впрочем, ладно визитки. тут вот миллиарды рентген-снимков и прочие КТ-МРТ валяются где попало
https://www.helpnetsecurity.com/2019/11/20/confidential-medical-images/

4 млрд аккаунтов, 4ТБ данных на 1,2 млрд человек, и все это на открытом Elasticsearch сервере в интернете. Имена, имейлы, аккаунты в ФБ, Линкдин, и проч. Агрегаторы данных такие агрегаторы (чуваки, которые, получив какой-то кусок информации на пользователя, постепенно дополняют его данными из других источников).
https://www.dataviper.io/blog/2019/pdl-data-exposure-billion-people/

но не все новости о взломах — действительно о взломах. Меня уже несколько раз пинговали о "взломе" Disney+ — популярного стримингового сервиса, который компания Disney запустила в ноябре. там суть заключалась в том, что сразу после старта сервиса в интернете появились данные об аккаунтах пользователей, которые можно было купить. Но, похоже, взлома как такового не было, а речь идет о credentials stuffing — подборе уже имеющихся комбинаций логинов и паролей на базе других утечек. Не будьте как они, используйте уникальные пароли!

Вы наверное помните, у Китая довольно большие проблему с Уйгурами — Китай всячески их притесняет, не так давно стало известно, что существуют «лагеря задержания», а регион где все это происходит оснащен максимальным количеством всевозможных устройств сбора данных.

На той неделе по цепи уйгуров в сеть утекла информация (CNN, BBC) для внутреннего пользования полиции Синьцзяна от 2017 года. В том числе секретные брифинги, которые показывают, как эта полиция получает приказы от огромного «кибернетического мозга», известного как IJOP, который помечает целые категории людей для расследования и задержания.

Утечка документов включает в себя:

• Руководство по эксплуатации для администрации лагерей задержания.

• Четыре коротких брифинга на китайском языке, известные как «бюллетени», в которых даются рекомендации по ежедневному использованию «Интегрированной платформы совместных операций» (IJOP), инструменты массового наблюдения и прогностической полицейской деятельности, которая анализирует данные из Синьцзяна.

В документах буквально идет речь о том, что некий алгоритм внутри IJOP, обученный на огромном количестве данных (от группы крови до показателей счетчиков электричества, IJOP приложения для полиции, в документе перечислены очень много параметров), способен решать, как задерживать и реагировать на потенциальных преступников, до факта преступления — это принято называть «предиктивная полицейская деятельность».

Например, в «Бюллетене № 14» содержится инструкция о том, как проводить массовые расследования и задержания после того, как IJOP сформировал длинный список подозреваемых. В документе сказано, что за 17 дней в июне 2017 года полицейские задержали 15 683 жителей Синьцзяна, помеченных IJOP, и поместили их в лагеря для интернированных

Это все выглядит как какой-то фильм или книга, где алгоритм решает как жить людям, но я склонен верить, что скорее всего так и есть, утечка подверждена множеством экспертов, включая лингвистический анализ. Страшно подумать, как за 3 года IJOP поумнел.

Правительство Китая утверждает, что все эти документы — фейк.  

Весь лонгрид на тему слитых документов можно почитать тут.

я тут пару дней назад писал про очередной Elasticsearch сервер, пойманный с спущенными штанами (в смысле, с открытым доступом). почему это не последний раз, когда такое происходит:

• Total Elasticsearch Servers Open To Public: 299,540
• Total Open Elasticsearch Servers With Data: 57,296
• Total Size Of Publicly Accessible Data: 462 TB
• Total Document Count Of Publicly Accessible Data: 621,362,063,812

https://blog.dehashed.com/the-state-of-internet-security-in-2019/

Утечка данных в популярном сервисе Mixcloud, куда диджеи заливают свои миксы, а пользователи потом могут стримить их для прослушивания. Интересно, что компания сама не была в курсе взлома, пока пользовательские данные не оказались в даркнете на продажу. 21 миллион пользовательских аккаунтов, включая логины, имейл и хешированные пароли, всего за полбиткойна. Компания расследует, что же именно случилось
https://blog.mixcloud.com/2019/11/30/mixcloud-security-notice/?=mixcloud-statement

тут пишут про какието ужасы в андроидных телефонах, когда вредоносное ПО, маскирующееся под легитимные приложения, могут работать на полностью пропатченном андроиде и подслушивать микрофон, снимать фото, записывать телефонные разговоры и тд.  Проблема в первую очередь заключается в том, что в рамках функциональности многозадачности вредоносные приложения могут рисовать свой контент поверх легитимных приложений, и прикидываться ими. А приложения, эту уязвимость использующие, уже были в Google Play, и после информирования, Google их выпилила. Сами вредоносные приложения в GP не водятся, но могут быть подгружены на телефон какими-то приложениями, которые доступны в GP. Уязвимость пока не исправлена Google

https://promon.co/security-news/strandhogg/

Такие дни, что некогда объяснять!

1. похоже, что айфон отсылает (НЕ ОТСЫЛАЕТ, а собирает в устройстве) в Apple некоторую информацию о местоположении ближайших баз WiFi и станций мобильной связи, даже если выключить это в настройках. Этим занимается системный сервис, отправляет данные в анонимном и зашифрованном виде, поэтому Эпол считает, что "это норма", но осадочек же остается
https://krebsonsecurity.com/2019/12/the-iphone-11-pros-location-data-puzzler/

в качестве бонуса — страница Apple о конфиденциальности
https://www.apple.com/ru/privacy/

Безопасность СмартТВ — дело важное, даже ФБР рассказывает, что нужно делать по этому поводу и как обезопаситься от этого гаджета, и встроенных в телевизоры микрофонов, камер и проч.
https://www.fbi.gov/contact-us/field-offices/portland/news/press-releases/tech-tuesdaysmart-tvs/layout_view

И опять ФБР! Помните приложение FaceApp, результаты "состаревания" на фото из которого все постили пару месяцев назад? ФБР назвала это приложение потенциальной разведывательной угрозой для безопасности, во как. а все в связи с тем, как и какую информацию собирает сервис, и кто может иметь к этой информации доступ. такие дела
https://www.nydailynews.com/news/politics/ny-fbi-faceapp-counterintelligence-threat-russia-elections-20191202-t2kyyceuuzgzbhjoo5njx5vxnm-story.html

Ломай банки, живи красиво - история русских (каких же еще!) хакеров

https://www.nationalcrimeagency.gov.uk/news/international-law-enforcement-operation-exposes-the-world-s-most-harmful-cyber-crime-group

https://www.vice.com/en_us/article/mbmmgx/uk-government-releases-photos-of-russian-hackers-whose-lives-look-awesome

Интересный ответ Apple на вчерашнюю историю про геолокацию в айфонах, даже если пытаться её отключить. Там, напомню, выяснилось, что в iOS есть некий системный сервис, который опрашивает информацию о местоположении, даже если это отключить для всех приложений и системных сервисов.
https://t.me/alexmakus/3166

“Ultra wideband technology is an industry standard technology and is subject to international regulatory requirements that require it to be turned off in certain locations. iOS uses Location Services to help determine if iPhone is in these prohibited locations in order to disable ultra wideband and comply with regulations. The management of ultra wideband compliance and its use of location data is done entirely on the device and Apple is not collecting user location data."

То есть информация а) никуда не передается, б) все работает в рамках стандарта UWB, который требует блокировки технологии UWB в определенных местах. Apple пообещала также добавить возможность отключения этой фичи в будущих апдейтах iOS, но, я так понимаю, в таком случае будет отключаться вся поддержка UWB. Apple могла бы избежать всего этого скандала, если бы сразу ответила нормально на вопрос "зачем", когда только появилась информация о запросе геолокации при отключенных настройках.

Сам чип для UWB появился в iPhone 11 в этом году, и его точное предназначение пока что не раскрывается. Предполагается, что Apple планирует запустить сервис по обнаружению предметов с метками, и это может быть чип для этого. Также, возможно, в будущем метки и прочее может быть использовано для дополненной реальности на базе айфонов.

https://techcrunch.com/2019/12/05/apple-ultra-wideband-newer-iphones-location/

Про смарт-ТВ и то, как они собирают информацию о пользователях, я писал тут неоднократно. Вот из последнего предупреждения ФБР об этом
https://t.me/alexmakus/3167

или открытое признание технического директора одной из компаний, производящих телевизоры, что это их способ снизить цены на телевизоры — собирать и продавать данные пользователей
https://t.me/alexmakus/2589

или замечательная история многих других производителей
https://t.me/alexmakus/2218


Так и  материал на Хабре, присланный читателем, написан по материалам The Washington Post (https://www.washingtonpost.com/technology/2019/09/18/you-watch-tv-your-tv-watches-back/) и другим источникам о том, как смарт-ТВ анализируют контент на телевизоре и собирают информацию для последующего таргетинга рекламой и прочих улучшений экспириенса. Ваши данные нужны всем.

https://habr.com/ru/post/479022/

PS интернет смарт-телевизору ни к чему

йе, Мак-пользователи могут гордиться тем, что Северная Корея не забывает о них. Бесфайловое (ну почти) заражение с исполнением в памяти, без сохранения на диск — демон, живущий памяти, исполняемый под root, и выживающий после рестартов, а потом загружающий с сервера код для исполнения. Авторство указывает на группу Lazarus, которая считается северокорейской группировкой. Вирус маскируется под приложение для торговли криптовалютой, да и обычному пользователю особо опасаться нечего — Макос предупредит о неподписанном ПО. Подозреваю, что все это делается для воровства криптовалют. Хотя сам факт прогресса таких вирусов под Маком — это интересно.

подробный отчет по ссылке
https://objective-see.com/blog/blog_0x51.html

Тоже интересный материал по анализу сервиса TikTok и сайта компании. Бесконечная слежка за пользователями и их действиями, фингерпринтинг устройств, использование ПО без надлежащей лицензии, хранение данных неизвестно где. Хороший сервис, не зря его в Штатах пытаются расследовать в рамках угрозы национальной безопасности
https://rufposten.de/blog/2019/12/05/privacy-analysis-of-tiktoks-app-and-website/

кстати, о пользовательских данных. Avast, разработчик антивирусных решений, собирает информацию о пользователях и поведении в браузерах для последующей продажи. Они утверждают, что вся информация анонимизирована и не может быть прослежена до индивидуального пользователя. Анонимизацией и продажей занимается компания Jumpshot, которая рекламирует свои услуги как доступ к информации о поведении 100 млн человек, с возможностью просмотра взаимодействий с брендами, продуктами. И сортировкой по категориям, странам и доменам.

https://www.forbes.com/sites/thomasbrewster/2019/12/09/are-you-one-of-avasts-400-million-users-this-is-why-it-collects-and-sells-your-web-habits/

Более того, сам факт такого сбора и продажи информации особо не афишировался. не зря Мозилла тут, как пару дней назад присылал мне читатель, выперла из их своего каталога расширений. Дело за Google.
https://xakep.ru/2019/12/04/avast-vs-mozilla/

Microsoft тут пишет, что среди пользователей Azure AD и Microsoft Services Accounts 44 миллиона пользователей повторно используют комбинации логинов и паролей. Не будьте как эти 44 миллиона пользователей!
https://www.microsoft.com/securityinsights/identity

ну и вообще интересный отчет о трендах в мире киберсека
https://www.microsoft.com/en-us/security/operations/security-intelligence-report

https://plundervolt.com — еще одна атака на процессоры Intel, но к этому моменту кого это уже волнует

PoC будет тут https://github.com/KitMurdock/plundervolt

Если вам кажется, что в мире происходят сплошные взломы, утечки и хакерские атаки, то вам не кажется. Вот список худших инцидентов в 2019 году, и там все плохо. А будет ещё хуже.

https://www.zdnet.com/article/these-are-the-worst-hacks-cyberattacks-and-data-breaches-of-2019/

Котаны, тут такое дело. Если вы в Штатах (список поддерживаемых стран в комментарии) и у вас пока нет хардварных ключей безопасности, то вам крупно повезло

https://store.google.com/config/titan_security_key

С кодом B-TITAN35OFF можно получить скидку 35 долларов и купить набор ключиков, например. Не реклама, когда код перестанет действовать - не знаю, enjoy while it lasts! Я вот себе по случаю usb-c ключик прикупил. Несите добро!

АПД пишут, что уже закончились ключики.