в рамках минимизации политоты в канале просто набор ссылок про кибервойны . там и Россия, и США, и Германия, и Иран, и много кибер-убер-пупер. Попкорна и пива нужно много. За часть ссылок спасибо читателям.

https://www.nytimes.com/2019/06/22/us/politics/us-iran-cyber-attacks.html
https://web.br.de/interaktiv/winnti/english/
https://www.nytimes.com/2019/06/17/world/europe/russia-us-cyberwar-grid.html
https://www.wired.com/story/triton-hackers-scan-us-power-grid/
https://www.nytimes.com/2019/06/15/us/politics/trump-cyber-russia-grid.html
https://techcrunch.com/2019/07/22/cyber-threats-from-the-u-s-and-russia-are-now-focusing-on-civilian-infrastructure/

Воу, воу, мегаутечка у банка Сaptial One в США.

19 июля банк обнаружил, что была взломана база заявок на открытие кредитных карт банка. Сам несанкционированный взлом произошёл 22 и 23 марта 2019 года. Были украдены заявки людей, которые подавались на открытие карт в период между 2005 и 2019 годом.

Это около примерно 100 млн человек в США и еще около 6 млн человек в Канаде.  

Среди украденных данных:
- персональная информация: имена, адреса, номера телефонов, адреса электронной почты, даты рождения и самостоятельно указанный доход
- финансовая информация: кредитный рейтинг, текущий баланс, история платежей
- около 140 тысяч номеров социального страхования в США, около 1 млн канадских номеров социального страхования
- данные о транзакциях за примерно 23 дня, которые «размазаны» между 2016 и 2018 годами.

http://press.capitalone.com/phoenix.zhtml?c=251626&p=irol-newsArticle&ID=2405043

Что отличает этот взлом от многих других — злоумышленник, осуществивший взлом, уже арестован. Ею оказалась женщина из Сиэтла по имени Paige A. Thompson, причем арестовали её по результатам заявлений, которые она сама делала в онлайне, хвастаясь этим взломом.  Она работала в неназванной на данный момент компании по предоставлению облачных услуг, и (сюрприз!) банк был клиентом этой компании. Хорошие новости также в том, что она, похоже, никуда не успела продать эти данные.

https://www.washingtonpost.com/national-security/capital-one-data-breach-compromises-tens-of-millions-of-credit-card-applications-fbi-says/2019/07/29/72114cc2-b243-11e9-8f6c-7828e68cb15f_story.html

IT NEVER ENDS, THIS SHIT

Наташенька (она же Натали Сильванович, http://natashenka.ca/about/), сотрудник Google Project Zero, обнаружила 6 уязвимостей в iMessage (системе сообщений для iOS-устройств Apple). Информация о 5 уязвимостях опубликована, так как в последнем апдейте iOS 12.4 Apple исправила эти баги:  
https://bugs.chromium.org/p/project-zero/issues/list?q=label%3AiMessage&can=1

а вот информация о шестой (CVE-2019-8641) пока что скрыта, так как выкаченный фикс не исправил ее. 4 из 6 уязвимостей приводили к исполнению вредоносного кода на удаленном iOS-устройстве, без участия пользования. То есть при получении сообщения код исполнялся без какого-либо взаимодействия со стороны пользователя. остальные уязвимости приводили к утечке памяти и чтению файлов на устройстве жертвы. Детальная презентация этих уязвимостей пройдет на Black Hat в Лас Вегасе на следующей неделе.

Надо отдать должное исследователям, которые находят такие баги и передают информацию о них разработчикам. Подобные уязвимости iOS на рынке могут стоить 1-2 млн долл за штуку. А пользователям айфонов хочется только посоветовать включить автоматические апдейты, и убедиться, что 12.4 уже установлена.

10 серьезных утечек 2019 года (пока что):
https://searchsecurity.techtarget.com/news/252467602/2019-data-breach-disclosures-10-of-the-biggest-so-far

камера с огромным количеством отзывов на Амазон, и бонусом в виде возможности прослушивать аудио с камеры по HTTP без аутентификации. Удобно!
https://medium.com/tenable-techblog/i-always-feel-like-somebodys-w̶a̶t̶c̶h̶i̶n̶g̶-listening-to-me-938cc14aa13c

интересная тема о возможности подмены электронных данных, которые ходят по CAN-шине в небольших самолетах. Не то, чтобы прям новость, если уж есть физический доступ к устройству, но подчеркивает "электронизацию" всего вокруг  и тот факт, что дальше будет только хуже. Луддиты всех стран, объединяйтесь!

https://blog.rapid7.com/2019/07/30/new-research-investigating-and-reversing-avionics-can-bus-systems/

Внезапно у банка Capital One образовалось сразу несколько позиций, связанных с кибер-безопасность. С чего бы это вдруг?
🤔

Читатель прислал ссылку на исследование, которое продемонстрировало уязвимости и недостатки реализации протокола Apple Wireless Direct Link (AWDL). Этот протокол используют iOS-устройства и компьютеры Mac для передачи информации и файлов между собой в рамках функциональности AirDrop. Так вот, в рамках исследования эксперты продемонстрировали, как, перехватывая частичную информацию, можно вычислить номер телефона iPhone при передаче файлов или изображений. При передаче транслируется часть SHA256 хеша, и исследователи по трем байтам могут определить полный номер телефона жертвы. Не то, чтобы это была мегауязвимость, и в целом исследователи сами признают, что это вопрос баланса между безопаностью, удобством и обеспечением работы функциональности, но если вас это напрягает, то можно выключить AirDrop, чтобы ничего не транслировать.

https://hexway.io/blog/apple-bleee/
https://www.usenix.org/system/files/sec19fall_stute_prepub.pdf

красиво работает уязвимость в iOS iMessage, позволяющая воровать файлы. Кто не проапдейтился до 12.4, тот сам виноват (ну и Эпол, конечно, с такими-то дырами)
https://www.youtube.com/watch?v=ld2m0CPR1nM

Тема аудиозаписей, собираемых Siri на iPhone и прочих гаджетах Apple, часть из которых затем анализируется живыми людьми, приобрела некое продолжение. Apple рассказала Теккранч, что компания приостанавливает процесс анализа записей, и пересмотрит саму процедуру того, как это происходит в будущем. Более того, компания выпустит апдейт для своих продуктов, который сделает очевидным запрос для пользователей о том, хотят ли они, чтобы их записи были использованы для анализа и последующего обучения.
https://techcrunch.com/2019/08/01/apple-suspends-siri-response-grading-in-response-to-privacy-concerns/

в то же время у the verge выходит материал о том, как сложно у Apple удалить записи, которые собрала Siri у пользователей (в отличие от Google или Amazon). Надеюсь, что вместе с опцией не участвовать в анализе Apple добавит и опцию по нормальному удалению данных, пусть и анонимизированных.
https://www.theverge.com/2019/8/2/20734681/apple-siri-privacy-settings-how-to-delete-voice-servers

Ну и продолжая тему голосовых помощников, записей и анализов их людьми. В прошлом месяце я писал про то, что у Google есть подобная Apple лаборатория, где живые люди анализируют записи. Тогда Google тоже достаточно быстро отреагировала и приостановила анализ данных людьми. Но Европа не дремлет, и в рамках GDPR специальный орган ЕС приказал Google прекратить безобразия, и, скорей всего, Google не сможет продолжать делать это в Европе. Непонятно, как вообще в этом случае объединять необходимые исследования и ограничения конфиденциальности.
https://datenschutz-hamburg.de/pressemitteilungen/2019/08/2019-08-01-google-assistant

немножко накопившихся утечек-взломов за последние пару дней:

stockX, который своим поведением (сначала сбросили пароли, потом объясняли это обновлением, потом нехотя признали попытку несанционированного доступа), показывают, как не нужно себя вести в подобных ситуациях
https://stockx.com/news/update-on-data-security-issue/

Monzo, модный растущий банк из Великобритании, рассказал, что какое-то время неправильно хранил PIN-коды клиентов в своих внутренних системах
https://monzo.com/blog/2019/08/05/weve-fixed-an-issue-storing-some-customers-pins

E3 Expo случайно выложили Excel-файл с персональными данными на 2+ тысячи журналистов
https://kotaku.com/e3-expo-leaks-the-personal-information-of-over-2-000-jo-1836936908

Сегодня наткнулся на новость месячной давности об утечке 450 тысяч логинов и паролей Ozon, которую я как-то пропустил (ну, или не нашел в истории)
https://www.rbc.ru/technology_and_media/10/07/2019/5d25c3d99a794775f79f0816
https://thebell.io/utechka-v-ozon-chem-ona-grozit-kompanii-i-polzovatelyam/

АПД. Забыл еще CafePress, популярный сайт с футболками и прочим мерчем. 23 млн юзеров, всем спросили пароли под видом изменения внутренней политики (молодцы какие).
https://www.theregister.co.uk/2019/08/05/cafebreach_breach_23m_user_records/

ух! Qualpwn, уязвимости в чипах Qualcomm, включая такую, которая позволяет получить доступ к телефону удаленно и скомпроментировать Android Kernel
информация об уязвимостях
https://blade.tencent.com/en/advisories/qualpwn/

информация о фиксах
https://source.android.com/security/bulletin/2019-08-01
https://www.qualcomm.com/company/product-security/bulletins

полная информация будет раскрыта на Blackhat и DEFCON

В кои-то веки хорошие новости в канале: Казахстан остановил внедрение государственного сертификата, который бы позволил компании перехватывать и анализировать трафик пользователей интернет. Говорят, «это был тест».

https://www.reuters.com/article/us-kazakhstan-internet-surveillance/kazakhstan-halts-introduction-of-internet-surveillance-system-idUSKCN1UX0VD

было много разговоров в последнее время о том, как Google, Apple, Amazon используют живых людей для проверки некоторых аудиозаписей, собираемых голосовыми ассистентами компаний. Основная проблема заключалась в том, что толком было непонятно, что это происходит и что какие-то частные данные могут попасть к тем людям, которые занимаются такими проверками. Так вот, тут оказалось, что в подобной ситуации оказалась и Microsoft, с помощницей Кортаной, а также со звонками Skype. У Скайпа есть функция перевода голосовых звонков, которая работает на основе AI, но оказалось, что некоторые звонки также попадают на прослушивание живым людям, и там тоже встречается персональная информация (в статье по ссылке ниже фигурирует наличие секса по телефону, который слушали проверяющие Microsoft)

https://www.vice.com/en_us/article/xweqbq/microsoft-contractors-listen-to-skype-calls

Домашняя сигнализация глушится устройством за 2 доллара. Очень удобно! (рубрика #люблютакое)
https://www.youtube.com/watch?v=UlNkQJzw4oA

Твиттер "недавно обнаружил", что рекламные настройки некоторых пользовательских аккаунтов работали "не так, как предполагалось". В результате это могло приводить к тому, что рекламодателю при переходе пользователя по рекламной ссылке могла передаваться информация о стране местоположения пользователя. Во втором случае пользователям могла показываться реклама на основании предпочтений пользователей, даже если пользователь не давал разрешения на трекинг.
https://help.twitter.com/en/ads-settings

в схожих новостях: модный рекламный стартап HYP3R воспользовался недоработкой Инстаграмма и собирал из социальной сети информацию из пользователей профилей, включая информацию о местоположении, историях, и прочие данные из профилей. Компания была одним из "приближенных маркетинговых партнеров", и, похоже, имела к профилям пользователей больше доступа, и к тому же сохраняла данные, вместо того, чтобы удалять их в течение 24 часов. Почемуто вспоминается история с Facebook и Cambridge Analytica. Я думаю, что об этой истории мы еще услышим не раз.
https://www.businessinsider.com/startup-hyp3r-saving-instagram-users-stories-tracking-locations-2019-8