Joomla опубликовала интересный постмортем о взломе инфраструктуры компании, в результате чего на одном из серверов был установлен криптомайнер. Пользовательские данные не пострадали
https://community.joomla.org/blogs/leadership/jed-server-security-incident-report.html

Всего лишь на прошлой неделе я публиковал заметку о том, как были обнаружены некие внутренние документы портала Госуслуг путём перебора идентификаторов документов в ссылке. Я еще тогда написал, что такое бывает часто, и не только в России (пусть даже в том конкретном случае речь шла о несекретных данных). И вот вдогонку новость о том, как банк First American, который осуществляет страхование права собственности при сделках по недвижимости, допустил похожую ошибку. Только в этот раз доступными были данные о номерах банковских счетов, водительские удостоверения и налоговые формы, номера социального страхования и многое другое, что представляет собой критические персональные данные о пользователях. Любой, зная УРЛ, мог без пароля, перебирая цифры в адресе, получать данные на пользователей. Речь идёт о 885 миллионах записях, уходящих в далекий 2003 год. Пока что речь идет о том, что данные были доступны, а вот воспользовался ли кто-то этой информацией, чтобы скачать её, неизвестно. Банк подтвердил, что начал расследование со своей стороны, чтобы проверить, не было ли подобного несанкционированного доступа.
https://krebsonsecurity.com/2019/05/first-american-financial-corp-leaked-hundreds-of-millions-of-title-insurance-records/

Интересная тема о фингерпринтинге смартфонов на базе данных гироскопа, акселлерометра и магнитометра. Apple подкрутила фикс для этого в iOS 12.3, в случае с Android там немного сложнее - часть моделей, которые проверили исследователи, подвержена атаке, часть нет. Google исследует проблему.
https://sensorid.cl.cam.ac.uk/

Статья из NYT, которую за последние несколько дней мне прислали неоднократно. Статья рассказывает о том, как американский город Балтимор страдает от хакерской атаки, которая использует вредоносное ПО, написанное на базе уязвимости EternalBlue. О которой мир узнал благодаря хакерам Shadow Brokers, опубликовавшим информацию о ней. Которая, в свою очередь, узнала об этом из утечки материалов NSA (правда, есть слухи, что уязвимость фигурировала и раньше, но это не суть). Суть статьи, в основном, в том, что “вот плохие NSA, которые сидели на этой уязвимости много лет, и не раскрывали её Microsoft”, и только после того, как инфа утекла, Microsoft начала делать фиксы. В общем-то, ничего нового (конечно, NSA будет зажимать такую инфу, у них работа такая. Процесс разглашения уязвимостей — дело секретное, мутное и вообще “Такая корова нужна самому”.). Меня же во всей этой истории удивило, что сейчас, два года спустя после утечки, после всех историй про вымогательские атаки, и после апдейтов Microsoft, есть компы, на которых нет нужных апдейтов. Так-то, конечно, можно винить NSA, но было бы неплохо для начала апдейты вовремя ставить.
https://www.nytimes.com/2019/05/25/us/nsa-hacking-tool-baltimore.html

а вот еще интересная статья. Washington Post опубликовали материал о том, как приложения для iPhone под покровом ночи стучат куда-то там на сервера и что-то там передают компаниям, о которых владелец телефона зачастую даже не слышал. “Айфон напичкан тысячами трекеров”, пишут журналисты. Забывая, правда, при этом уточнить, что большинство этих “трекеров” — это инструменты аналитики приложений, используемые разработчиками для анализа работы приложений и последующих улучшений этих приложений. Эти инструменты получают данные в анонимном виде, без персональной информации пользователя. Многие приложения, по сути, работающие с облачными сервисами, делают это, потому что это их единственный метод работы. Есть, конечно, и повод для беспокойства: многие приложения не раскрывают подобный сбор информации, и журналисты призывают как-то централизовать этот процесс, чтобы пользователь был лучше в курсе ситуации.

https://www.washingtonpost.com/technology/2019/05/28/its-middle-night-do-you-know-who-your-iphone-is-talking/

Но я вообще об этом хотел сказать немного в другом разрезе. Когда заходишь на сайте Washington Post для того, чтобы почитать эту статью, как минимум 25 внешних доменов передают какую-то информацию о пользователе, просматривающем эту статью, включая IP-адрес и другие уникальные идентификаторы. Обладая этой и другой информацией, вполне можно в итоге вычислить и конкретного пользователя, который читает эту статью (чтобы показать ему, разумеется, рекламу поэффективней).

https://twitter.com/pinboard/status/1133430057802915843

Ссылка от читателя о новой волне вредоносных расширений для Firefox
https://www.ghacks.net/2019/05/29/another-malware-wave-hit-the-mozilla-firefox-extensions-store/
(очень это невовремя, на волне новостей о том, что Google чтото там мутит с адблокерами в Chrome и клятвами пользователей навсегда перейти на Firefox)

используйте голосовые помощники, говорили они. Это удобно и почти безопасно, говорили они. Тут вот наисследовали, что амазоноские Echo сохраняют данные о детях и их запросах к голосовому помощнику(це) Alexa даже после того, как родители начинают пытаться удалить данные (данные для рекламы лишними не бывают)
https://www.echokidsprivacy.com

меня тут читатели пинают уже, что новости о взломе два дня как, а я еще ни разу о ней не написал. Виноват, да. Flipboard, новостной агрегатор и инструмент для шаринга новостей, сбросил всем пользоваелям (десятки миллионов человек) пароли, после того, как оказалось, что злоумышленники получали за последние 9 месяцев неоднократно доступ к системам сервиса (включая, как оказалось, и данные учетных записей пользователей)
https://about.flipboard.com/support-information-incident-May-2019/

а вот пользователи камер Theta360 (производитель компания Ricoh) могли узнать, что фотографии, снятые их камерами, включая те, что были отмечены как приватные, доступны в интернете кому угодно. Фотки заливаются в облако, предоставленное производителем, и вот оказалось, что база данных была доступна в сети без соответствующей защиты. Классика рубрики “никогда такого не было, и вот опять”
https://www.vpnmentor.com/blog/report-theta360-leak/

Microsoft тут всячески призывает не затягивать с установкой апдейта против уязвимости в Remote Desktop Services (та самая CVE-2019-0708, для которой недавно вышел апдейт для Windows, включая XP). Microsoft говорит, что эксплойт существует и применяется (читательница канала даже присылала мне ссылку на proof of concept для эксплуатации уязвимости), поэтому ставьте апдейты, пока не началось! Говорят, что в сети насчитывается еще более 1 миллиона компьютеров, которые уязвимы к этой баге.
https://blogs.technet.microsoft.com/msrc/2019/05/30/a-reminder-to-update-your-systems-to-prevent-a-worm/

Британская разведка продолжает настаивать, что было бы неплохо добавить их джеймсовбондов в виде “пользователя-привидения” в зашифрованные протоколы переписки сообщениями для проследующей прослушки и мониторинга переписки. Открытое письмо, подписанное 47 компаниями и организациями (Apple, Google, WhatsApp, Tor, Microsoft) и массой экспертов по безопасности, призывает британскую разведку узбагоиться и не гневить богов инфосека, потому что это может привести и к проблемам систем аутентификации, и к непредсказуемым уязвимостям. Как будто утечки инструментов ЦРУ и NSA происходили в какой-то другой вселенной.

Ссылки по теме: статья о предложении разведки https://www.lawfareblog.com/principles-more-informed-exceptional-access-debate
само письмо с призывами https://regmedia.co.uk/2019/05/30/letter_to_gchq_ghost_user_cryptobusting_plan.pdf

Ссылка от читателя про RCE в nginx
https://twitter.com/alisaesage/status/1134400428899127296?s=19

Ещё интересное
Nginx web server security executive summary

- ~20 CVEs total since 2009
- just a handful of memory corruption RCE among them
- <3 PoCs in public (mostly directory traversal and similar)
- 0 security research / internals analysis publications
- 0 known exploits, public or private

A lawyer for Facebook argued in court Wednesday that the social media site’s users “have no expectation of privacy.”

According to Law360, Facebook attorney Orin Snyder made the comment while defending the company against a class-action lawsuit over the Cambridge Analytica scandal.

“There is no invasion of privacy at all, because there is no privacy,” Snyder said.

Privacy’s dead, baby. Privacy’s dead.

Бля, тоже мне нашли эксперта по киберзащите, извините

https://tjournal.ru/news/100080-roskomnadzor-vnes-tinder-v-reestr-rasprostraniteley-informacii

По закону «Об информации, информационных технологиях и о защите информации» регистрация в данном реестре обязывает компанию хранить логи сообщений в течение полугода и предоставлять спецслужбам ключи для расшифровки сообщений.

Берегите свою переписку в тиндере! :)

ФСБ запросила ключи шифрования «Яндекс.Почта» и «Яндекс.Диск», но компания отказывается их передать: ключи могут дать доступ к паролям пользователей всей экосистемы «Яндекса». За аналогичный отказ ранее был заблокирован Telegram

https://www.rbc.ru/technology_and_media/04/06/2019/5cf50e139a79474f8ab5494b?from=from_main

И комментарий Яндекса по этому поводу

https://vc.ru/legal/70451-yandeks-otvetil-na-novosti-o-trebovanii-fsb-vydat-klyuchi-shifrovaniya-i-prizval-reshit-vopros-bez-narusheniya-privatnosti

Я ещё в конце мая писал о том, что стало известно про взлом Flipboard (https://t.me/alexmakus/2863), но рассылка нотификаций у компании происходит очень медленно. Несколько читателей рисовало мне скриншоты уведомлений, полученных ими. А мне уведомление пришло только что. Не спешат они.