Facebook опять

Кажется, где-то в районе сентября в канале была целая череда новостей про различные истории с Маками в плане инфобезопасности, и тогда создавалось впечатление, что канал только про Маки. Теперь же у меня создается впечатление, что канал про Facebook, потому что никогда такого не было и вот опять!

Facebook сегодня объявили, что в Photo API закралась ошибка, которая привела к тому, что фотографии 6,8 млн пользователей стали доступны приложениям, которые не должны были их видеть. Эти приложения были авторизованы для доступа к ограниченным наборам фотографий, но из-за ошибки приложениям стали доступны фотографии из историй, а также фотографии, которые пользователи загрузили в Facebook, но не опубликовали их.

Ошибка произошла в период с 12 сентября по 25 сентября, когда Facebook обнаружили проблему и исправили её. Но информация о ней стала доступна только сейчас, потому что Facebook, видимо, вынужден был разгребать историю с гораздо большей утечкой данных. Facebook пришлет тем пользователям, которых затронула эта проблема, уведомление с извинениями (Facebook вообще много приходится извиняться в последнее время), а также будет работать с теми разработчиками, приложения которых получили доступ к фотографиям. Таких разработчиков, по словам Facebook, 876, а приложений — около 1500.

Пароли 2018

Компания SplashData выпустила список самых популярных паролей в 2018 году. Список формируется с помощью анализа различных утечек, произошедших в этом году, поэтому в списке появляются даже новые позиции. Но в большинстве своем список, конечно, все тот же, и это расстраивает еще больше.

  1. 123456
  2. password
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. sunshine
  9. qwerty
  10. iloveyou
  11. princess
  12. admin
  13. welcome
  14. 666666
  15. abc123
  16. football
  17. 123123
  18. monkey
  19. 654321
  20. !@#$%^&* (хитро, это 12345678 c зажатым Shift)
  21. charlie
  22. aa123456
  23. Donald (хмммммм)
  24. password1
  25. qwerty123

Полный список тут:
https://www.teamsid.com/100-worst-passwords

Видеонаблюдение и распознавание лиц

Вчера я упомянул историю про то, как Амазон и полиция ловят преступников, устанавливая камеры и подкладывая фальшивые коробки с GPS-трекерами. Вчитываясь в статью, я обратил внимание на тот факт, что камеры были предоставлены компанией Amazon. Это значит, что, скорей всего, речь идёт о дверных звонках Ring, разработчика и производителя которых Amazon купил какое-то время назад.

Вчера же читатель обратил мое внимание на вот эту статью на сайте ACLU, известной правозащитной организации в США. В статье рассказывается о заявке на патент от Amazon об объединении системы распознавания лиц Rekognition с дверными звонками Ring. Про Rekognition я уже как-то писал, что Amazon рассматривает этот проект как часть возможного сотрудничества с правоохранительными органами для распознавания лиц на камерах, установленных в городах. Собственно, в патентной заявке идёт речь примерно о том же, только теперь Amazon хочет подключить звонки Ring к базам данных правоохранительных органов, чтобы определять “подозрительные лица”, проходящие мимо звонков, в которые встроены камеры. Более того, владельцы звонков тоже могли быть добавлять фото “подозрительных” людей в систему, и тогда программное обеспечение уведомляло бы владельца, если такие люди приближаются к звонку у двери. В любом случае, конечная идея в том, что при совпадении “подозрительности” можно было бы автоматически слать уведомление в правоохранительные органы, а они бы реагировали соответствующим образом.

Звучит достаточно неприятно, особенно в рамках всех историй про системы наблюдения в Китае, хотя это всего лишь патентная заявка и её наличие вовсе не означает существования такого продукта или системы в будущем. (Там еще много всякого про идентификацию людей по другим биометрическим параметрам, включая анализ текстуры кожи, системы вен на ладонях, геометрии рук, распознавание запаха, и т.п.) Но вообще потенциальные юридические последствия внедрения такой системы сложно себе представить. Это и постоянное наблюдения вашего перемещения даже в случаях, когда вы этого совершенно не ожидаете, и тот факт, что подобные системы распознавания дискриминируют против людей с кожей более темного цвета, и тд. Не говоря уже о передаче и хранении подобной информации, и постоянных утечках данных, о которых мы постоянно читаем. Что-то на фоне этих новостей про Amazon Facebook начинает выглядеть безобидной песочницей для обмена мемасиками.

В эту историю с визуальным наблюдением и распознаванием лиц странным образом вписывается новость про то, как на концерте Тейлор Свифт была задействована система по распознаванию лиц для определения известных преследователей певицы. ШТО? На концерте был установлен специальный киоск, на котором крутилось видео с репетиции. Всех, кто останавливались посмотреть видео, система фотографировала и отправляла фотографии в центр безопасности Тейлор Свифт, и там уже фото прогонялись через базу известных “нежелательных ухажеров” певицы. Что, разумеется, вызывает вопросы конфиденциальности персональной информации ничего не подозревающих посетителей концерта: кто и как хранит эту информацию, сколько времени, кто имеет к ней доступ и тд. Хотя, конечно, было бы интересно узнать, удалось ли распознать кого-то, ради чего эта система устанавливалась. Подозреваю, что скоро к билетам на концерты и другие массовые мероприятия будет прилагаться длинное пользовательское соглашение, в котором посетители будут отдавать все свои права на визуальное наблюдение и распознавание в обмен на возможность посмотреть само мероприятие. (Которые проводятся чаще всего в частных помещениях-зданиях-комплексах, и посетители все равно достаточно бесправные).

А вообще, конечно, будет интересно посмотреть на “цифровое сопротивление” этому бесконечному наблюдению, от которого, к сожалению, очень сложно и практически невозможно скрыться. Маскировщики лица? Подмена лиц на чужие? Глушилки камер? Впрочем, большинству людей все равно, что там происходит с информацией о них и их местоположении, так что, скорей всего, ничего не изменится в этом прогрессе.

Cybersecus дайджест

1. Статья о том, как исследователи напечатали на 3D-принтере голову человека (одного из исследователей) и проверяли системы биометрической аутентификации на смартфонах. Смартфоны с Android (LG G7 Linq, Samsung S9, Samsung Note 8 и OnePlus 6) радостно разблокировались, а вот смартфоны Apple и устройства Microsoft с Windows Hello устояли против такой атаки.

2. Полезная ссылка от читателя о том, как хеширование паролей
https://medium.com/@cmcorrales3/password-hashes-how-they-work-how-theyre-hacked-and-how-to-maximize-security-e04b15ed98d

3. Как полиция ловит воришек, ворующих посылки Amazon (с помощью фальшивых коробок, камер и GPS-трекеров)
https://www.apnews.com/c654020c42b94055a19801b849d337a2

4. Сразу несколько ссылок для читателей из Украины (ссылки тоже прислали читатели). Там бушует эпидемия рассылки вирусов по почте, прикидываясь письмами из госучреждений. Открывайте почту в перчатках!
https://mc.today/ne-otkryvajte-pismo-iz-suda-eto-hakery-rassylayut-virusy-kak-ne-stat-zhertvoj-takih-atak/
https://www.npu.gov.ua/ua/news/kiberzlochini/kiberpolicziya-fiksuje-vipadki-rozpovsyudzhennya-virusu-zamaskovanogo-pid-povidomlennya-vid-derzhustanov/
https://cert.gov.ua/news/49

Канатная дорога

А помните историю про “взлом канатной дороги”? Там еще был такой пассаж:

Как правильно указал один из читателей, “судя по всему страшные хакеры, напавшие на системы свежеоткрытой канатной дороги в Москве, оказались обычным вирусом-шифровальщиком”. В связи с этим особенно интересно смотрятся утверждения о том, что “личность организатора кибератаки на компьютерные сервера столичного подъемника была установлена”. Мне интересно, как этого злоумышленника зовут на самом деле: Петя? НотПетя? ВоннаКрай?

А вот и ответ!

«В период отладки и работы было организовано удаленное управление, чтобы она из штаб-квартиры могла производить отладочные работы. К сожалению, никаких мер по обеспечению безопасности этого удаленного управления предпринято не было. В результате чего появилось то, что должно было появиться. Это был вирус-шифровальщик»

Но главное, что “личность организатора кибератаки на компьютерные сервера столичного подъемника была установлена”, ведь так?

Cybersecus дайджест

1. Тот взлом SPG/Marriott, при котором за 4 года утекло данных на 500 млн человек? NYT пишет, что это дело китайских хакеров, работавших на министерство государственной безопасности
https://www.nytimes.com/2018/12/11/us/politics/trump-china-trade.html

2. Больше года назад я писал о взломе Equifax — кредитного бюро в США, при взломе которого утекло данных на почти 150 млн американцев, причем там все — от имени до номера социального страхования, и последствия для многих — на всю жизнь. Так вот, Конгресс США опубликовал доклад об этом взломе, из которого следует, что этот взлом вполне можно было предотвратить. Я просто оставлю цитату из отчета тут:

Equifax did not see the data exfiltration because the device used to monitor ACIS network traffic had been inactive for 19 months due to an expired security certificate. On July 29, 2017, Equifax updated the expired certificate and immediately noticed suspicious web traffic.

Рука, встречай лицо.

3. История с австралийским законом о шифровании точно пока не закончилась. Вот большое открытое письмо, подписанное огромным количеством экспертов по безопасности.

Вот хорошая статья с FAQ об этом законе: https://www.zdnet.com/article/whats-actually-in-australias-encryption-laws-everything-you-need-to-know/.

А вот, например, что пишут об этом разработчики менеджера пароля 1Password, часть из которых работает в Австралии — они реально опасаются, что правительство Австралии может склонить кого-то из сотрудников к тому, чтобы вставить бэкдор в продукт.

cybersecus дайджест

Еще несколько ссылок по теме:

1. Большой материал о работе системы видеонаблюдения (включая распознавания лиц) в Москве:
http://codaru.com/war-on-reason/chto-vnutri-bolshogo-brata/

2. Цепочка багов в инфраструктуре Microsoft позволяла получить доступ к учетным записям пользователей в системе Microsoft и получить контроль над ними (всеми 400 млн)
https://www.safetydetective.com/blog/microsoft-outlook/

3. Американские технологические компании, включая Apple, Microsoft, Facebook, Google, высказались с критикой против законопроекта, принятого в Австралии касательно шифрования данных и доступа правоохранительных органов к ним
https://techcrunch.com/2018/12/10/silicon-valley-denounce-australia-encryption-law/

4. Коллекция крупнейших взломов и утечек пользовательских данных в 2018 году
https://www.businessinsider.com/data-hacks-breaches-biggest-of-2018-2018-12#3-exactis-340-million-19

5. Новый троян для Android, маскирующийся под “оптимизатор батарейки” и ворующий данные с аккаунтов PayPal
https://www.welivesecurity.com/2018/12/11/android-trojan-steals-money-paypal-accounts-2fa/

Supermicro и Bloomberg

Помните историю года про чипы в серверах Supermicro, собранных для Apple и Amazon, опубликованную в издании Bloomberg? (что я спрашиваю, конечно, помните). У той новости было много дополнений, в основном в виде опровержений от Apple, от Amazon, от разведывательных ведомств разных стран, и даже от Supermicro. Издание Bloomberg продолжает хранить гордое молчание, не предоставив никаких дополнительных доказательств к этому материалу, ни отозвав материал, как призывали представители Apple и Amazon. Подозреваю, что Bloomberg пытается собрать дополнительные материалы, чтобы доказать, что они все-таки опубликовали не полный bullshit, но пока что эта статья является темным пятном на репутации вполне уважаемого издания.

Но вспомнил я об этой истории сегодня, потому что именно сегодня компания Supermicro разослала своим клиентам письмо о том, что компания закончила расследование по материалам, озвученным в статье Bloomberg. Компания пишет, что во время расследования она не обнаружила никаких доказательств вредоносного аппаратного внедрения ни в текущих, ни в старых моделях материнских плат в серверах компании. Расследование было проведено компанией Nardello & Co, которая тестировала в том числе и материнские платы, проданные в Apple и Amazon. Supermicro все еще рассматривает различные юридические опции касательно этого материала. Хотя, конечно, негативный эффект распространяется и на Amazon/Apple, но, скорей всего, эти компании не будут подавать на Bloomberg в суд — это плохо с точки зрения PR, когда огромные корпорации судятся с журналистами.

АПД Письмо CEO Supermicro

Сбор информации о местоположении

В западных интернетах бурлит вчерашняя статья в The New York Times о сборе информации о местоположении пользователей приложениями, установленными на смартфонах пользователей. Статья рассказывает о том, что есть целая группа компаний (около 75), которые скупают анонимную информацию о местоположении пользователей, собранную из различных мобильных приложений. Некоторые из этих компаний утверждают, что они собирают данные с почти 200 миллионов мобильных устройств в США.

Данные, по информации в NYT, анонимизированы, и собираются якобы с целью предоставления пользователям актуальных местных новостей, данных о погоде и тд. Данные затем продаются, используются и анализируются рекламодателями, розничными сетями и даже финансовыми компаниями. Её точность, а также частота отправки (в некоторых случаях — каждые несколько секунд) позволяет получить весьма интересные результаты с детальным пересечением некоторых пользователей. Например, кто-то в финансовой аналитической компании может проанализировать данные о количестве сотрудников на заводе или о количестве посетителей в магазине, чтобы представить себе, как идут дела у какой-нибудь компании. Подобные данные покупаются за 0,5-2 цента в месяц за пользователя, говорится в статье NYT.
Continue reading

И снова Google+

Помните, в октябре была история про то, что в Google+ обнаружилась уязвимость, которая позволяла видеть данные пользователей? Тогда Google сказала, что “в течение двух недель были доступны данные на 500 тысяч пользователей”, при том, что уязвимость существовала три года. После этого Google даже пообещала и закрыть Google+ в 2019 году.

Так вот, сегодня Google призналась, что еще одна уязвимость в API Google+ привела к тому, что данные на 52,5 млн пользователей были доступны из приложений, которые использовали Google+ API. Сам баг существовал только 6 дней в ноябре этого года, и позволял приложениям получать информацию о профиле пользователя, включая имя, адрес электронной почты, пол, дату рождения, возраст и тд, даже если эти данные были непубличными. Более того, уязвимость позволяла через профиль пользователя получать данные и на других пользователей.

Google говорит, что нет свидетельств того, что эта уязвимость была эксплуатирована каким-либо приложением, но на всякий случай Google приняла решение ускорить процесс сворачивания Google+: доступ к API закроется через 90 дней, а сама социальная сеть вместо августа 2019 года закроется в апреле 2019 года. Спешите что-нибудь туда запостить, пока не закрыли!

https://www.blog.google/technology/safety-security/expediting-changes-google-plus/