Взломали Аргентину, причём всю сразу. Хакеры взломали базу данных национального удостоверения, где хранится информация на все население страны - 45 млн человек. При этом государство отрицает, что утекло все и сразу, говоря, что видели только информацию про 19 записей, но в сети показывают уже данные про различных знаменитостей Аргентины, включая данные на президента страны и футболиста Месси.

https://therecord.media/hacker-steals-government-id-database-for-argentinas-entire-population/

Твиттер заблокировал учётку хакера
https://www.zdnet.com/article/twitter-suspends-hacker-who-stole-data-of-46-million-argentinians/

Пропустил на прошлой неделе интересный материал о том, как фишеры умнеют в погоне за хорошими целями. Вот, например, рассказ о том, как пытались фишить OTP у пользователей Coinbase.

tl;dr версия такая: фишеры взяли базу имейлов итальянцев на 2,5млн штук, и автоматизировали создание новых аккаунтов. Те имейлы, которые не проходили регистрацию, чаще всего оказывались как раз уже существующими аккаунтами. Такие адреса уже таргетированно фишили письмами под видом Coinbase. Когда жертва реагировала на письмо логином на фейковый сайт, панель управления у фишеров издавала громкий звук, привлекая внимание. таким образом они знали, когда надо вручную запросить One time password у пользователей (они просили юзеров ввести номер телефона, и таким образом инициировали отправку юзерам на их телефоны кодов подтверждения). Вроде как таким образом они добыли 870 аккаунтов, но непонятно, был ли какой-то реальный ущерб от этого.

https://krebsonsecurity.com/2021/10/how-coinbase-phishers-steal-one-time-passwords/

(Источники так себе, но уж что есть) Тётечка запросила у Амазона данные о себе, и обнаружила в полученном архиве больше 3 тысяч голосовых записей всяких обращений к устройствам с амазоновской помощницей Алексой. Если бы только кто-то мог предвидеть такой поворот..,

https://www.mirror.co.uk/news/weird-news/woman-finds-amazon-thousands-recordings-25240984

According to the organizers of the Tokyo Olympics and Paralympics, it is anticipated that 450 million cyberattacks were stopped during the games. According to them, the incident had no detrimental influence on operations at all.
It was disclosed at a press conference onThursday that the number was shared with officials from the Japanese telecommunications company NTT, which was in charge of managing the Summer Games' cybersecurity this summer, according to NHK News.

Тоже небось каждый port scan за атаку считали

Тут голландцы Netherlands Forensic Institute (NFI) расшифровали хранилище данных в Tesla. Не то, чтобы информация уже прямо сейчас опасносте, но а) понятно, что это вопрос времени, когда доступ к этим данным получит более широкий круг общественности), б) данных там, конечно, немало: работа «Автопилота», скорость, положение педалей и руля, и, подозреваю, еще масса другой полезной информации о пользователях автомобиля. Некоторые данные могут храниться более года. Вообще чем дальше, тем больше машин будут ездить с такими объемами данных, и будут представлять собой ценные объекты для изучения различными кругами.

https://www.researchgate.net/publication/355202701_Reverse_engineering_and_evaluation_of_Tesla_vehicle_logs

Так, за REvil взялись серьезно, похоже - организация из разведорганов нескольких стран взломала инфраструктуру группировки, нанесла урон бекапам, а лидер группировки «залёг на дно»

"The server was compromised, and they were looking for me," 0_neday wrote on a cybercrime forum last weekend and first spotted by security firm Recorded Future. "Good luck, everyone; I'm off."

https://www.reuters.com/technology/exclusive-governments-turn-tables-ransomware-gang-revil-by-pushing-it-offline-2021-10-21/

У NYT материал об интернетном железном занавесе, построенном в России. Всякие там black boxes у операторов и тд. Наверно, ничего такого, что вы и так не знаете, но для меня было интересно посмотреть иллюстрацию, как медленно загружаются картинки в твиттере в России. Информация безопасносте (ну, та, которую охраняет российское государство, конечно)

https://www.nytimes.com/2021/10/22/technology/russia-internet-censorship-putin.html

группировка Conti вписалась за REvil, и опубликовала свой манифест в защиту «коллег», так сказать
https://twitter.com/BrettCallow/status/1451595931061686276

«their honestly earned money.»

прекрасный текст. не знаю, почему, но у меня от этого текста такие же примерно ощущения, когда ПавелД пишет возмущенный текст про Apple — «или полное закрытие Телеграма в России?»

As a team, we always look at the work of our colleagues in the art of pen-testing, corporate
data security, information systems, and network security. We rejoice at their successes and
support them in their hardships.

Therefore, we would like to comment on yesterday's important announcement by the US law
enforcement about the attack on the REvil group.

We want to remark the following:

First, an attack against some servers, which the US security attributes to REvil, is another
reminder of what we all know: the unilateral, extraterritorial, and bandit-mugging behavior of
the United States in world affairs.

However, the fact that it became a norm does not presume that it should be treated like one.
Unlike our dearest journalist friends from the Twitter brothel, who will sell their own mother for
a bone from bankers or politicians, we have the guts to name things as they are. We have a
conscience, as well as anonymity, while our skills allow us to say something that many
“allied” governments are afraid of saying:

With all the endless talks in your media about "ransomware-is-bad," we would like to point
out the biggest ransomware group of all time: your Federal Goverment. There is no glory in
this REvil attack. First, because REvil has been dead in any case, but secondly, because the
United States government acted as a simple street mugger while kicking a dead body.

Let's break it down point by point. There was an extraterritorial attack against some
infrastructure in some countries.

1. Is there a law, even an American one, even a local one in any county of any of the 50
siates; that legitimize such indiscriminate offensive action? Is server hacking suddenly legal
in the United States or in any of the US jurisdictions? If yes, please provide us with a link.

2. Suppose there is such an outrageous law that allows you to hack servers in a foreign
country. How legal is this from the point of view of the country whose servers were attacked?
Infrastructure is not flying there in space or floating in neutral waters. It is a part of someone's
sovereignty.

3. The statement mentions a multinational operation but does not name specific countries
that participated in the cyber strike. We seem to know why; see next point.

4, Most countries, the US included, perceive crtcal cyber strikes against thelr territory as a
casus belli. You think anybody will be fine if Taliban conducts a misfile strike against a place
in Texas to “disrupt an operation" of what Afghanistan considered a "criminal" group?

5. When the special forces arrive at a hostage scene, they at least make sure that there are
hostages there (at least, this is how it used to be). How did you know who you were
attacking? It could just be a reverse proxy on an unsuspecting host. How did you know who
ELSE these servers are serving? How was the safety of other people's businesses, possibly
people's lives, ensured?

Just to be clear: these are all rhetorical questions. Of course.

What happened with this attack is way more than REvil or information security. This attack is
just an another drop in the ocean of blood, which started because of NSA, CIA, FBI, and
another two hundred three-letter security institutions (because, you know, true democracy
and liberty requires millions of people in uniform) never had to ‘answer these questions.
WMD in Iraq, which was "certainly there.”

Drone strikes on weddings because "these were terrorists."

Airstrikes on hospitals and Red Cross convoys because "we thought these are hostile.”
Military raids within the foreign borders ended up with massacring allied soldiers.

The list is endless because those who are now enjoying the media fame from the REvil
attack are vampires drunken and intoxicated by impunity and blood.

‘And this is not the story about REvil, Afghanistan, or any other subject in the world because
impunity does not know borders.

No wonder, each day, we read in the news that the American police once again shot some
unarmed African American, or a housewife, or a disabled person, or somebody brave enough
to dared to protect their home and their family. This is your state, and it will treat you the way
it drones unfortunate child-shepherd in the sands of the Maghreb or Arabia to ensure "the
national security of America,” so far from its shores.

‘And we will be reminding you of this constantly. And yes, despites the popular opinion of the
social media hobos, we can and WILL talk ethically as any other people. (Somebody, please
put an Obama meme here).

We wish the people of America to resume control over your country as soon as possible and
expel these fat, degraded bankers and become again the great FREE nation that we
remember and love. We wish our retired colleagues from REvil have a lot of fun with their
honestly earned money.

Sincerely yours,

Conti team

Правила идентификации пользователей информационно-телекоммуникационной сети "Интернет" организатором сервиса обмена мгновенными сообщениями

https://base.garant.ru/402952098/


При регистрации мессенджеры будут обязаны запрашивать у пользователя номер телефона. После этого они обязаны будут направить запрос мобильному оператору о владельце данного номера.

Оператор должен будет в течение 20 минут предоставить информацию об абоненте из базы данных, включая сведения из паспорта. Если паспортные данные не совпадают или отсутствуют, то мессенджер должен отказать пользователю в регистрации.

В случае же успешной проверки каждому пользователю будет присваиваться уникальный идентификационный код, который необходимо будет обновлять при смене оператора сотовой связи. В случае отказа пользователя от услуг оператора связи, мессенджер должен в течение суток отключить его.

——
Я что-то не очень понял, теперь любой, кто создал хоть какой-то то там мессенджер, может прийти к оператору и сказать «я мессенджер, дай мне паспортные данные пользователя». Ну и вообще тема интересная, конечно

Взломали популярную библиотеку UAParser.js, которая используется для чтения информации в user-agent строках— в неё встроили код, который закачивает криптомайнер на тех системах, где она установлена. 6-7 млн закачек в неделю, по данным npm

https://github.com/advisories/GHSA-pjwm-rvh2-c87w

На страницы канала снова врывается компания NSO Group, печально известная своим ПО Pegasus, которое используется для взлома телефонов удаленно. Был взломан телефон (даже телефоны — оба iPhone) журналиста NYT, который писал о Саудовской Аравии и конкретно о принце Мухаммеде бин Салман, в период с июня 2018 года по июнь 2021 года. (то есть это не то, чтобы «опять новая zero-day», но скорее новость именно о свежеобнаруженной жертве). Интересно, что он пожаловался в NSO в 2020 году на то, что один из операторов (то есть клиентов компании) взломал его телефон в 2018 году. После этого его телефон заражали еще два раза, в июле 2020 года и июне 2021 года. Кто из клиентов NSO Group занимался взломом этого конкретного журналиста — неизвестно. Взлом происходил путем отправки сообщений в iMessage, которые использовали известные NSO уязвимости, чтобы взломать систему и доставить туда вредоносное ПО.

Отчет CitizenLab по конкретно этому взлому, с анализом оставшихся следов в файловой системе — по ссылке:
https://citizenlab.ca/2021/10/breaking-news-new-york-times-journalist-ben-hubbard-pegasus/

Биометрия в телефонах — штука, как известно, неоднозначная. Тем более, когда речь заходит о том, как к ней относятся правоохранительные органы. Собственно, я в канале уже как-то писал про то, что для судебной системы есть неопределенность между разблокировкой телефона паролем (который человек знает и может не разглашать, чтобы не свидетельствовать против себя), и разблокировкой пальцем (или лицом), которые формально у него как бы есть и всё (то есть это не хранящаяся в голове информация). Были какие-то судебные решения о том, что биометрию нельзя использовать для разблокировки устройств людей, которые находятся под следствием, но, очевидно, что это не тот еще легальный прецедент, чтобы это применялось повсюду. В частности, вот история о том, как подозреваемый в штурме Капитолия США 6 января 2021 года был арестован, а затем ФБР, вооруженная решением суда, разблокировала его Samsung S10 с использованием отпечатка пальца подозреваемого.

Конечно, отпечаток пальца или скан лица — это очень удобно, когда не надо вводить пароль (особенно когда пароль сложный и длинный). Но, как видите, есть и недостатки такого удобства. Не зря у некоторых телефонов есть возможности активации режима, когда он переходит в состояние блокировки, где можно только ввести пароль (например, на iPhone это одновременно нажать и подержать side/sleep и кнопку громкости вверх или вниз)

https://www.forbes.com/sites/thomasbrewster/2021/10/25/fbi-given-power-to-unlock-capitol-riot-suspect-phone-with-his-fingerprint/?sh=522915ae1da3

Гугл обещала пользователям WhatsApp бекапы такими формулировками, что можно было подумать, что бекапы будут шифрованными. Но нет, и Google знала об этом

https://twitter.com/PatrickMcGee_/status/1451632722791698432

Motherboard добыли интересный документ о том, как мобильные операторы в США сотрудничают с ФБР, поставляя им информацию по их запросам: информацию о местоположении пользователей, например. Или данные целиком с вышек мобильной связи, чтобы проанализировать, какие телефоны находились в определенное время в определенном месте. Информация об инструментах, которые используют в ФБР для анализа данных. Информация о том, какого типа данные и сколько они хранятся у мобильных операторов, и тд

https://propertyofthepeople.org/document-detail/?doc-id=21088576

Приложение Docket, которое позволяло жителям нескольких штатов в США (Нью-Джерси, Юта) загружать в телефон цифровые сертификаты о вакцинации от Ковид19. Правда, недокументированной функциональностью являлась фича, с помощью которой можно было загрузить не только свой паспорт вакцинации, но и чужой — включая персональную информацию, которая закодирована в QR-коде (имя, дата рождения, статус вакцинации, и тд). Удобно, конечно

https://techcrunch.com/2021/10/27/docket-vaccine-records-covid-security/

продолжая тему с вакцинацией и прочими ковидными штуками, тут вот непонятная история про возможную утечку приватных ключей для генерации сертификатов про Ковид в ЕС (вроде как только французские и польские сертификаты, но они работают в ЕС).

https://github.com/ehn-dcc-development/hcert-spec/discussions/105

Но больше всего доставил комментарий, на который указал читатель канала про сертификаты Гитлера, Спанжбоба Скверпентс и Микки Мауса
https://github.com/ehn-dcc-development/hcert-spec/discussions/105#discussioncomment-1551903

Вот еще ссылка на новость от читателя
https://nltimes.nl/2021/10/27/covid-access-pass-qr-code-issued-adolf-hitler-ministry-investigating

Блог-пост в Microsoft о том, как они обнаружили уязвимость в macOS, позволявшую злоумышленникам обойти SIP (System Integrity Protection) и выполнять действия на компьютере жертвы. SIP — технология, которая ограничивает возможности пользователя root от действий, нарушающих целостность системы. А уязвимость как раз заключалась в том, что установщик, подписанный Apple, запускал системный процесс, доверенный SIP. В итоге появлялась возможность запускать оболочку zsh, в рамках которой можно было выполнять команды из определенной директории.

https://www.microsoft.com/security/blog/2021/10/28/microsoft-finds-new-macos-vulnerability-shrootless-that-could-bypass-system-integrity-protection/

Уязвимость была исправлена в macOS 11.6.1
https://support.apple.com/en-us/HT212872

с такой конкуренцией я не смогу тягаться

материал о новых функциях безопасности чипа Tensor, который разработала Google для Pixel 6. Это собственная разработка Google, и чип включает в себя дополнительный чип безопасности Titan M2, схожий с Secure Enclave у устройств Apple. Статья у Google обо всех изменениях безопасности в новых телефонах и как компания будет защищать данные пользователей в комбинации с улучшениями конфиденциальности Android 12

https://security.googleblog.com/2021/10/pixel-6-setting-new-standard-for-mobile.html