И снова здравствуйте! Нет времени объяснять, поэтому ссылки!

1. Правительство Индии наделило 10 госучреждений правом перехватывать, мониторить и расшифровывать данные на любом компьютере. Все операторы и в том числе пользователи компьютеров должны "предоставить все возможности и помощь учреждениям". За отказ — до 7 лет лишения свободы. Правда, потом уточнили, что каждый такой случай должен утверждаться Union Home Secretary (некий орган при министерстве внутренних дел, как я понял)
https://venturebeat.com/2018/12/21/indian-government-to-intercept-monitor-and-decrypt-citizens-computers/

2. CVE-2018-8626 | Windows DNS Server Heap Overflow Vulnerability
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2018-8626

3. О программе "Hemisphere", в рамках которой оператор AT&T предоставлял федеральным и местным органам по контролю за оборотом наркотиков доступ к информации о телефонных звонках, включая дату, время, продолжительность, и в некоторых случаях — местоположение
https://www.eff.org/deeplinks/2018/12/and-after-what-we-learned-about-hemisphere-program-after-suing-dea

4. Как мобильные приложения передают различную информацию о пользователях в Facebook. Хотя более правильно было бы назвать эту статью "Как журналисты узнают о Facebook SDK в приложениях и обнаруживают, что этот SDK передает информацию в Facebook".
https://www.buzzfeednews.com/article/charliewarzel/apps-are-revealing-your-private-information-to-facebook-and

5. Android malware = Chromebooks malware
https://blog.malwarebytes.com/101/2018/12/yes-chromebooks-can-and-do-get-infected/

6. Google защищает Chrome OS с помощью блокировки USB, когда заблокирован экран (Что-то похожее на USB Accessories блокировку в iOS 12.1)
https://www.zdnet.com/article/chrome-os-to-block-usb-access-while-the-screen-is-locked/

7. Статья в NY Post, из которой я приведу одну цитату:
But Huawei is much more than an innocent manufacturer of smartphones.

It is a spy agency of the Chinese Communist Party.
https://nypost.com/2018/12/22/how-arrest-of-chinese-princess-exposes-regimes-world-domination-plot/

смешной проект

На прошлой неделе Apple опубликовала обновленную страницу отчета компании о прозрачности. В частности, на этой странице компания рассказывает о запросах со стороны государственных органов (вот запись о предыдущем обновлении этого отчета). На странице можно также узнать о различных типах запросов:

- Устройства — идентификаторы устройств (серийные номера, IMEI), касается расследований о потерянных или украденных устройствах.
- Финансовые идентификаторы — запросы о банковских картах, касаются мошеннических транзакций
- Учетные записи — Apple ID, адрес электронной почты, запросы касательно имен владельцев аккаунтов, адрес, и тд. Также включает в себя запросы по получению данных пользователя (фото, почта, резервные копии, и тд)
- Сохранение учетной записи — запросы от правоохранительных органов на сохранение данных об учетной записи для последующих расследований и запросов на получение данных
- Ограничение/удаление учетных записей — тоже, как правило, запросы от правоохранительных органов в случае, если учетная запись была использована незаконно.
- Крайняя необходимость (emergency) — используется в случае угрозы гибели или существенного телесного повреждения человеку, и правоохранительные органы обращаются с такими запросами в случае пропавших людей.  
- Вопросы, касающиеся национальной безопасности США.
- Частные запросы в США — запросы в рамках гражданских исков или уголовных расследований, когда запрашивается информация о подключениях к сервисам Apple, транзакциям о покупках или регистрации покупок.


Вся статистика разбита по времени, можно посмотреть роста количества запросов по практически всем категориям. Там же есть разбивка и по странам. Важно, что на страницах отчетов также есть статистика и о том, какое количество запросов было удовлетворено (то есть переданы данные).

Вот, например, отчет по России:
(https://alexmak.net/wp-content/uploads/2018/12/Screen-Shot-2018-12-27-at-12.35.39-PM.png)

А вот по Украине:
(https://alexmak.net/wp-content/uploads/2018/12/Screen-Shot-2018-12-27-at-12.36.02-PM.png)

Но Apple не единственная, кто предоставляет такие отчеты. Вот отчет о прозрачности Google (тоже обновлен две недели назад). Тут тоже наблюдается устойчивый тренд роста:
(https://alexmak.net/wp-content/uploads/2018/12/Screen-Shot-2018-12-27-at-12.39.53-PM.png)

Для тех, кто не сильно занят покупкой подарков и нарезанием оливье, очередная подборка актуальных новостей и интересных статей на тему информации, которая опасносте.

1. В Китае, который, как знают читатели канала, пытаются наблюдать за всеми и везде, не остаются без внимания и школьники. В одной из провинций страны для школьников ввели "умную" форму, которая включает в себя трекинг местоположения школьников по GPS. Если школьник прогуливает школу без разрешения, то родители об этом немедленно узнают (система работает только на территории школы). Распознавание лиц дополняет информацию о пребывании и поведении школьников. Правильно, население должно с малых лет знать, что все под контролем.

https://www.abc.net.au/news/2018-12-28/microchipped-school-uniforms-monitor-students-in-china/10671604

2. На проходящей в Германии конференции Chaos Communication Congress исследователи продемонстрировали обход системы аутентификации по венам под кожей с помощью руки из воска.
https://motherboard.vice.com/en_us/article/59v8dk/hackers-fake-hand-vein-authentication-biometrics-chaos-communication-congress

3. Уязвимости в камерах наблюдения компании Guardzilla позволяют злоумышленникам получить доступ к хранилищу записей с камер. Потому что захардкоженные ключи позволили получить доступ к AWS-серверам компании.

https://www.0dayallday.org/guardzilla-video-camera-hard-coded-aws-credentials/

4. Статья в NYT под говорящим названием "Our Cellphones Aren’t Safe". Притворяющиеся настоящими базовые станции Stingray, и уязвимости в SS7, вот это все.
https://www.nytimes.com/2018/12/26/opinion/cellphones-security-spying.html

забыл еще вот ссылку добавить, прислал читатель. веселая история про кастомные прошивки к Android https://telegra.ph/Kulstori-ob-Android-proshivkah-voruyushchih-klyuchi-u-nas-i-privatnost-u-svoih-polzovatelej-12-20

Последний выпуск в этом году, но в следующем году мы обязательно продолжим, потому что, как известно, информация опасносте!

Несколько ссылок на почитать в новом году (а то у вас поди уже оливье, вот это все):

1. Вирусная атака на издательские системы компании Tribune System, которая издает и распространяет на западном побережье США сразу нескольких крупных газет в США — LA Times, WSJ, NYT. Технические детали атаки неизвестны, но представители уже заявили, что "атака из-за рубежа". Я не удивлюсь, если окажется, как с московской канатной дорогой, что кто-то не поставил важный апдейт, и какой-то очередной WannaCry пробрался в сеть
https://www.latimes.com/local/lanow/la-me-ln-times-delivery-disruption-20181229-story.html

2. Когда-то в прошлом, когда смартфоны были маленькими... В смысле, когда они были не сильно распространены, у Twitter была фича "отправить твит по SMS". Если отправить твит с номера телефона, привязанного к аккаунту, то твит опубликуется в ленте. Компания INSINIA SECURITY продемонстрировала, что уязвимость в Twitter, позволяющая публиковать твиты в чужих аккаунтах с помощью спуфинга номера телефона, по-прежнему существует, несмотря на утверждения Twitter, что уязвимость была исправлена. Спорный момент в том, что компания решила продемонстрировать это, опубликовав твиты в аккаунтах различных известных личностей.
Пост компании
О постах в аккаунтах селебритис (и рассуждения о том, нарушает ли это закон)

3. Презентация с проходившей в Германии конференции 35c3 об истории джейлбрейка iOS. Очень познавательно и будет интересно тем, кто пользуется айфоном с самого начала, когда без джейлбрейка вообще мало что можно было сделать
https://api.tihmstar.net/35c3slides.pdf

4. Европейский Союз объявил о том, что будет выплачивать премию за обнаружение уяюзвимостей в популярных проектах с открытым исходным кодом, включая KeePass, 7-zip, VLC, Drupal и FileZilla
https://juliareda.eu/2018/12/eu-fossa-bug-bounties/

С Новым годом, земляне! Если вдруг вы уже наелись оливье и вам хочется почитать что-то интересное, очень рекомендую эту статью про количество фейковой информации в интернете - фейковых юзеров, фейковый трафик, фейковый контент и тд. Реальная информация опасносте!
http://nymag.com/intelligencer/2018/12/how-much-of-the-internet-is-fake.html

Тут развивается интересная и в чем-то даже забавная история с устройствами с поддержкой технологии трансляций видео-контента Chromecast. В декабре я рассказывал про то, как кто-то рассылает на доступные в интернете принтеры с призывом подписываться на канал видеоблоггера в YouTube. Так вот, сейчас происходит нечто подобное, но теперь с медиаплеером Google Chromecast. Хакер Жираф, который уже рассылал приветы на принтеры, поделился новой находкой. Обычно устройства Chromecast, Smart ТВ, и устройства Google Home используют порты 8008, 8009 и 8443 для функций по их управлению, и по умолчанию это работает внутри локальной сети. Некоторые неправильно настроенные роутеры с включенным UPnP делают эти порты доступными в интернете, а дальше дело техники: скрипт ищет такие устройства с портами в интернете, а, обнаружив такое устройство, второй скрипт пытается заставить устройство проиграть определенное видео с YouTube. В видео говорится о том, что "ваше устройство раскрывает вашу информацию", а также призывает подписаться на видеоблогера Pewdiepie на YouTube. В целом ничего нового они не придумали — об этом было известно еще в 2014 году, но тем не менее. Сам факт, что устройство с Chromecast можно такой командой заставить проиграть произвольное видео, должен как минимум у Google вызвать жжение в определенной точке.

Страничка проекта со статистикой и FAQ здесь https://casthack.thehackergiraffe.com

Видео также призывает посмотреть вот эту инструкцию о том, как исправить проблему. Хотя проще всего, конечно, либо отключить UPnP на роутере, или убедиться, что роутер не прокидывает порты 8008, 8009 и 8443 в интернет. Кто-то уже предположил, например, что атаку можно сделать еще более "веселой": можно заставить телевизор проиграть видео, в котором голос даст команду колонке Amazon Echo купить какой-нибудь товар на Amazon, или установить будильник на 3 часа утра, или отключить систему сигнализации в доме. Будущее со всеми его подключенными к интернету устройствами будет, безусловно, прекрасным!

Небольшая коллекция ссылок, накопившаяся за последние пару дней. Часть из ссылок прислана читателями, за что им спасибо!

1. Взлом и последующая утечка пользовательских данных компании BlankMediaGames, около 8,4 млн записей, включая адреса электронной почты и платежную информацию
https://blog.dehashed.com/town-of-salem-blankmediagames-hacked/

2. Хакер, рассылавший приветы от Pewdiepie на принтеры и Chromecast-устройства, срочно выпилился из интернета. Потому что после своих приколов он решил собрать денег на Patreon, что оказалось опасным для потенциального деанона
https://pastebin.com/pfX5p4ze

3. Новая израильская компания, специализирующаяся на киберопасности (фокус компании — продажа инструментов для агрессивного внедрения в компьютерные системы), называется Candiru (рыба-паразит, проникающая в тело человека через доступные отверстия, включая анус или пенис. брррррр)
https://www.haaretz.com/israel-news/business/.premium-top-secret-israeli-cyberattack-firm-revealed-1.6805950

4. Полезные советы, почему очень важно оберегать свой номер телефона (в штатах, например, перевод номера на другого оператора или другую СИМ-карту методом социальной инжинирии со службой поддержки — популярная тема, благодаря этому было украдено немало криптовалюты в прошлом году). Статья актуальна для США в первую очередь, но я рекомендую изучить со своими операторами возможность дополнительной защиты вашего номера от мошенничества.
https://techcrunch.com/2018/12/25/cybersecurity-101-guide-protect-phone-number/

5. First-Ever UEFI Rootkit Tied to Sednit APT
https://threatpost.com/uefi-rootkit-sednit/140420/

6. Biological One‐Way Functions for Secure Key Generation
https://onlinelibrary.wiley.com/doi/full/10.1002/adts.201800154

Журнал Bild опубликовал сегодня (статья на немецком) материал о взломе, который затрагивает различных публичных людей в Германии. Частная переписка, адреса электронной почты, контрактная информация, включая мобильные номера телефонов, а также финансовая информация на сотни политиков была опубликована в Твиттере (еще в декабре, но обратили на нее внимание только сейчас). Среди жертв утечки — канцлер Германии Ангела Меркель и президент республики Франк-Вальтер Штайнмайер. Также, кроме политиков, в материалы попала информация о журналистах, и даже популярных исполнителях.

Какой-либо системы в материалах не видно, поэтому не очень понятно, откуда появились эти данные. Объем материалов намекает на то, данные могли собираться на протяжении длительного времени, и там было потрачено немало усилий на их сбор. Кроме источника утечки (хотя главное подозрение падает на фишинг и последующую добычу информации из других онлайн-учеток), непонятна и цель публикации этих материалов, среди которых могут оказаться и вброшенные ненастоящие данные.

Вот еще материал на английском, если по немецки вы не verstehen.
https://www.theregister.co.uk/2019/01/04/germany_mass_hack_merkel/

В ноябре я писал про Marriott, отельной сети, которая раскрыла информацию о том, что на протяжении 4 лет кто-то сифонил из сети Starwood данные. Злоумышленники получили доступ к базе данных резервирования и скачали персональные данные на 500 миллионов постояльцев отелей, как было озвучено 30 ноября.

Есть дополнительные новости, которые сегодня опубликовала компания в апдейте к расследованию:

Во-первых, как оказалось, что затронутыми оказалось максимум 383 миллиона записей постояльцев отелей. Речь не идет о 383 млн человек, потому что во многих случаях информация дублируется, но вообще компания также говорит, что не может с уверенностью сказать, сколько же именно человек было затронуто этой утечкой.

Во вторых, стало известно, что около 5,25млн номеров паспортов тоже находились среди информации, доступ к которой был получен злоумышленниками, а также 20,3 млн зашифрованных номеров паспортов.

В третьих, около 8,6 млн зашифрованных данных о платежных картах были "вовлечены в инцидент", как пишет компания. На сентябрь 2018 года около 354 тыс этих карт обладали актуальным сроком действия.

В четвертых, базу данных Starwood для резервирования вообще вывели из оборота, и все резервирования теперь идут через систему Marriott (не знаю, действительно ли это хорошие новости).

Такие дела.

Вегас :)

На прошлой неделе я писал о том, как в Германии сотни известных людей  обнаружили, что их личные данные оказались публично доступны в интернете. Журналисты успели понаписывать версии о том, как за этими взломами и утечкой могут стоять хакеры какой-нибудь страны, но все может оказаться проще (по крайней мере, на сегодня кажется так). Полиция в воскресенье арестовала 20-летнего молодого человека, который признался в том, что он действовал сам. Это, по его словам, касалось как добычи данных, так и последующей их публикации.


Молодой человек из города Hesse, живущий с родителями утверждает, что его мотиватором стало раздражение на различные публичные заявления, сделанные политиками, журналистами и другими публичными личностями. Об этом заявил прокурор на пресс-конференции во вторник, 8 января. Интересно, что на данный момент подозреваемый отпущен домой. Интересно, что в материале также говорится, что изначальные масштабы "атаки" были существенно раздуты. Да, в сливе фигурировали данные на "1000 человек", но для большинства из них это ограничивалось номером телефона, адресом электронной почты и физическим адресом. Больше данных, включая личные фотографии и фото из чатов, оказалось доступными только для около 50 человек. Посмотрим, получит ли эта история дальнейшее развитие.
https://motherboard.vice.com/de/article/9k4pw5/polizei-findet-datenleak-hacker-schueler-aus-hessen-datenklau-hackerangriff-bka
(нем.)

Сбор информации о местоположении пользователей нынче — популярный бизнес. А вот представители города Лос-Анджелес подали в суд на компанию TWC Product and Technology, которая является подразделением IBM, и известна тем, что разрабатывает и распространяет мобильное приложение The Weather Channel. В иске указывается, что компания скрытно обрабатывает частные данные пользователей и продает их третьим сторонам, включая рекламодателей. Компания вводит пользователей в заблуждение, следя за их местоположением круглосуточно".

The Weather Channel — одно из самых популярных погодных приложений для мобильных устройств, с 45 млн активных пользователей в месяц. Компания, предлагая пользователям включить местоположение для того, чтобы предоставлять более точные погодные данные, не раскрывала перед пользователями тот факт, что эти данные также будут монетизироваться с целью, которая не имеет никакого отношения к погоде. По утверждениям представителей мэрии Лос-Анджелеса, использовала эти данные для таргетированной рекламы и анализа для хедж-фондов. Мэрия призывает в своем иске компанию прекратить эту порочную практику. Компания, со своей стороны, утверждает, что "всё всем платится..." ой, кажется, не туда пишу... что всем всё как надо рассказывали, и собирается защищаться в суде.

https://www.nytimes.com/2019/01/03/technology/weather-channel-app-lawsuit.html

коллекция интересных ссылок:

1. Голландская компания Consumentenbond протестировала 110 смартфонов на Android на предмет работы функции распознавания по лицу владельца. 42 телефона были разблокированы с помощью фотографий.

Полный список протестированных телефонов по ссылке
https://www.consumentenbond.nl/veilig-internetten/gezichtsherkenning-te-hacken

2. Исследование о том, как UEFI rootkit от группировки Fancy Bear проникает в Windows PCs
https://www.theregister.co.uk/2019/01/02/lojax_uefi_rootkit/

3. Исследование о подозрительных приложениях в App Store, которые скрытно коммуницируют с серверами известного вредоносного ПО для Android Golduck. Вроде бы пока что ничего вредоносного на iOS-приложения не передается, но потенциально такой бэкдор содержит в себе некий риск. Вот эти приложения:
Commando Metal: Classic Contra, Super Pentron Adventure: Super Hard, Classic Tank vs Super Bomber, Super Adventure of Maritron, Roy Adventure Troll Game, Trap Dungeons: Super Adventure, Bounce Classic Legend, Block Game, Classic Bomber: Super Legend, Brain It On: Stickman Physics, Bomber Game: Classic Bomberman, Classic Brick – Retro Block, The Climber Brick, Chicken Shoot Galaxy Invaders.
https://www.wandera.com/risky-apps/

4. Репозиторий Modlishka, тулзы для фишинга. С поддержкой 2FA и много всего полезного. Do no evil!
https://github.com/drk1wi/Modlishka

5. Исследование MIT, из которого следует, что если скомбинировать достаточное количество наборов анонимных данных, то вполне на выходе можно получить деанонимизированные данные
http://news.mit.edu/2018/privacy-risks-mobility-data-1207

1. История, заслуживающая внимания — как журналисты издания Motherboard за 300 долларов смогли получить данные о местоположении iPhone на основе данных, продаваемых операторами мобильной связи в США. Данные, продаваемые операторами, оказываются доступными на сайтах, которые используют bounty hunters (пытался понять, как правильно перевести bounty hunters на русский. есть типа термин "охотник за головами", но он не совсем правильно описывает современных bounty hunters, которые ловят тех, кто сбежал из-под залога. Наверно, все-таки пусть будет "охотник за головами"). Пора заводить отдельный канал "информация о местоположении опасносте".
https://motherboard.vice.com/en_us/article/nepxbz/i-gave-a-bounty-hunter-300-dollars-located-phone-microbilt-zumigo-tmobile

2. Yubico анонсировали ключи с портом Lightning для iOS-устройств (а также с USB-C)
https://www.yubico.com/2019/01/yubico-launches-the-security-key-nfc-and-a-private-preview-of-the-yubikey-for-lightning-at-ces-2019/

3. Интересно, что немецкого хакера, слившего информацию о публичных личностях, вычислили по аккаунту в Telegram, который был зарегистрирован на настоящий номер телефона. Он общался с каким-то корешем, который много хвастался в интернете таким контактом, кореша арестовали как свидетеля, и все.
https://twitter.com/i0n1c/status/1082612305391730688

4. Некоторые пользователи смартфонов Samsung обнаружили, что они не могут удалить приложение Facebook со своих телефонов. Таковым было условие сделки между Samsung и Facebook. Пользователи могут "отключить" приложение, но при этом опасаются, что приложение все равно собирать и отправлять данные в Facebook (FB говорит, что это не так, но кто же им поверит?)
https://www.bloomberg.com/news/articles/2019-01-08/samsung-phone-users-get-a-shock-they-can-t-delete-facebook

5. 85 приложений в Google Play с миллионами закачек, маскирующиеся под игры и другие приложения, на самом деле работали в фоне, показывали рекламу втихаря и всячески накручивали деньги своим разработчикам
https://blog.trendmicro.com/trendlabs-security-intelligence/adware-disguised-as-game-tv-remote-control-apps-infect-9-million-google-play-users/

Привет! Сегодня отличные ссылки!

1. У Лаборатории Касперского в прошлом году были определенные трудности в США: обыски ФБР у сотрудников американского офиса, запрет на покупку лицензий в госорганах, отказ основного розничного партнера от продажи продуктов компании, и тд. Это связано с различными обвинениями в сторону компании, и в том числе и о причастности компании к утечке материалов NSA (что потом было опровергнуто). На Politico вышла вчера статья о том, как та же ЛК сдала NSA их подрядчика, который "вынес" с работы 50ТБ (терабайт) данных, и почему-то пытался связаться с Евгением Касперском. Поскольку сотрудникам ЛК этот Мартин показался связанным с Shadow Brokers, они сообщили о нем в NSA.

2. Google решила ограничить для многих приложений доступ к SMS и истории звонков, если это не является основной или необходимой функциональностью приложения.
https://support.google.com/googleplay/android-developer/answer/9047303?hl=ru

3. Хотите заработать 2млн долларов? Все, что вам нужно — это обнаружить уязвимость нулевого дня, обеспечивающую удаленный джейлбрейк iOS. Там есть и выплаты за другие операционные системы, но больше всего денег дают все-таки на обнаруженные уязвимости в iOS.
https://zerodium.com/program.html

4. Невероятной интересности тред в Твиттере про поимку El Chapo. Там все, что автор писал в последние несколько дней, выглядит как сериал Narcos в текстовом режиме, но этот тред особенно интересен. Мне особенно понравилось, что El Chapo попросил своего IT-шника установить на телефон жены программное обеспечение для слежения за ней (Flexi-Spy). Затем этот IT-шник начал сотрудничать с ФБР, рассказал им об этом факте, ФБР пришла с ордером к разработчику этого ПО, и получила доступ к переписке El Chapo с женой. (та же история с двумя его любовницами). Неожиданный вектор атаки.
https://twitter.com/alanfeuer/status/1083033189956964353

5. Бага в выдаче результатов поиска Google, позволяющая с помощью пары символов в адресной строке выдавать какие угодно результаты в knowledge graph
https://wietzebeukema.nl/blog/spoofing-google-search-results

PS редакция на несколько дней уйдет в себяоффлайн, поэтому обновления канала возобновлятся на где-то на следующей неделе. Не сломайте тут интернет, пока меня не будет.

Привет! После небольшого, но приятного перерыва, редакция с новыми силами врывается в мир новостей информационных опасностей. Поскольку за время отсутствия редакции появилось много интересного материала, то начнем с коллекции ссылок про различные утечки.

1. Исследователь обнаружил некорректно настроенный сервер Jira, принадлежащий NASA, на котором любой желающий мог узнать имена и электронные адреса сотрудников NASA, а также проекты, над которыми они работали.

https://medium.com/@logicbomb_1/bugbounty-nasa-internal-user-and-project-details-are-out-2f2e3580421b

2. Незащищенный сервер с миллионами записей о звонках и текстовых сообщениях на протяжении длительного времени был доступен в интернете с открытым доступом. Если вам кажется, что вы испытываете чувство дежавю, то вам не кажется. В ноябре похожая история была с компанией Vovox (https://t.me/alexmakus/2513), на серверах которой хранились миллионы текстовых сообщений, включая коды сбросов паролей и двухфакторной аутентификации. Теперь отличилась компания Voipo с десятками гигабайт пользовательской информации.
https://rainbowtabl.es/2019/01/15/voipo-data-leak/

3. Система бронировки авиабилетов Amadeus, которую используюсь многие крупные авиакомпании мира, позволяла изменить чужое резервирование, зная только номер бронировки человека — путем подстановки кода бронировки в веб-адрес израильской авиакомпании El Al.

https://www.safetydetective.com/blog/major-security-breach-discovered-affecting-nearly-half-of-all-airline-travelers-worldwide/

4. Очередной незащищенный инстанс MongoDB на 854ГБ данных содержал более 200 млн резюме, включая различную персональную информацию, такую как номера телефонов, рост-вес, и тд. Судя по скриншотам, речь идет о китайских пользователях, информация о которых собиралась с различных сайтов на протяжении многих лет.
https://blog.hackenproof.com/industry-news/202-million-private-resumes-exposed

5. Исследователь по безопасности обнаружил ряд уязвимостей в программном обеспечении популярных хостинговых сайтов (Bluehost, DreamHost, Hostgator, OVH, iPage), которые позволяли захват пользовательских учетных записей.
https://www.websiteplanet.com/blog/report-popular-hosting-hacked

6. На Филиппинах субподрядчик по выдаче гражданских паспортов после разрыва контракта "ушел" со всеми данными, и теперь тем гражданам страны, которым нужно обновить паспорт, часто приходится приносить свидетельства о рождении. Какой-то WTF! (тоже своего рода утечка)
https://www.philstar.com/headlines/2019/01/12/1884444/dfa-passport-maker-runs-all-data

Вчера сайт Have I Been Pwned обновился новыми материалами по утекшим логинам и паролям. В результате многие подписчики этого сайта, в том числе и я, получили такую нотификацию:
(https://alexmak.net/wp-content/uploads/2019/01/Screen-Shot-2019-01-17-at-10.39.46-AM.png)


Проект, созданный известным экспертом по безопасности Трой Хантом, давно специализируется на слежении за известным утечками, и обеспечивает уведомление подписчиков о том, что их логин или пароль обнаружены среди утекших материалов. В случае с последним уведомлением там ситуация немного нестандартная, потому что исходный материал изначально не является какой-то новой утечкой, а компиляцией каких-то других, в том числе и, возможно, неизвестных утечек. 2,7 млрд строк, 1,160 млрд уникальных комбинаций логинов и паролей, 773 млн уникальных адресов электронной почты, 21,2 млн уникальных паролей — короче, хорошая коллекция, достойная отдельного импорта в сервис, даже несмотря на неизвестное происхождение первоначального контента. Трой опубликовал об этом отдельный материал, который я рекомендую прочитать.

В целом, нельзя сказать, что это какая-то особенная новость, но я решил об этом написать, потому что:
а) ко мне обратились читатели с вопросом, можно ли вообще доверять этому сайту. Вообще, конечно, в интернете нельзя доверять никому!
б) другой читатель прислал материал из одного канала, в котором сайт HIBP вообще обозвали фейком и мошенническим. "Это старинный прием спамеров". Рука, встречай лицо.

Я не буду пытаться вам доказывать, можно или нельзя доверять Трою или его сайту. Достаточно будет сказать, что я не видел у других экспертов по инфобезопасности предметной критики этого проекта или призывов не доверять данным этого сайта, или призывов не вводить адрес электронной почты и пароли для проверки на предмет утечки. Вот есть еще материал о том, как обеспечивается проверка пароля на утечку и как обеспечивается его анонимность. Популярные менеджеры паролей тоже интегрируются с HIBP для того, чтобы проводить аудит логинов и паролей, сохраненных в менеджере паролей. Так что да, фейк и мошенничество это все.

Накопившихся за последние несколько дней материалов оказалось столько, что его можно группировать по категориям. Вот, например, сразу несколько материалов о камерах.

1. Прекрасная история про камеры компании Ring (принадлежит Amazon). Компания производит камеры наблюдения и рекламирует их конечным потребителям. Камеры могут быть установлены в дверные звонки или просто где-то дома, и обеспечивают трансляцию происходящего в объективе камеры на смартфоны пользователей. Алгоритмы, распознавание объектов и лиц, вплоть до в будущем уведомлений полиции о подозрительных лицах в кадре, вот это все. Правда, тут оказалось, что для распознавания компания использовала во многих случаях не алгоритмы, а сотрудников в Украине. Видео передавалось и хранилось в незашифрованном виде, а ко всем видео имелся доступ у сотрудников, которые просматривали видео и классифицировали объекты, когда AI фейлился. Более того, многие сотрудники и менеджеры в офисе в США тоже имели доступ к прямой трансляции многих пользователей камер. Говорят, что с момента приобретения компании Amazon были внедрены более строгие правила доступа к видео, но, по словам бывшего сотрудника компании, у сотрудников все равно есть методы обхода этих правил. Представители Ring опровергают материалы расследования.

https://theintercept.com/2019/01/10/amazon-ring-security-camera/

2. Камеры наблюдения, которые устанавливают владельцы квартир и домов, могут иметь и другие последствия. Например, вот прекрасная история о том, как в квартире, которую автор снял через AirB&B, оказалась камера наблюдения, о которой владелец квартиры не рассказал. Автор отключил камеру, и какой потом спор с владельцем и сервисом развернулся. Но чужие камеры — это и правда стремно, и никогда не знаешь, кто и как за тобой наблюдает.
http://jeffreybigham.com/blog/2019/who-is-watching-you-in-your-airbnb.html

3. По этому поводу пригодится статья, присланная читателем, о том, как можно находить скрытые камеры:
https://www.senteltechsecurity.com/blog/post/how-to-find-hidden-cameras/

4. Ну и полезный тред в твиттере по этому поводу: "there is no such thing as an IoT security camera".
https://twitter.com/ErrataRob/status/1084567735990919168