Думаю, многим из вас вчера такое письмо с уведомлением пришло

PS для комментаторов «в чем тут ownage” - в самом письме написано о монетизации данных. Поэтому ситуация, как по мне, заслуживает нотификации

«Я протестировал нововведение в Telegram на Android и ничего подозрительного не обнаружил. Всё security-заявленное со стороны Tg работало так, как с обложки. Спустя только несколько суток (минимальный, честный срок автоудаления сообщений - 24ч.), проявив усердие, я добился того что искал: сообщения которые должны автоудаляться у участников личного и приватного групповых чатов <удалялись> только визуально (очистка окна сообщений), а в реальности сообщения-картинки оставались на устройствах в открытом кэше, который доступен любому пользователю по пути: /Storage/Emulated/0/Telegram/Telegram Image.»

там дальше интересно про общение с командой ТГ по поводу баунти, договор с ТГ о неразглашении информации о баге, и в итоге публикацию информации об уязвимости. в общем, красивое!

https://habr.com/en/post/580582/

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-41861

Простое и понятное пояснение, что, скорей всего, произошло с ФБ вчера, когда весь ФБ внезапно оказался опасносте и недоступен:
1. Накатили апдейт на маршрутизатор, который как-то пошёл не так, и стали недоступными dns для FB/IG/WA
2. ФБ, по сути, отключает свой сегмент сети от интернета - какое-то время домен Facebook . Com практически не существовал в сети
3. В это время пользователи приложений и веб-сайтов нетерпеливо автоматически и вручную пытаются загрузить себе ФБ, что приводит к нагрузке на и так загруженную инфраструктуру.

Бонус: в ФБ не работают внутренние инструменты, включая систему пропусков. Админы с боем пробиваются физически к серверам, потому что удалённый доступ тоже не работает. Весело у них там, да.

https://blog.cloudflare.com/october-2021-facebook-outage/

Кстати, о ФБ. Тут появилась вчера инфа о продаже собранной пользовательской информации из ФБ на 1,5 млрд пользователей. Правда, никаких подтверждений нет и вроде как продавец скамер, но что в этой всей новости нового?

https://www.privacyaffairs.com/facebook-data-sold-on-hacker-forum/

Syniverse — компания, которая является, по сути, точкой обмена информации между мобильными операторами в США (и некоторыми другими), через которую проходят данные о звонках, текстовые сообщения, информация об использовании мобильных данных, и тд. В сентябре компания подала в комиссию по ценным бумагам США документ (компания готовится к IPO), в котором говорится, что «неизвестные лица или организации получили несанкционированный доступ к базам данных внутри сетей компании», и что данные учетных записей как минимум 235 клиентов компании для доступа к среде обмена данными были скромпрометированы.

Взлом, по информации от компании, произошел в мае 2016 года, и был обнаружен в мае 2021 года. ПЯТЬ ЛЕТ. Компания обрабатывает 740 млрд текстовых сообщений в год, и напрямую подключена к более чем 300 мобильным операторам по всему миру. Что там было именно взломано, и к чему именно получили доступ злоумышленники, компания пока что не раскрывает, но в худшем сценарии это могут быть триллионы текстовых сообщений, с неизвестно какой еще информацией. да где же этому конец???

https://www.sec.gov/Archives/edgar/data/1839175/000119312521284329/d234831dprem14a.htm

Windows 11 Security Book - документ с базовым описанием различных изменений и нововведений в системах безопасности операционной системы

https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RWMyFE

И полезный тред в твиттере с другими материалами на эту тему

https://twitter.com/NerdPyle/status/1445434635937140736

Google тоже решила включить 2ФА принудительно для 150млн пользователей

https://blog.google/technology/safety-security/making-sign-safer-and-more-convenient/

Воу, воу, тут Twitch, похоже, взломали. Причём весь. В составе утечки:

- полный исходный код проекта с комментами
- отчеты о выплатах
- СДК и сервисы AWS, используемые в проекте
- другие проекты, принадлежащие Twitch
- инструменты службы безопасности (ирония!)

125ГБ данных.

https://www.videogameschronicle.com/news/the-entirety-of-twitch-has-reportedly-been-leaked/

Вчера я как-то упустил момент, что у Твича также увели и зашифрованные пароли пользователей

https://reddit.com/r/Twitch/comments/q2gcq2/over_120gb_of_twitch_website_data_has_been_leaked/

Так что если вы ещё не поменяли там пароль и не включили 2фа, я не понимаю, что вы тут вообще делаете

Twitch подтвердил взлом и то, что это был именно хак из-за неправильной конфигурации на сервере, а не инсайдерская работа. Про утёкшие пароли вроде бы не подтверждают, но компания ещё работает над изучением того, что именно утекло

https://blog.twitch.tv/en/2021/10/06/updates-on-the-twitch-security-incident/

Чувак скупает домены, очень похожие на известные криптобиржи, и, видимо, там удаётся мутить достаточно фрода, чтобы оправдать потраченные на эти домены 200 тыс долларов

https://www.washingtonpost.com/technology/2021/10/08/cryptocurrency-scam-websites/

Wwwblockchain.com, hlockchain.com, blpckchain.com, conibase.com

берегите свои криптоденежки!

Количество дней с последнего «Apple is aware of a report that this issue may have been actively exploited.»:

0

https://support.apple.com/en-us/HT212846

Тут накопилась целая серия всяких новостей вокруг Apple, так что поехали!

Отчет Sophos о некой кампании CryptoRom по обману пользователей на сервисах знакомств (Tinder, Bumble, Grindr, Facebook Dating), где злоумышленники втирались в доверие к жертвам, а потом уговаривали их скачать фейковые приложения криптовалют. Затем жертвы вроде как вкладывали деньги в этих приложениях, а денежки пропадали. Интересный момент в этом — то, что в качестве приложений использовались приложения для iOS, которые были подписаны в рамках Apple Developer Enterprise Program. Это программа, где обычно крупные разработчики разрабатывают продукты для внутренних нужд (а те, кто помельче, используют её для распространения бета-версий). Интересно, что установка приложения по enterprise программе требует установки профиля, который к тому же дает возможность удаленного контроля над некоторыми настройками и данными пользователей, что тоже весело Всего, по словам Sophos, удалось украсть 1,4 млн долларов. Какая удобная для Apple история во время, когда все говорят про то, что нужно срочно заставить Apple разрешить sideloading приложений на iPhone.

https://www.sophos.com/en-us/press-office/press-releases/2021/10/expanding-cryptorom-iphone-scam-rakes-in-millions.aspx

История с Денисом Токаревым (он же illusionofchaos), исследователем безопасности, который нашел в iOS несколько уязвимостей, не договорился с Apple в рамках их программы баунти, и опубликовал информацию о них после выхода нового релиза iOS 15, продолжается. Похоже, что в iOS 15.0.2 одну из уязвимостей Apple таки исправила, но не указала Дениса как обнаружившего уязвимость. Возможно, потому, что информация об уязвимости уже была публичной на момент выхода 15.0.2, но все равно гораздо больше похоже на какое-то свинство.

https://twitter.com/illusionofcha0s/status/1447985867734278147?s=20
https://twitter.com/illusionofcha0s/status/1448269165417148418

https://www.bleepingcomputer.com/news/apple/apple-silently-fixes-ios-zero-day-asks-bug-reporter-to-keep-quiet/

еще в iOS 14 Apple выкатила тему, что в системе сохраняются логи различных приложениий, которые обращаются к различным «чувствительным» компонентам системы — сетевая актвиность, использование систем, к которым пользователь разрешил доступ (микрофон, камера, и тд), другие события. Мне тут вчера читатель подсказал приложение, которое позволяет удобно просматривать эти логи и отчеты прямо на телефоне. Правда, разработчик из Китая, но вроде как клянется, что никакие дополнительные данные с телефона не уходят из его приложения.  

https://apps.apple.com/ua/app/app-privacy-insights/id1575583991

ладно, хватит про Apple на сегодня. Тут вот веселая история про женщину, которая взломала систему школы пилотов, и подменила информацию о самолетах, приписанных к школе. В частности, например, самолеты, которые требовали обслуживания, были помечены как готовые к полетам. Понятное дело, что на самом деле именно хака, скорей всего, не было — это был бывший работодатель, и, видимо, логин-пароль после увольнения никто не подумал поменять. Вычислили по IP, разумеется.

https://www.vice.com/en/article/bvzwv5/woman-allegedly-hacked-flight-school-cleared-planes-with-maintenance-issues-to-fly

В штате Миссури история. Журналист на одном из правительственных сайтов нашёл информацию о сотрудниках, работающих в сфере обучения - все,включая номера социального страхования. Причём нашёл просто в исходника сайта:

Though no private information was clearly visible nor searchable on any of the web pages, the newspaper found that teachers’ Social Security numbers were contained in the HTML source code of the pages involved.

Рука-лицо!

https://www.stltoday.com/news/local/education/missouri-teachers-social-security-numbers-at-risk-on-state-agency-s-website/article_f3339700-ece0-54a1-9a45-f300321b7c82.html

Понятное дело, журналисты доложили куда надо, странички убрали. Но если бы это был конец истории.

Губернатор штата обьявил журналиста хакером и злоумышленником, и собирается подавать на него в суд.

https://missouriindependent.com/2021/10/14/missouri-governor-vows-criminal-prosecution-of-reporter-who-found-flaw-in-state-website/

Даже целый тред в твиттере замутил:

«Through a multi-step process, an individual took the records of at least three educators, decoded the HTML source code, and viewed the SSN of those specific educators.»

https://twitter.com/GovParsonMO/status/1448697768311132160

Еще одна рука-лицо. Сказочный долбоеб.

В Китае прошёл кубок Тяньфу - соревнование по взлому различных систем.

Успешно были взломаны:
 Windows 10 – hacked 5 times
 Adobe PDF Reader – 4 times
 Ubuntu 20 – 4 times
 Parallels VM – 3 times
 iOS 15 – 3 times
 Apple Safari – 2 times
 Google Chrome – 2 times
 ASUS AX56U router – 2 times
 Docker CE – 1 time
 VMWare ESXi – 1 time
 VMWare Workstation – 1 time
 qemu VM – 1 time
 Microsoft Exchange – 1 time

Не взломанными остались только NAS Synology DS220j, смартфон Xiaomi Mi 11 и неназванный бренд китайского электромобиля, на взлом которого даже никто не записался.

https://therecord.media/windows-10-ios-15-ubuntu-chrome-fall-at-chinas-tianfu-hacking-contest/