Cybersecus digest

Сегодня у нас коллекция ссылок на тему.

1. Хакеры, в свое время взломавшие Uber и получившие доступ к миллионам пользовательских записей (а затем вынудили компанию заплатить выкуп, и замаскировать это под bug bounty), попались на другом взломе и были арестованы ФБР
https://techcrunch.com/2018/10/25/uber-hackers-indicted-lynda-breach/

2. База данных сотрудников Сбербанка утекла в сеть. Об этом стало известно еще на прошлой неделе (ссылку на базу прислал один из читателей), но теперь появилось и почти официальное подтверждение.

“О проблеме доложили Герману Грефу, который уже выразил свое недовольство, отметил один из собеседников “Ъ” в банке.”

https://www.kommersant.ru/doc/3785052

3. Google теперь требует от официально лицензирующих Android компаний обязательно два года выпускать обновления безопасности для смартфонов под управлением этой операционной системы
https://www.theverge.com/2018/10/24/18019356/android-security-update-mandate-google-contract

Я уже выразил свое недовольство небольшим количеством ссылок сегодня.

Максима Телеком и пользовательские данные

Медуза опубликовала материал о том, как оператор городского WiFi в Москве следит за пользователями и пытается таргетировать рекламу пользователям на основе собранных им данных. Однажды попав в базу МТ, пользователи “отдают” провайдеру MAC-адрес своего устройства, после чего тот, наводнив город своими базами WiFi, начинает эту информацию использовать для дополнения другой информацией и отслеживания привычек.

Однажды попав в базу, профиль пользователя начинает обрастать информацией: в нем сохраняются все его перемещения, данные о поле, возрасте, уровне дохода, интересах (на основании анализа посещаемых через вайфай сайтов), технические характеристики смартфона.

Я не буду спойлить остальную статью, сходите по ссылке и почитайте. Меня удивляет, что компания так гордо рассказывает об этом мониторинге пользователей (я уверен, идентифицировать конкретного человека и его перемещения с имеющейся у МТ и в интернете информации им не составит труда). А уж какой потенциал для того, кто решит, что можно эту информацию получить, например, незаконным образом. Тем более, что факапы с безопасностью этих самых профилей у МТ уже были. Лучше бы во второй части статьи Артем Пуликов из „Максима Телеком“ рассказал о том, они обеспечивают безопасное хранение этой информации от доступа внутри и извне. Или же, например, как в рамках того же GDPR можно было бы попросить компанию удалить все имеющиеся на конкретного пользователя данные.
Continue reading

Боты и реклама в мобильных приложениях

Лонг-рид, но очень интересный. О компании, которая скупала приложения в Google Play Store, а затем скрытно трекала поведение пользователей в этих приложениях. На основе собранной информации компания тренировала ботов, чтобы их поведение было похожим на человеческое. С помощью этих тренированных ботов компания, скупавшая приложение, могла обманывать системы детекции фрода при показе рекламы, и таким образом генерить сотни миллионов долларов на показах рекламы фейковым ботам.

https://www.buzzfeednews.com/article/craigsilverman/how-a-massive-ad-fraud-scheme-exploited-android-phones-to
Continue reading

Проверка имейла на утечки через Shortcuts

Пользователям iOS 12 может быть полезно воспользоваться Шорткатом для проверки адреса электронной почты на предмет наличия в различных источниках утекшей за последние несколько лет информации (хотя, подозреваю, читатели канала давно это уже сделали без всяких шорткатов). Ссылка на шорткат:
https://www.icloud.com/shortcuts/12f9efa03ada4d2a9876f6647d94e8c3

(автор)

Шорткат отправляет запрос с адресом электронной почты по API на сайт HaveIBeenPwned.com, и выдает список сайтов, в утечках которого зарегистрирован указанный адрес. Дальше все в ваших руках — изменить пароли на этих сайтах, если вы еще не меняли их, и разработчики сайта не сбросили его автоматически, и убедиться, что эта комбинация логина и пароля не используется на других сайтах.

Взлом Cathay Pacific

Злоумышленники взломали системы авиакомпании Cathay Pacific и её подразделения Hong Kong Dragon Airlines Limited, и получили доступ к данным 9,4 млн клиентов компании. Данные клиентов компании, которые могли быть затронуты во время незаконного доступа, включают в себя (но варьируются от пассажира к пассажиру):
паспортные данные,
дату рождения
информацию о идентификационных картах,
контактную информацию,
информацию о банковских картах (небольшое количество),
историю перелетов.

Пароли пользователей не были затронуты. Взлом произошел в марте.

Continue reading

Окопавшееся издание Bloomberg и сервера с китайскими чипами

Издание Bloomberg, опубликовавшее статью о якобы китайских шпионских чипах в серверах SuperMicro, использующихся в датацентрах Apple, Amazon и других компаний, продолжает хранить гордое молчание, несмотря на призывы всех, кого только можно, либо предоставить доказательства об истории, изложенной в той статье.

Я внимательно слежу за этой историей, потому что мне очень интересно, чем она закончится, поэтому я постоянно публикую свежие обновления, появляющиеся по этой теме. С момента последней заметки:

1. Тим Кук в телефонном интервью BuzzFeed призвал издание отозвать статью, сказав, что в ней нет правды касательно Apple:

“There is no truth in their story about Apple. They need to do the right thing and retract it.”

Continue reading

Свежие утечки

– 75 тысяч записей с портала для записи в программу страхования здоровья в США. Непонятно, какие именно данные утекли.

https://www.zdnet.com/article/hackers-steal-data-of-75000-users-after-healthcare-gov-ffe-breach/

– Взлом сразу 8 сайтов одной компании, где взрослые люди делились обнаженными фотографиями своих партнеров (но зачем?). Сайты какие-то древние, но они все равно функционировали, и недавно всплыл 98МБ файл с IP-адресами, с 1,2 млн адресов электронной почты пользователей, именами и паролями, зашифрованными каким-то древним алгоритмом Descrypt
https://arstechnica.com/information-technology/2018/10/hack-on-8-adult-websites-exposes-oodles-of-intimate-user-data/

– просто эпичная история о том, как чувак запросил в рамках системы прозрачности местного правительства метаданные о переписке правительства города Сиэтла с жителями города, и в ответ случайно получил 32 млн записей, включая 256 первых букв из каждого письма, где можно было найти и номера кредиток, и пароли, и информацию о расследованиях ФБР, и много всего другого интересного. Когда он сообщил в IT-отдел города об их факапе, те заставили чувака данные удалить его. Но вся история сама по себе прекрасная просто, включая тот факт, что чувак заплатил за эти данные 40 долларов.

https://mchap.io/that-time-the-city-of-seattle-accidentally-gave-me-32m-emails-for-40-dollars4997.html

Залезть в компьютер

Читатель тут прислал ссылку, которую я дублировать не буду, но прокомментировать хочется:

Городской сервис ремонта цифровых устройств «Чудо техники» до 6 ноября проводит акцию «Диагностика за спасибо». Специалисты подскажут, что именно замедляет работу устройства, есть ли на нем вирусы или шпионские программы, и посоветуют, как решить другие проблемы с техникой. Пройти бесплатную цифровую диагностику можно только один раз, для этого необходимо оформить заявку на сайте проекта. Консультации проводят ежедневно, кроме воскресенья, с 10:00 до 20:00.

Во время проверки мастер не приходит к пользователям домой, а удаленно подключается к их устройствам со своего рабочего компьютера. Для этого нужно иметь доступ к интернету. Сама процедура длится около 20 минут. Абонент увидит все действия мастера и сможет контролировать их. Специалист получит возможность лишь единожды с позволения абонента подключиться к его компьютеру. Доступ будет временным, и повторить попытку мастер не сможет

Это все, конечно, хорошо, но что-то я не уверен, что это очень хорошая идея пускать удаленно на свой компьютер кого попало и как попало. Допускаю, что они используют какой-нибудь Team Viewer с разовой сессией, но все равно я бы поостерегся таких бесплатных услуг. Понятно, что в канале читатели, которые и сами с подобными задачами на своем компьютере и компьютерах родственников это сделают, но, может, донесите там до окружающих, что осторожность не помешает. “Следи за собой, будь осторожен, %username%”

Cybersecus ссылки, 19 окт 2018

1. Интересные результаты опроса, в котором оказалось, что многие люди, пользующиеся WhatsApp, не знают, что сервис принадлежит Facebook
https://spreadprivacy.com/facebook-whatsapp/

2. Что делать, если ваш аккаунт оказался среди затронутых недавним взломом Facebook
https://www.eff.org/deeplinks/2018/10/what-do-if-your-account-was-caught-facebook-breach

3. страничка уязвимости CVE-2018-10933 — той самой, затронувшей libssh. там же Docker-контейнер с уязвимостью, для экспериментов
https://github.com/hackerhouse-opensource/cve-2018-10933

4. кстати, о GitHub. Теперь там поддерживаются Security Alerts для проектов Java/.Net (это когда проект сканируется на предмет устаревших зависимостей).
https://www.zdnet.com/article/github-security-alerts-now-support-java-and-net-projects/

Китайские чипы где?

Уже прошло больше двух недель с того момента, как в Bloomberg появилась душераздирающая и крышесносящая история про то, как китайские военные втихаря устанавливали на китайской фабрике микрочипы в сервера американской компании SuperMicro. Потом эти сервера якобы оказывались в дата-центрах Apple, Amazon и еще нескольких десятков компаний, и китайские разведчики начинали, видимо, следить за данными на серверах, или доступаться к ним удаленно, или еще что-нибудь не менее ужасное.

С тех пор историю опровергли Apple и Amazon, а также британская разведка и американское министерство национальной безопасности, и еще много кто. Возможно, те “десятки” других компаний, о которых Bloomberg упоминали в статье, могли бы тоже опровергнуть, но мы не знаем, кто они — никаких имен предоставлено не было.
Continue reading