
https://help.twitter.com/en/using-twitter/encrypted-direct-messages
Также апдейт для Chrome с фиксами трех уязвимостей, из которых как минимум одна эксплуатировалась
https://chromereleases.googleblog.com/2023/06/stable-channel-update-for-desktop.html
фсб рф утверждает, что якобы агентство национальной безопасности США использовало неизвестное вредоносное ПО для доступа в iOS через уязвимости системы. причем “предусмотренные производителем программные уязвимости.” — то есть бэкдоры. доказательств, разумеется, фсб рф не предоставили.
https://www.reuters.com/technology/russias-fsb-says-us-nsa-penetrated-thousands-apple-phones-spy-plot-2023-06-01/
http://www.fsb.ru/fsb/press/message/single.htm%21id%3D10439739%40fsbMessage.html
История из рубрики “преступление и наказание”.
Еще в 2019 году тут была новость про компанию Ring, принадлежающую Амазону, и про то, как сотрудники и подрядчики могли просматривать записи с видеокамер пользователей
/channel/alexmakus/2586
компания за это наконец-то заплатит штраф, аж 5,8 млн долларов
https://www.ftc.gov/news-events/news/press-releases/2023/05/ftc-says-ring-employees-illegally-surveilled-customers-failed-stop-hackers-taking-control-users
https://www.documentcloud.org/documents/23830628-ftc-complaint-vs-ring
https://www.reuters.com/legal/us-ftc-sues-amazoncoms-ring-2023-05-31/
популярное приложение в Google Play начало втихаря регулярно включать микрофон, записывать сегменты с голосом пользователей, и заливать записи в облако.
https://techcrunch.com/2023/05/29/popular-android-app-microphone-spying-google-play/
сотрудники ТикТока пересылали друг другу пользовательские данные — водительские удостоверения, адреса, фото
https://www.nytimes.com/2023/05/24/technology/inside-how-tiktok-shares-user-data-lark.html
несколько ссылок с новостями прошлой недели, до которых не дошли руки вовремя:
- у пользователей Твиттера, которые удаляли свои твиты, они (твиты) возвращаются
https://www.theverge.com/2023/5/22/23732497/twitter-bug-restoring-deleted-tweets-retweets
- PoC эксплойта, который позволяет получить из памяти master password у KeePass, популярного менеджера паролей
https://github.com/vdohney/keepass-password-dumper
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-32784
- популярное приложение для трекинга лучшего времени для зачатия ребенка, оказывается, сливало данные о пользователях в китайские рекламные агентства
https://techcrunch.com/2023/05/18/ftc-premom-fertility-tracking-shared-data-google/
In response, Bitbucket issued two new SSH host keys today and will be replacing the current host keys on June 20, 2023. Please review this blog and complete the applicable steps outlined below as soon as possible.
https://bitbucket.org/blog/ssh-host-key-changes
читатель прислал хорошую шутку. я сначала не понял, а потом как понял
Читать полностью…
Apple выпустила апдейт для iOS/iPadOS до версии 16.5. 39 исправленных уязвимостей, три из которых были в активной эксплуатации. (две были исправлены ранее выпуском Rapid Security Response — новой фичи для срочных обновлений безопасности)
https://support.apple.com/kb/HT213757
То же самое касается и апдейтов для других систем компании
https://support.apple.com/en-us/HT201222
Отправляете кому-то защищенный паролем ZIP-архив? ничего, Microsoft все равно просканирует его содержимое
https://arstechnica.com/information-technology/2023/05/microsoft-is-scanning-the-inside-of-password-protected-zip-files-for-malware/
Дополнение от читателя:
“Относительно проверки зашифрованных архивов и того что майрософт лезет в них — все намного проще. Файлы в шифрованных ZIP-архивы имеют нешифрованные CRC-чеки и имена файлов, по котором можно проверять их с базой сигнатур. Этим занимаются все антивирусные ПО сейчас”
Эксперт по вирусам-вымогателям, которые использовались для атак по критической инфраструктуре в США, по имени Mikhail Pavlovich Matveev, aka Wazawaka, aka m1x, aka Boriselcin, aka Uhodiransomwar, получил свою награду — попадание в список FBI Most wanted
https://www.fbi.gov/wanted/cyber/mikhail-pavlovich-matveev
https://ofac.treasury.gov/recent-actions/20230516
У Гугла очень странное представление о privacy
Читать полностью…
Кстати еще о шифровании - разбор на косточки еще одного сервиса, утверждающего, что обеспечивает полное шифрование и конфиденциальность переписки
Converso misrepresents itself as a state-of-the-art end-to-end encrypted messaging app, which couldn't be further from the truth. The reality is that the wild claims Converso makes on its website – the promises it makes about its app's security, plus the shade it throws on premier encryption tools – are all provably false. It's therefore my opinion that you shouldn't rely on Converso for any sense of security, and you certainly shouldn't pay $4.95/month for it.
https://crnkovic.dev/testing-converso/
Большой отчёт о вредоносном ПО Snake, которое применяет ФСБ россии для сбора информации о своих целях
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-129a