Свежие утечки

– 75 тысяч записей с портала для записи в программу страхования здоровья в США. Непонятно, какие именно данные утекли.

https://www.zdnet.com/article/hackers-steal-data-of-75000-users-after-healthcare-gov-ffe-breach/

– Взлом сразу 8 сайтов одной компании, где взрослые люди делились обнаженными фотографиями своих партнеров (но зачем?). Сайты какие-то древние, но они все равно функционировали, и недавно всплыл 98МБ файл с IP-адресами, с 1,2 млн адресов электронной почты пользователей, именами и паролями, зашифрованными каким-то древним алгоритмом Descrypt
https://arstechnica.com/information-technology/2018/10/hack-on-8-adult-websites-exposes-oodles-of-intimate-user-data/

– просто эпичная история о том, как чувак запросил в рамках системы прозрачности местного правительства метаданные о переписке правительства города Сиэтла с жителями города, и в ответ случайно получил 32 млн записей, включая 256 первых букв из каждого письма, где можно было найти и номера кредиток, и пароли, и информацию о расследованиях ФБР, и много всего другого интересного. Когда он сообщил в IT-отдел города об их факапе, те заставили чувака данные удалить его. Но вся история сама по себе прекрасная просто, включая тот факт, что чувак заплатил за эти данные 40 долларов.

https://mchap.io/that-time-the-city-of-seattle-accidentally-gave-me-32m-emails-for-40-dollars4997.html

Залезть в компьютер

Читатель тут прислал ссылку, которую я дублировать не буду, но прокомментировать хочется:

Городской сервис ремонта цифровых устройств «Чудо техники» до 6 ноября проводит акцию «Диагностика за спасибо». Специалисты подскажут, что именно замедляет работу устройства, есть ли на нем вирусы или шпионские программы, и посоветуют, как решить другие проблемы с техникой. Пройти бесплатную цифровую диагностику можно только один раз, для этого необходимо оформить заявку на сайте проекта. Консультации проводят ежедневно, кроме воскресенья, с 10:00 до 20:00.

Во время проверки мастер не приходит к пользователям домой, а удаленно подключается к их устройствам со своего рабочего компьютера. Для этого нужно иметь доступ к интернету. Сама процедура длится около 20 минут. Абонент увидит все действия мастера и сможет контролировать их. Специалист получит возможность лишь единожды с позволения абонента подключиться к его компьютеру. Доступ будет временным, и повторить попытку мастер не сможет

Это все, конечно, хорошо, но что-то я не уверен, что это очень хорошая идея пускать удаленно на свой компьютер кого попало и как попало. Допускаю, что они используют какой-нибудь Team Viewer с разовой сессией, но все равно я бы поостерегся таких бесплатных услуг. Понятно, что в канале читатели, которые и сами с подобными задачами на своем компьютере и компьютерах родственников это сделают, но, может, донесите там до окружающих, что осторожность не помешает. “Следи за собой, будь осторожен, %username%”

Автодоступ

В руках одного чувака – планшет с усилителем сигнала брелка, у второго, возле водительской двери — видимо, устройство, имитирующее ключ. Брелок, по словам владельца автомобиля, лежал далеко в доме, но усилитель помог добросить сигнал. У машины был отключен ввод PIN, а также включён пассивный доступ (когда двери разблокируются при приближении ключа). Интересно, что у меня по соседству так недавно угнали несколько BMW и Mercedes – усилив сигнал от брелка и прокинув команды разблокировки автомобиля. Цифровой доступ без ключа — это удобно, но имеет свои недостатки.

Cybersecus ссылки, 19 окт 2018

1. Интересные результаты опроса, в котором оказалось, что многие люди, пользующиеся WhatsApp, не знают, что сервис принадлежит Facebook
https://spreadprivacy.com/facebook-whatsapp/

2. Что делать, если ваш аккаунт оказался среди затронутых недавним взломом Facebook
https://www.eff.org/deeplinks/2018/10/what-do-if-your-account-was-caught-facebook-breach

3. страничка уязвимости CVE-2018-10933 — той самой, затронувшей libssh. там же Docker-контейнер с уязвимостью, для экспериментов
https://github.com/hackerhouse-opensource/cve-2018-10933

4. кстати, о GitHub. Теперь там поддерживаются Security Alerts для проектов Java/.Net (это когда проект сканируется на предмет устаревших зависимостей).
https://www.zdnet.com/article/github-security-alerts-now-support-java-and-net-projects/

Китайские чипы где?

Уже прошло больше двух недель с того момента, как в Bloomberg появилась душераздирающая и крышесносящая история про то, как китайские военные втихаря устанавливали на китайской фабрике микрочипы в сервера американской компании SuperMicro. Потом эти сервера якобы оказывались в дата-центрах Apple, Amazon и еще нескольких десятков компаний, и китайские разведчики начинали, видимо, следить за данными на серверах, или доступаться к ним удаленно, или еще что-нибудь не менее ужасное.

С тех пор историю опровергли Apple и Amazon, а также британская разведка и американское министерство национальной безопасности, и еще много кто. Возможно, те “десятки” других компаний, о которых Bloomberg упоминали в статье, могли бы тоже опровергнуть, но мы не знаем, кто они — никаких имен предоставлено не было.
Continue reading

Конфиденциальность Apple

И говоря о сборе данных (как в истории с GM, например). Вчера Apple существенно обновила страницу Конфиденциальность, как компания регулярно делает к выходу новых версий своих операционных систем. На этой странице пользователи могут узнать о тех шагах, которые предпринимает Apple для сохранения конфиденциальной информации своих пользователей и их данных от самой себя, от сторонних приложений и других интересующихся этой информацией. Тут же отражены и те изменения, которые Apple внесла в последние версии iOS и macOS, например улучшения Internet Tracking Prevention в браузере Safari для ограничения слежки за пользователями в интернете. Очень полезная страница для тех, кто верит в то, что Apple действительно считает себя ответственной за сохранность конфиденциальности пользовательских данных (тех, кто не верит и считает это все маркетингом, никакая страница, конечно, не убедит).
Continue reading

Сбор данных через автомобиль

Detroit Free Press рассказывает об эксперименте General Motors, которая на протяжении трех месяцев в 2017 году собирала данные по прослушиванию радио из автомобилей. Детали собираемых данных включали в себя выбор радиостанции, уровень громкости, почтовый индекс владельца.

Какие выводы из этого собирается делать GM и что будет делать с этими данными – пока непонятно, но ясно, что это может быть шагом к таргетированию рекламой водителей прямо в автомобиле. Представитель GM рассказывает, например, о том, что они обнаружили, что владельцы Cadillac Escalade и GMC Yukon (родственные большие внедорожники) будут, скорей всего, слушать разную музыку. А любитель музыки стиля кантри может чаще останавливаться в определенной сети ресторанов традиционной американской кухни. У GM есть приложение Marketplace в мультимедийной системе автомобилей для совершения покупок прямо в автомобилях, и собранная статистика от прослушивания радиостанций может помочь GM при работе с партнерами в этой системе.
Continue reading

Facebook такой Facebook

Я недавно писал про анонсированный Facebook “умный” гаджет для дома – Portal. Он должен обеспечивать видео-звонки с другими устройствами Portal и приложением на смартфонах, а также наличие умного помощника в доме. Во время анонса представители Facebook утверждали, что у Portal не будет рекламы, а данные, собранные Facebook о пользователях Portal (использование приложений, прослушивание музыки в Spotify, и тд) не будут использованы для таргетирования пользователей рекламой.

В итоге, это оказалось неправдой. То есть часть про “не будет рекламы” все еще пока что правда, а вот с данными как-то нехорошо получилось.
Continue reading

libssh

Апдейт для libssh, исправляющий очень критическую и в то же время смешную уязвимость:

https://www.libssh.org/2018/10/16/libssh-0-8-4-and-0-7-6-security-and-bugfix-release/

Если вместо SSH2_MSG_USERAUTH_REQUEST отправить сообщение SSH2_MSG_USERAUTH_SUCCESS во время аутентификации, то сервер разрешал аутентификацию без всяких логинов и паролей.

Примерно так:

the vulnerability literally works like this:

me: “can i log in?”

server: “no. you need a password.”

me: “hacker voice i’m in”

server: “login successful. you’re in”

Ленивые мошенники

Ко мне обратился читатель с просьбой подсказать ему о ситуации, когда он получил письмо о взломе своих ящиков с требованием заплатить выкуп, иначе много личной информации станет публичной. Я и сам периодически получаю такие письма, вот вчера, например:

Еще в июле я писал об этом в Телеграм-канале. Далее привожу текст из поста, на случай, если у вас нет Телеграма:
Continue reading