Конечно же, в пятницу вечером началось. Большая атака вируса-вымогателя группировки REvil через одного провайдера - компанию Kaseya. Компания предоставляет платформу для управления апдейтами и мониторинга клиентов.

Заявление компании http://helpdesk.kaseya.com/hc/en-gb/articles/4403440684689

Статья с деталями https://www.bleepingcomputer.com/news/security/revil-ransomware-hits-200-companies-in-msp-supply-chain-attack/

Ещё хорошие детали про взлом Kaseya

https://doublepulsar.com/kaseya-supply-chain-attack-delivers-mass-ransomware-event-to-us-companies-76e4ec6ec64b

А вот сеть супермаркетов Wegmans, в которой я часто покупаю продукты и записан в программу лояльности зачем-то, прислала уведомление о том, что они слегка криво сконфигурировали базу своих клиентов. В результате база торчала голой жопой в интернет, и информация клиентов была доступна кому попало, как попало. В информации - адреса почты, и хешированные и засоленные пароли. С кем не бывает, ага.

Есть такое популярное приложение для записи звука - Audacity, проект в открытом исходном коде - заработал звание шпионского ПО. Оказывается, проект купила компания Muse Group, и в политике конфиденциальности приложения появились неприятные пункты. В частности, речь идёт о сборе различной информации с компьютера пользователя и ее передаче правоохранительным органам по запросу (или непонятным разным третьим сторонам). Причём это сопровождается весьма размытыми формулировками об этих самых данных, плюс сервера хранят IP~адреса пользователей, что может позволять идентификацию в случае необходимости. Ну и главный офис компании в России:

«However, we are occasionally required to share your personal data with our main office in Russia and our external counsel in the USA.»

Короче, проект уже форкнули, отрезали от него телеметрию, и начали пилить замену.

https://fosspost.org/audacity-is-now-a-spyware/

https://www.audacityteam.org/about/desktop-privacy-notice/

я недавно постил ссылку на отчет о прозрачности компании NSO - который они сами написали, и рассказывают, какие они молодцы, как противостоят различным угрозам, и вообще ни разу не сотрудничают с кем нельзя сотрудничать. А вот внешнее расследование о компании, как устроена их платформа, какие цели использоваются для заражения инструментами компании, и как при этом нарушаются права граждан, которые становятся целями вредоносного ПО компании NSO

https://forensic-architecture.org/investigation/digital-violence-how-the-nso-group-enables-state-terror

Про менеджер паролей ЛК веселое

https://donjon.ledger.com/kaspersky-password-manager/

Тут вышел апдейт для исправления уязвимости с PrintSpooler

https://docs.microsoft.com/en-us/windows/release-health/windows-message-center#1646

(Я писал об этом раньше тут https://t.me/alexmakus/4152)

И, конечно же, недавно запущенную социальную сеть для правых в США -Gettr -  тут же поскрейпили через дырявое API, вытащив оттуда всю информацию о тех 90 тысячах пользователей, которые там имели несчастье зарегистрироваться

https://www.vice.com/en/article/dyv44m/hackers-scrape-90000-gettr-user-emails-surprising-no-one

This is fine

«Вот это история: хакер изучал уязвимые компьютеры и случайно нашел на одном из таких коллекцию детского порно. Пришлось выбирать: сдать чувака полиции, но тем самым сознаться, что ты взломал чужой компьютер, или никому ничего не говорить.»

Спойлер: удалось и рыбку съесть…

https://www.thedailybeast.com/hacker-risks-jail-to-out-middlebury-college-employee-for-alleged-child-porn

отсюда: https://twitter.com/sult/status/1413164674942652417

Новое вредоносное ПО для macOS. А говорили, что для Маков нет вирусов (ну ладно, очень давно это говорили, уже не говорят)

https://securelist.com/wildpressure-targets-macos/103072/

https://www.patreon.com/posts/53462690

https://twitter.com/objective_see/status/1413235778625302530

Утечка данных

А давненько у нас не было SolarWinds в канале. Microsoft обнаружили уязвимость нулевого дня в продукте Serv-U компании SolarWinds, которая к тому находится в активной эксплуатации злоумышленниками. Эта уязвимость не имеет отношения к той истории, благодаря которой были взломаны государственные организации и частные компании в начале года

https://www.solarwinds.com/trust-center/security-advisories/cve-2021-35211

Чем занимаются люди, которых называют профессионалками в сфере информационной безопасности? Ой, да чем только не занимаются. И это, кстати, не шутка, набор задач, который падает на хрупкие плечи специалистов, огромен. И тут мне попалась на глаза интересная карта категоризации позиций и их задач. Наверняка многие из вас могут себя на этой карте найти

https://rafeeqrehman.com/2021/07/11/ciso-mindmap-2021-what-do-infosec-professionals-really-do/

очень интересно, вся инфраструктура группировки REvil прилегла. Уж не америкосия ли нанесла ответный ударр?

https://twitter.com/LawrenceAbrams/status/1414929050729074714

Опять Microsoft и SolarWinds, просто теперь ещё дополнительный комментарий от Microsoft, с указанием на китайцев как операторов атаки

https://msft.it/6019nwox3

сотрудники Facebook шарились по профилям пользователей, рассказывается в новой книге о ФБ. С 2014 по 2015 год компания уволила 52 человека за злоупотребления доступом к пользовательским данным

https://www.businessinsider.com/facebook-fired-dozens-abusing-access-user-data-an-ugly-truth-2021-7

новость на русском
https://vc.ru/social/269862-dostup-k-dannym-polzovateley-facebook-byl-u-16-tysyach-sotrudnikov-nekotorye-ispolzovali-ih-dlya-slezhki-istochniki

такие коллекции про «самые крупные <подставьте свой вариант> этого года» обычно пишут ближе к концу года, но Gizmodo уже собрали: самые крупные взломы этого года

https://gizmodo.com/the-biggest-hacks-of-2021-so-far-1847157024

интересное расследование у Vice по поводу того, как рекламная отрасль умеет привязывать рекламный идентификатор из рекламы в приложении, например, к реальному имени, адресу и тд. Анонимность, говорили они… Эпол со своей блокировкой доступа к рекламному идентификатору должны идти и стегать ФБ распечаткой этой статьи по лицу

https://www.vice.com/en/article/epnmvz/industry-unmasks-at-scale-maid-to-pii