Я смотрю, вчерашний анонс Телеграма про изменение политики конфиденциальности таки повлиял на количество пользователей - от канала отвалилось почти 20 человек, которые, видимо, решили, что государство может посчитать их террористами, а телеграм их выдаст.

Небольшой апдейт вдогонку ко вчерашней новости про Инстаграм. Я так увлёкся тем фактом, что Инстаграм теперь позволяет использовать для 2ФА сторонние приложения, что совершенно пропустил тот факт, что социальная сеть теперь еще и позволяет проходить верификацию пользователей (чтобы получить, так сказать, голубую галочку для профиля). Но важный момент, на который стоит обратить внимание, заключается в том, что для верификации физическим лицам надо залить в Инстаграм для проверки фотографию документа, удостоверяющего личность:

Enter your full name and provide the required form of identification (example: government issued photo ID).

https://help.instagram.com/854227311295302

Ну не знаю, не знаю, я бы лично воздержался от заливания своего паспорта или водительского удостоверения в Фейсбук, паранойи много не бывает. Тем более, что Инстаграм ничего не говорит о том, что произойдёт с документами после верификации. Подозреваю, что они будут постоянно храниться в базе Фейсбука, привязанные к вашему аккаунту.

на прошлой неделе я писал о том, что мобильный оператор T-Mobile сообщил о взломе их системы, что привело к утечке пользовательских данных 2 миллионов человек. В первоначальном сообщении говорилось, что злоумышленники не получили доступа к паролям пользователей, но оказалось, что «encrypted passwords were included in the compromised data». Есть подозрение, что пароли были зашифрованы с помощью алгоритма MD5, что делает их уязвимыми для расшифровки. Так что пойду-ка я поменяю свой пароль у T-mobile
https://motherboard.vice.com/en_us/article/a3qpk5/t-mobile-hack-data-breach-api-customer-data

К предыдущим картинкам - целый тред на Реддит про всякие ужасы информационной опасносте в Тесле (насколько это правда, конечно, неизвестно, но читается увлекательно)
https://www.reddit.com/r/EnoughMuskSpam/comments/99sbwa/former_tesla_programmers_anecdotes_about_problems/

А вот еще ссылка от читателя о базе данных на 130 миллионов гостей китайских отелей, которая доступна в интернете за относительно недорого. Тоже очень хорошо
https://xakep.ru/2018/08/29/huazhu-leak/

Саша Плющев написал хороший и взвешенный текст о последних изменениях в политике конфиденциальности Телеграм, рекомендую почитать
https://t.me/F_S_C_P/25211

“зеркало” с 3Д камерами, которые сканируют тело. затем собираются все замеры, включая различные объемы и вес, а потом загружают данные в облако. Что может пойти не так?
https://nakedlabs.com

В это время в Канаде... Авиакомпания Air Canada сообщает о том, что произошёл взлом входа в систему со стороны мобильного приложения, и примерно 20 тысяч пользовательских записей, включая имена, адреса электронной почты и номера телефонов могли попасть к злоумышленникам. А если вдруг кто-то из пострадавших себе в профиль добавил паспортные данные и прочую личную информацию, то им тоже не повезло. Но данные кредитных карточек не затронуты, пишет компания
https://www.aircanada.com/ca/en/aco/home/book/travel-news-and-updates/2018/notice-air-canada-mobile-app-users.html

Вчера я писал про базу на 130млн пользователей - посетителей китайских отелей одной компании (https://t.me/alexmakus/2362). В статье в BBC говорится, что «базу случайно залили в интернет», в других источниках я видел, что базу залили на Гитхаб. Кто заливает случайно базу на 140ГБ на Гитхаб - я не очень понимаю.

https://www.bbc.com/news/technology-45349036

(Бонус - оцените иллюстрацию у ББС)

Опять же, еще похожая тема. На прошлой неделе я писал про сервер «мониторинга/слежки» за детьми и супругами, и как их информация стала публично доступной (https://t.me/alexmakus/2346). Точно так же отличился еще один похожий сервис Family Orbit. 281 гигабайт фотографий и видео пользователей оказались доступными хакеру, получившему доступ к системе.

https://motherboard.vice.com/en_us/article/ywk8gy/spyware-family-orbit-children-photos-data-breach

Так что если решите подписываться на подобный сервис, помните, что документы, фотографии и прочая информация, которую вы доверите подобному сервису, могут оказаться доступны не только вам (говорят, что некоторые хакеры устроили персональную вендетту против таких сервисов, считая их неэтичными)

Межведомственная комиссия, в состав которой вошли представители ФСБ, Роскомнадзора, Министерства цифрового развития, связи и массовых коммуникаций, с 6 августа проводит лабораторные испытания российских систем анализа и фильтрации трафика на сети Ростелекома в городе Реутов, говорится в протоколе заседания комиссии.

https://ru.reuters.com/article/topNews/idRUKCN1LF201-ORUTP

Я бы спросил читателей из Реутова, как там у них с Телеграмом, но они, наверно, как раз и не смогут прочитать :)

АПД пока что из Реутова пишут, что через прокси все работает

(PS кстати, добавлю отсебятины. Я приезжал на прошлой неделе в Москву и поразился тому, насколько часто был необходим VPN для нормального доступа к многим ресурсам. VPN - это не роскошь, а необходимость)

Привет!

Читатель прислал интересную ссылку. О том, что Ркн внедряет в реестр IPv6, была новость. Вот и рекомендации уже выложили с IPv6.

http://vigruzki.rkn.gov.ru/docs/description_for_operators_actual.pdf
(У меня издалека сайт не грузится, но есть файлик)

Я тут неоднократно писал о том, как рекламные площадки типа Фейсбука или Гугл (да и многие другие) пытаются следить за пользователями везде, где только можно. Межустройственная слежка - это прям эльдорадо для этих компаний, а слежка за пользователями в оффлайне - вообще сказка. Вот тут Блумберг рассказывает о том, что Google в США покупает у MasterCard данные о транзакциях по картам, что позволяет Google, используя алгоритмы компании, скрещивать данные об онлайн-показах рекламы и оффлайн-покупках. Понятное дело, что обычные пользователи ни сном, ни духом о подобной слежке, да и возможности отказаться от такого наблюдения тоже у пользователей нет. Так-то, конечно, все говорят, что данные о транзакциях анонимизированы, но с тем количеством данных о пользователях, которые есть у Гугл, скрестить и вычислить конкретных индивидуальных пользователей компании не составит труда. Такая вот крипота.

https://www.bloomberg.com/news/articles/2018-08-30/google-and-mastercard-cut-a-secret-ad-deal-to-track-retail-sales

Интересный отчёт о сканировании открытых git-репозиториев в интернете: из 230 млн доменов обнаружено 390 тысяч открытых .git директорий

https://lynt.cz/blog/global-scan-exposed-git

а кто помнит скандал с публикацией фотографий обнаженных знаменитостей в далеком 2014 году? Скандал, который подарил нам ню-фото Дженнифел Лоурен, Кирстен Данст и других знаменитостей? Я пару раз писал об этом:
https://t.me/alexmakus/448
https://t.me/alexmakus/774

А вспомнил я об этом сейчас потом, что на этой неделе еще один фигурант этого дела получил 8 месяцев тюрьмы за это преступление. Другие участники этой истории тоже получили сроки от 9 до 18 месяцев в тюрьме

https://www.theguardian.com/technology/2018/aug/29/nude-photo-hacker-prison-sentence-jennifer-lawrence-victims

И, как всегда, очень интересное исследование от компании Элкомсофт, которая специализируется по добыванию информации с компьютеров и смартфонов. В этот раз они решили покопаться в транзакциях Apple Pay, хранящихся в телефоне, и обнаружили... да, в общем-то, не так много они и обнаружили. Хорошие новости (для пользователей) заключаются в том, что данные не попадают ни в локальный бекап, ни в бекап в iCloud. Транзакции, проведённые часами, не попадают в телефон, и не хранятся в бекапе часов. Но в целом, применив один из инструментов Элкомсофт, кое-какую информацию с телефона получить всё-таки можно (что пригодится, например, правоохранительным органам в их расследованиях)

https://blog.elcomsoft.com/2018/08/analysing-apple-pay-transactions/

Ещё небольшой анонс. На следующей неделе я попробую поэкспериментировать с ботом @CyberSecusBot. Он будет делать сюда репосты из блога, где будут изначально появляться новости, а затем уже будут ретранслироваться сюда. Я предполагаю, что формат не должен измениться, зато у контента добавится читателей: а) те, у кого нет Телеграма, б) те, кто хочет читать по RSS, как мне написали несколько читателей, и в) на случай, если Телеграм в России все-таки заблокируют. Так что не удивляйтесь, если тут будет что-то нестандартное на время экспериментов, или что-то вдруг пойдёт не так (а что-то обязательно пойдёт не так, подсказывает мне опыт)

Веселая история о том, как сотрудник Google обнаружил уязвимость в программном обеспечении для системы, обеспечивающей пропускной режим и открытие двери в здания Google. а все потому, что он нашел захардкоженный ключ для шифрования команд, и таким образом смог сам отправлять команды, в том числе и на открытие двери, а также на блокировку входа других пользователей. Причем делать это он мог со своего рабочего места, что вызвало еще один вопрос об операционной безопасности разделения сетевых сегментов в компании. Но поскольку он был сотрудником google, он сообщил об обнаруженной проблеме, и компания, обеспечивающая работу двери, проблему починила. Но там обнаружился другой подвох: переход на шифрование TLS потребовал замены аппаратной части, так как первоначальной системе не хватало памяти для работы с TLS. Так что сколько еще таких клиентов компании (Software House) по миру, использующих уязвимую систему — знает только сама компания.
https://www.forbes.com/sites/thomasbrewster/2018/09/03/googles-doors-hacked-wide-open-by-own-employee/