В России 5 мая вступило в силу постановление правительства, обязывающее мессенджеры идентифицировать пользователей по номеру телефона.

Теперь мессенджеры должны будут проверять номера, с помощью которых регистрируются пользователи, у операторов связи, посылая им соответствующий запрос. В ответ на него оператор должен в течение 20 минут подтвердить личность человека.

Если оператор не ответит или сведений не окажется в базе, мессенджер должен будет запретить пользователю посылать сообщения.

Если пользователь поменяет номер телефона, он должен будет пройти идентификацию повторно.

https://meduza.io/news/2019/05/05/v-rossii-vstupilo-v-silu-pravilo-identifikatsii-polzovateley-messendzherov-po-nomeru-telefona-na-eto-budet-davatsya-20-minut

Сразу две хорошие новости, я отлучился на небольшой отпуск, и за это время ничего катастрофического не произошло! Если, например, не считать того, что из-за проблем с сертификатом у Firefox, что привело к тому, что уже установленные расширения не запускались, а новые не устанавливались. Те 2,5 пользователя Firefox, которые пострадали, уже знают, что проблема была исправлена:
https://bugzilla.mozilla.org/show_bug.cgi?id=1548973
https://blog.mozilla.org/addons/2019/05/04/update-regarding-add-ons-in-firefox/

А вот в китайском аналоге AWS — на облачной платформе Alibaba Cloud — обнаружилась база данных жителей из нескольких районов Пекина, которую собрали власти города с помощью системы распознавания лиц. “Умный город”, говорили они, “общественный транспорт вовремя”, говорили они, устанавливая камеры наблюдения. Только базу забыли закрыть паролем, и она лежала доступной для кого угодно в интернете. Elasticsearch, гигабайты данных, включая данные о распознавании сотен лиц за несколько месяцев. Базу обнаружил эксперт по кибербезопасности Джон Ветингтон, рассказавший об этом изданию TechCrunch.
https://techcrunch.com/2019/05/03/china-smart-city-exposed/

Компания 1Password, разработчик одноименного менеджера паролей, предлагает бесплатную версию своего приложения для журналистов. Нужно зарегистрироваться на странице, компания проверит статус зарегистрировавшегося как журналиста, и после этого зарегистрировавшийся получит бесплатную версию приложения.
https://blog.1password.com/world-press-freedom-day-1password-journalism/

Я на прошлой неделе публиковал новость от Bloomberg о том, что в сети Vodafone Italy был обнаружен бэкдор в оборудовании Huawei, и как чувствовал, дополнив ту заметку комментарием, что Bloomberg уже облажался с новостью про китайские чипы в серверах Apple и Amazon. В этот раз все оказалось примерно так же: “не миллион, а тысячу, и не выиграл, а проиграл”. Бэкдором, о котором писали в Vodafone, оказался диагностический telnet, торчащий в локальную сеть, пусть и захардкоженный, и незадокументированный. У The Register хороший материал по этому поводу:
https://www.theregister.co.uk/2019/04/30/huawei_enterprise_router_backdoor_is_telnet/
Поводов верить Bloomberg с IT-материалами все меньше и меньше. Они еще за чип в серверах Apple/Amazon не извинились.

Популярные устройства (видеокамеры, дверные звонки, радионяни) различных производителей из Китая (откуда ж еще) предоставляют доступ без авторизации, если злоумышленник будет перебирать серийные номера. Все устройства работают под управлением одного приложения для удаленного управления — iLnkP2P. При первом подключении владельцу нужно просканировать штрихкод на корпусе устройства или ввести серийный номер вручную. Это позволяет злоумышленникам просканировать набор серийных номеров, обнаружить активные устройства и подключиться к ним, используя логин и пароль по умолчанию.
И прекрасный домен для этой истории: https://hacked.camera

Злодей захватывает репозитории с кодом в заложники и требует выкуп, угрожая удалением данных. Атаки происходят на сервисы GitHub, Bitbucket и GitLab, и механизм атак пока что не до конца понятен. Злоумышленник скачивает код, удаляет его на сервере и требует заплатить 0,1 биткойна за возврат кода.
https://www.zdnet.com/article/a-hacker-is-wiping-git-repositories-and-asking-for-a-ransom/

На Хабре заметка о том, что делают бесплатные VPN-провайдеры с пользовательскими данными. Я неоднократно говорил о том, что подписываясь на сервис VPN, вы должны хорошо понимать, какие именно услуги предоставляет провайдер и что происходит с данными, которые проходят через этого провайдера. Для ультра-гиков есть варианты разворачивания своих VPN-серверов, что ОК, если вам не нужны разные локации (можно поискать тут же в канале, или просто в интернете).
https://habr.com/ru/company/hidemy_name/blog/450416/

Уязвимость в утилите компьютеров Dell (DellSupportAssist), которая позволяла исполнять на компьютере код с админскими правами, и получить контроль над компьютером. Апдейт вышел еще 23 апреля, но не факт, что все пользователи установили апдейт. Утилита по умолчанию встроена во все компьютеры Dell с Windows, и пользовательского взаимодействия не требуется, но дополнительный уровень защиты обеспечивает тот факт, что злоумышленник должен быть уже в сети жертвы.
https://www.zdnet.com/article/dell-laptops-and-computers-vulnerable-to-remote-hijacks/

Вот так вот

Очень много английским по белому от сооснователя Facebook о проблемах конфиденциальности пользовательских данных, конкуренции в сфере социальных сетей и почему компанию Facebook надо разделить, и вообще ввести регулирование цифровой отрасли в плане защиты конфиденциальной пользовательской информации
https://www.nytimes.com/2019/05/09/opinion/sunday/chris-hughes-facebook-zuckerberg.html

Привет! Вы же соскучились после длинных выходных по новостям в этом канале? 🙂

Популярный китайский GPS-трекер, используемый другими компаниями под своими брендами для, например, мониторинга детей, пожилых людей, автомобилей, оказался с уязвимостями, позволяющими управлять им удаленно, получать данные о текущем местоположении и даже активировать встроенный микрофон для прослушивания происходящего вокруг трекера. НИКОГДА ТАКОГО НЕ БЫЛО, И ВОТ ОПЯТЬ!

https://fidusinfosec.com/exploiting-10000-devices-used-by-britains-most-vulnerable/

Я понимаю, что пользователей Амазона тут не так много, но все же вам может быть интересно почитать о том, что компания Amazon собирает о своих пользователях в разных сервисах компании, которых великое множество. Как ни странно при таком количестве собираемой информации, многое из этого даже нельзя отключить
https://www.axios.com/what-amazon-knows-about-you-2df28404-b975-4bc8-b2da-ac702e601cf8.html

Вообще считается, что называть устройство термином “невзламываемое” — плохая примета, но некоторые продолжают наступать на эти грабли. Вот создатели невзламываемой USB-флешки собрали денег на Кикстартере, а потом оказалось, что резервный пароль устройства легко можно перехватить, сканируя USB-трафик с устройства. МОЛОДЦЫ
https://www.pentestpartners.com/security-blog/eyedisk-hacking-the-unhackable-again/

дыра во всех смартфонах Samsung, позволяющая превратить их в неработающие устройства при запуске приложения, эксплуатирующего эту ошибку. Самсунг считает, что проблема не требует исправления.
https://medium.com/@fs0c131y/how-to-brick-all-samsung-phones-6aae4389bea

во-первых, это красиво. обман систем распознавания объектов с помощью специальных (adversarial — антагонистических?) изображений

бага в приложении Twitter позволяла сервису случайно собирать информацию о местоположении пользователя (которая впоследствии передавалась партнеру компании). Затрагивает пользователей, у которых больше одного аккаунта в приложении Twitter для iOS. Пишут, что партнер данные не использовал и удалял их.
https://help.twitter.com/en/location-data-collection

А) плохие новости: обнаружена серьезная уязвимость в WhatsApp, позволявшая злоумышленникам установить шпионское ПО на смартфоны iOS и Android
https://m.facebook.com/security/advisories/cve-2019-3568

Б) Хорошие новости в том, что уязвимость исправлена, поэтому всем рекомендуется обновиться на последнюю версию приложения (если она не установилась автоматически).

В) шпионское ПО, по всей видимости, было от израильской компании NSO Group, и применялось для таргетирования совершенно конкретных людей (в частности, юриста, который участвует в иске против NSO).

Г) примечательно, что для заражения телефона достаточно было позвонить на номер телефоны жертвы. На звонок было даже необязательно отвечать.

Первоисточник (пейволл) https://on.ft.com/2VAo02o

Немного дополнений про историю с WhatsApp. Говорят, что последние попытки эксплуатации этой уязвимости были зарегистрированы еще даже вчера, так что эксплуатация была весьма активной. Правда, 99.9% пользователей переживать не стоит, потому что все было очень таргетировано против определенных целех.

В разговорах с экспертами они пока что озадачены, в частности, отсутствием технических деталей, поэтому не понятно, что именно и как эксплуатировалось, и где устанавливалось вредоносное ПО. В любом случае, эта история подчеркивает, что желательно обновлять приложения и операционные системы как можно скорее. Вон там, например, список фиксов из iOS 12.3, вышедшей вчера (https://support.apple.com/en-us/HT210118) — тоже хватает интересных вещей. Например, ходят слухи, что исправили некоторые вещи, позволявшие устройствам GrayShift выгружать данные с айфонов. It never ends 🙂

В этом вашем интернете вообще нельзя ни шагу сделать, чтобы какие-то очередные мудаки не стали использовать данные не так, как предполагалось. Есть такой стартап Ever, обещающий пользователям няшные альбомчики из фотографий, которые пользователь в этот сервис закачает. И что? Конечно же, оказалось, что эти прекрачные люди использовали данные для тренировки своих систем распознавания лиц. А затем эти алгоритмы распознавания собирались продавать частным компаниями, правоохранительным органам и военным ведомствам. Речь не идет, к счастью, о продаже прям данных конкретных людей, но c учетом того, как завуалированно это было описано в EULA, осадочек остается еще огого какой. Пользователи, в общем, ни сном, ни духом не ведали, что их приложения собирались использовать для обучения алгоритмов, которые потом могут быть использованы в военных или полицейских целях. Когда продукт бесплатен, то в продукт превращается пользователь. https://www.nbcnews.com/tech/security/millions-people-uploaded-photos-ever-app-then-company-used-them-n1003371