20339
Чаще про c̶y̶b̶e̶r̶s̶e̶x̶ cybersec Нет, «опасносте» не опечатка @alexmaknet Размещение рекламы остановлено в связи с войной России против Украины
“Недавно Mikrotik исправили уязвимость, выявленную в декабре прошлого года. ZDI в свою очередь утверждает, что сообщили перед проведением Pwn2Own об этом Mikrotik, и также в ходе конференции одному из их сотрудников.”
https://blog.mikrotik.com/security/cve-2023-32154.html
https://www.zerodayinitiative.com/advisories/ZDI-23-710/
Sony, которая допустила утечку корпоративных данных просто потому что плохо замазали данные фломастером (данные оказались видны после сканирования) — это просто прелестно
https://www.theverge.com/2023/6/28/23777298/sony-ftc-microsoft-confidential-documents-marker-pen-scanner-oops
посмотрел на роутере статистику по машине за месяц. компьютер на колесах, который еще и следит за тобой. удобно.
Читать полностью…
продолжение рубрики “преступление и наказание”: вот коллега этого молодого человека уехал на 5 лет отдохнуть от интернета (история про взлом твиттера и размещение криптоскама на аккаунтах популярных пользователей в соцсети)
https://techcrunch.com/2023/06/23/twitter-hacker-sentenced-prison/
DuckDuckGo выпускает веб-браузер, ориентированный на максимальную конфиденциальность, для Windows (для macOS/iOS/Android они выпустили его уже какоето время назад)
https://duckduckgo.com/windows
Популярный производитель аксессуаров для мобильных устройств iOttie уведомляет, что их сайт был взломан и на протяжении 2 месяцев собирал данные кредиток покупателей, а также их персональные данные
https://apps.web.maine.gov/online/aeviewer/ME/40/6bbb2a98-50b3-4fb1-844f-9572cf363b2a.shtml
https://twitter.com/BleepinComputer/status/1670879545719681024?s=20
Читать полностью…
Прекрасная история, подчеркивающая опасносте для любителей «умных» домов, особенно в привязке к инфраструктуре одной компании. Водитель доставки Амазона что-то там не расслышал в ответе через «умный» звонок, подумал, что услышал расистский термин. Пожаловался на получателя, которому заблокировали аккаунт Амазона - на который завязана всякая Алекса, и все IoT гаджеты.
https://www.independent.co.uk/tech/smart-home-lock-out-amazon-b2358107.html
видел вчера это в виде заголовка, не сильно вникал, но тут читатели настойчиво присылают эту ссылку. как всегда, исследователи из университета Бен Гуриона достигают новых вершин получения информации из ничего.
Тут они пару лет назад добывали звук из мерцания LED-диодов на колонах
/channel/alexmakus/4214
А теперь они добывают криптоключи с устройств по морганию LED в них - причем картинка получена на видео
https://www.nassiben.com/video-based-crypta
вообще забейте термин “гурион” в поиск, там много такого
про взлом MOVEit уже както даже сил нет писать, потому что там, кажется, взломали вообще кого можно. Авторство приписывают Clop, группировке, связанной с российскими спецслужбами.
https://www.bbc.com/news/technology-65814104
Информация о гражданах Турции доступна для покупки после кражи её с государственного турецкого портала. Говорят, даже информация президента Эрдогана там есть
https://balkaninsight.com/2023/06/09/turkish-citizens-personal-data-offered-online-after-govt-site-hacked/
Роскомнадзор вот это вот все это
/channel/rkn_tg/590
окей, сейчас будет несколько ссылок, накопившихся за последние пару дней — чтобы не откладывать в длинный ящик
например, вот
Проукраинские хактивисты Cyber Anarchy Squad заявили, что они атаковали систему российского интернет-провайдера «Инфотел», потенциально поставив под угрозу работоспособность финансовой системы российских банков.
«Инфотел» не работает с 8 июня, и на данный момент сайт компании все еще недоступен. Хактивисты утверждают, что до того, как нанести ущерб «Инфотел», они украли конфиденциальные данные компании.
https://www.securitylab.ru/news/538863.php
https://ioda.inetintel.cc.gatech.edu/asn/8299?from=1686098358&until=1686443958
о криминализации шифрования
https://www.laquadrature.net/en/2023/06/05/criminalization-of-encryption-the-8-december-case/
еще несколько ссылок от читателей, которые накопились в ТГ
https://arstechnica.com/security/2023/06/prominent-cryptocurrency-exchange-infected-with-previously-unseen-mac-malware/
Большой отчет о мессенджерах и безопасности данных, о которой так много говорят. Изучены Messenger (Meta), WhatsApp, Signal, Telegram, Messages by Google, Apple Messages
https://techpolicy.press/wp-content/uploads/2023/06/What-Is-Secure-An-Analysis-of-Popular-Messaging-Apps-20-June-2023.pdf
- отсутствие шифрования по умолчанию, как у Телеграма и Мессенджера Меты, плохо
- пользователи мало понимают отличия цветов, как в iMessages
- минимизация и шифрование метаданных, как у Signal — хорошо
- мессенджеры, расширяющие свою функциональсть фичами социальных сетей, повышают риски безопасности для пользователей
Большая статья о том, как многочисленные автопроизводители собирают огромные объемы данных о пользователях автомобилей
https://www.wired.co.uk/article/car-data-privacy-toyota-honda-ford
Microsoft вот тоже продвигает passkey в Windows 11
https://blogs.windows.com/windows-insider/2023/06/22/announcing-windows-11-insider-preview-build-23486/
Apple выпустила обновления для iOS, в котором исправлено три новых zero-day уязвимости — о них компании сообщили специалисты компании Kaspersky Lab. Сотрудники компании, по заявлениям компании, также стали жертвами атак с применением этих уязвимостей.
https://support.apple.com/en-us/HT213814
https://support.apple.com/en-us/HT213811
(и другие ОС Apple)
ЛК также опубликовали дополнительные детали об уязвимостях, которые обнаружила компания. Они затрагивают iOS до версии 15.7, а фсб рф утверждала, что эти уязвимости были заложенными бэкдорами для применения разведорганами США против российских чиновников
https://securelist.com/triangledb-triangulation-implant/110050/
После предостережения ФСБ членам правительства запретили проносить айфоны на заседания кабинета министров📱
Буквально на той неделе мы умилялись чиновникам и госменеджерам, которые фотографировали на ПМЭФе вражескими айфонами вопреки пугалкам от ФСБ. Спецслужба заявляла, что Вашингтон следит за владельцами техники Apple, и мы еще тогда подумали, что после этого для чиновников могут ввести новые ограничения.
Так и вышло. Как рассказывают наши собеседники, теперь в зал заседаний правительства запрещено заходить с устройствами Apple. Это касается вице-премьеров, министров и других участников заседаний правительства.
Кроме того, сотрудникам Белого дома разослали указание руководителя аппарата правительства о том, что пользоваться айфонами на рабочем месте (и вообще по работе) больше нельзя. Ранее о такой директиве писал канал Brief. Пресс-служба правительства это де-факто подтвердила.
Такая практика (не заходить с телефонами в зал заседаний правительства) существовала 15 лет назад. ФСО ввело ее в 2008 году сразу после того, как премьер-министром стал Путин. От вице-премьеров, министров и приглашённых участников заседания правительства требовали сдавать не только айфоны (их тогда почти ни у кого не было), а вообще все телефоны. Впрочем, через несколько месяцев запрет почему-то сняли, и члены правительства стали не только проносить свой девайсы в зал, но и разговаривать по ним перед заседаниями, а также класть на стол во время обсуждений.
Еще забавнее вспоминать, что Дмитрий Медведев в бытность и президентом, и премьером сам приходил на совещания с iPad и всячески поощрял подобную цифровизацию и среди подчиненных. У Медведева в правительстве было аж два служебных (!) айпэда, куда закачивались материалы к заседаниям кабинета министров и к другим совещаниям. В командировки за Медведевым ездил специальный человек, который следил, чтобы в айпэдах была самая актуальная информация (к интернету девайсы не подключали, поэтому все закачивалось вручную).
Нынешнего премьера Мишустина тоже принято считать любителем современных девайсов. В 10-е годы он был одним из немногих чиновников, у кого в рабочем кабинете стоял компьютер iMac от Apple. Но то были другие времена...
На фото: стол с телефонами членов правительства перед совещанием у Путина, 2011 год. Коммерсант
@faridaily24
Не менее прекрасная история про то, что хакеры, взломавшие Реддит в начале этого года, угрожают выложить данные, если компания не отменит свое решение про введение оплаты за API (что убивает сторонние клиенты для Реддит), ну и заодно чтобы заплатили денег, куда ж без этого
https://www.bleepingcomputer.com/news/security/reddit-hackers-threaten-to-leak-data-stolen-in-february-breach/
очередная жертва взлома MOVEit — почти 7 миллионов жителей штатов Орегон и Луизина, водительские удостоверения которых утекли в результате взлома
https://www.forbes.com/sites/maryroeloffs/2023/06/16/moveit-cyber-attack-personal-data-of-millions-stolen-from-oregon-louisiana-us-agency/?sh=67b4f3cf6b05
https://www.koin.com/news/oregon/odot-dmv-massive-data-breach-impacts-90-of-oregonians-drivers-licenses-state-ids/
Microsoft patch tuesday! 78 фиксов, включая 38 RCE, но, как минимум, вроде как нет ничего в активной эксплуатации
https://msrc.microsoft.com/update-guide/releaseNote/2023-Jun
Можно ли доверять коду, написаному LLM, в плане его безопасности? да вот не факт
https://vulcan.io/blog/ai-hallucinations-package-risk
Производитель сетевого оборудования Barracuda призывает своих клиентов заменить оборудование, в котором обнаружены уязвимости
https://krebsonsecurity.com/2023/06/barracuda-urges-replacing-not-patching-its-email-security-gateways/
Shell оставил открытой базу данных клиентов компании, которые пользуются зарядными станциями электромобилей. Ну понятно, потому что раз не пользуются нефтепродуктами — пиявки, а не клиенты
https://techcrunch.com/2023/06/09/shell-recharge-security-lapse-exposed-drivers-data/
rmondello/110509768218667335" rel="nofollow">https://hachyderm.io/@rmondello/110509768218667335
Читать полностью…
прикольная фича в свежеобъявленных версиях операционных систем Apple — браузер будет автоматически отрезать трекинг-часть ссылки в таких штуках
www.examplewebsite.com/top10vacationdestinations?clickId=d77_62jkls
