– 75 тысяч записей с портала для записи в программу страхования здоровья в США. Непонятно, какие именно данные утекли.

https://www.zdnet.com/article/hackers-steal-data-of-75000-users-after-healthcare-gov-ffe-breach/

– Взлом сразу 8 сайтов одной компании, где взрослые люди делились обнаженными фотографиями своих партнеров (но зачем?). Сайты какие-то древние, но они все равно функционировали, и недавно всплыл 98МБ файл с IP-адресами, с 1,2 млн адресов электронной почты пользователей, именами и паролями, зашифрованными каким-то древним алгоритмом Descrypt
https://arstechnica.com/information-technology/2018/10/hack-on-8-adult-websites-exposes-oodles-of-intimate-user-data/

– просто эпичная история о том, как чувак запросил в рамках системы прозрачности местного правительства метаданные о переписке правительства города Сиэтла с жителями города, и в ответ случайно получил 32 млн записей, включая 256 первых букв из каждого письма, где можно было найти и номера кредиток, и пароли, и информацию о расследованиях ФБР, и много всего другого интересного. Когда он сообщил в IT-отдел города об их факапе, те заставили чувака данные удалить его. Но вся история сама по себе прекрасная просто, включая тот факт, что чувак заплатил за эти данные 40 долларов.

https://mchap.io/that-time-the-city-of-seattle-accidentally-gave-me-32m-emails-for-40-dollars4997.html

Читатель тут прислал ссылку, которую я дублировать не буду, но прокомментировать хочется:

Городской сервис ремонта цифровых устройств «Чудо техники» до 6 ноября проводит акцию «Диагностика за спасибо». Специалисты подскажут, что именно замедляет работу устройства, есть ли на нем вирусы или шпионские программы, и посоветуют, как решить другие проблемы с техникой. Пройти бесплатную цифровую диагностику можно только один раз, для этого необходимо оформить заявку на сайте проекта. Консультации проводят ежедневно, кроме воскресенья, с 10:00 до 20:00.

Во время проверки мастер не приходит к пользователям домой, а удаленно подключается к их устройствам со своего рабочего компьютера. Для этого нужно иметь доступ к интернету. Сама процедура длится около 20 минут. Абонент увидит все действия мастера и сможет контролировать их. Специалист получит возможность лишь единожды с позволения абонента подключиться к его компьютеру. Доступ будет временным, и повторить попытку мастер не сможет

Это все, конечно, хорошо, но что-то я не уверен, что это очень хорошая идея пускать удаленно на свой компьютер кого попало и как попало. Допускаю, что они используют какой-нибудь Team Viewer с разовой сессией, но все равно я бы поостерегся таких бесплатных услуг. Понятно, что в канале читатели, которые и сами с подобными задачами на своем компьютере и компьютерах родственников это сделают, но, может, донесите там до окружающих, что осторожность не помешает. “Следи за собой, будь осторожен, %username%”

1. Интересные результаты опроса, в котором оказалось, что многие люди, пользующиеся WhatsApp, не знают, что сервис принадлежит Facebook
https://spreadprivacy.com/facebook-whatsapp/

2. Что делать, если ваш аккаунт оказался среди затронутых недавним взломом Facebook
https://www.eff.org/deeplinks/2018/10/what-do-if-your-account-was-caught-facebook-breach

3. страничка уязвимости CVE-2018-10933 — той самой, затронувшей libssh. там же Docker-контейнер с уязвимостью, для экспериментов
https://github.com/hackerhouse-opensource/cve-2018-10933

4. кстати, о GitHub. Теперь там поддерживаются Security Alerts для проектов Java/.Net (это когда проект сканируется на предмет устаревших зависимостей).
https://www.zdnet.com/article/github-security-alerts-now-support-java-and-net-projects/

Апдейт для libssh, исправляющий очень критическую и в то же время смешную уязвимость:

https://www.libssh.org/2018/10/16/libssh-0-8-4-and-0-7-6-security-and-bugfix-release/

Если вместо SSH2_MSG_USERAUTH_REQUEST отправить сообщение SSH2_MSG_USERAUTH_SUCCESS во время аутентификации, то сервер разрешал аутентификацию без всяких логинов и паролей.

Примерно так:

the vulnerability literally works like this:

me: “can i log in?”

server: “no. you need a password.”

me: “hacker voice i’m in”

server: “login successful. you’re in”

Ко мне обратился читатель с просьбой подсказать ему о ситуации, когда он получил письмо о взломе своих ящиков с требованием заплатить выкуп, иначе много личной информации станет публичной. Я и сам периодически получаю такие письма, вот вчера, например:

Еще в июле я писал об этом в Телеграм-канале. Далее привожу текст из поста, на случай, если у вас нет Телеграма:
Continue reading →