Гитлаб прогнал эксперимент с фишингом среди сотрудников и пятая часть сотрудников попалась на него? Легко, конечно, обвинить во всем «человеческий фактор. Но возникает вопрос о том, что в правильно настроенной системе такие письма не должны попадать сотрудникам или хотя бы должны как-то маркироваться, чтобы облегчить им жизнь в таких ситуациях.

https://gitlab.com/gitlab-com/gl-security/gl-redteam/red-team-tech-notes/-/tree/master/RT-011%20-%20Phishing%20Campaign

Какое-то время назад в интернете всплыла информация с базой пользователей LiveJournal и 33 миллионами записей с логинами и паролями в текстовом формате.

https://news.ycombinator.com/item?id=20426997&fbclid=IwAR22KoBod2B44XzYbPziwh1RoT_M8ll3Uf8Ods7TpF8mPdSGo3PKYQEx9_k

В общем, подтвердилось, что это таки данные ЖЖ примерно из 2017 года (я, например, получил уведомление от HIBP)? Точное количество записей - 26,372,781. Если я правильно помню, то ЖЖ уже форсил смену пароля, но если я ошибаюсь, то вы знаете, что делать.
Dreamwith, форк ЖЖ с большим пересечением юзеров, рассказывает ещё

https://dw-news.dreamwidth.org/40167.html

И вот ещё про приложения для мониторинга контактов с людьми, болеющими COVID-19. В Катаре написали своё приложение и ни за что не угадаете, что произошло после этого! Уязвимость в приложении (уже исправлена) могла позволить злоумышленникам получить персональную информацию на зарегистрированных пользователей, включая имя, национальный номер, статус здоровья, и информацию о местоположении.


https://www.amnesty.org/en/latest/news/2020/05/qatar-covid19-contact-tracing-app-security-flaw/

В качестве разнообразия просто хочу напомнить эту классику о том, как пользователи видят всякие предупреждения касательно безопасности на компьютере

Реверс устройства по защите от электромагнитного поля 5G

https://www.pentestpartners.com/security-blog/reverse-engineering-a-5g-bioshield/

Чувак обнаружил уязвимость в системе SSO Sign In with Apple, которая позволяла перехватить аккаунт человека на сайте, где он вошёл таким аккаунтом. Зарепортил ее в Apple, получил выплату - 100т долл.

https://bhavukjain1.github.io/blog/2020/05/30/zeroday-signin-with-apple/

В Таиланде крупнейший мобильный оператор AIS убрал из онлайна базу данных, которая делала доступными в интернете миллиарды записей о доступе в интернет пользователями оператора. DNS записи и другая сетевая информация о запросах хранилась на сервере без какой-либо защиты, и, получив доступ к этой информаци, можно было легко составить картину о том, что делал пользователь в интернете буквально в реальном времени

https://rainbowtabl.es/2020/05/25/thai-database-leaks-internet-records/

только на прошлой неделе появился unc0ver — джейлбрейк для iOS, который, используя уязвимость, позволял сделать джейлбрейк для всех версий iOS, включая самую последнюю — 13.5, а вчера уже Apple срочно выпустила хотфикс 13.5.1 с исправлением этой уязвимости. потому что кому джейлбрейк, а кому добыча информации у ценной цели.

также вот. вывод — апдейты это полезно
https://arstechnica.com/information-technology/2020/05/cisco-security-breach-hits-corporate-servers-that-ran-unpatched-software/

и снова рубрика «никогда такого не было, и вот опять». Записи на 69 млн человек из открытого инстанса elasticsearch, и, главное, непонятно, чьего

https://www.troyhunt.com/the-unattributable-lead-hunter-data-breach/

давно не было новостей про Zoom. Там в последние пару дней бушует обсуждение того, что компания решила выкатить сквозное шифрование звонков только для платных пользователей, таким образом установив плату за прайваси. а сегодня Talos опубликовали информацию о двух RCE уязвимостях в Zoom клиенте версий 4.6.1 и ниже (Zoom уже выкатил апдейт 5.0, где проблема отсутствует)
https://talosintelligence.com/vulnerability_reports/TALOS-2020-1056

Список всех утечек пользовательских данных в мае этого года. Продуктивненько!

https://www.itgovernance.co.uk/blog/list-of-data-breaches-cyber-attacks-may-2020

Если у вас смартфон LG, тут подъехала рекомендация установить апдейт безопасности, так как он исправляет известную уязвимость, позволявшую злоумышленникам подгружать свой код в bootloader
https://douevenknow.us/post/619763074822520832/an-el1el3-coldboot-vulnerability

Тем временем Signal выкатил инструмент для замазывание лиц на фотографиях. Полезно для протестов и вот это все

https://signal.org/blog/blur-tools/

много апдейтов у Cisco, включая критические
https://tools.cisco.com/security/center/publicationListing.x

Новый вид вредоносного ПО-вымогателя на Java(!),  который для KPMG анализировала команда исследования безопасности Blackberry(!)

https://techcrunch.com/2020/06/04/tycoon-java-ransomware/

Очень интересный тред в твиттере, где журналист сменила пароль своего аккаунта в китайском сервисе Wechat на FuckCCP89 (CCP - Communist Party of China, коммунистическая партия Китая). Через 45 секунд аккаунт был закрыт.

https://twitter.com/BethanyAllenEbr/status/1268611608672194560

какая прикольная тема с ботом для поиска багов и уязвимостей
https://arstechnica.com/information-technology/2020/06/this-bot-hunts-software-bugs-for-the-pentagon/

Тема, которую я очень люблю — это “умные” гаджеты. Не совсем инфосек, но затрагивает. Статья на The Register об ускоренном устаревании “умных” холодильников, к которым достаточно быстро перестают выходить апдейты, и вообще производители о них стараются не вспоминать. а где нет апдейтов — нет патчей к обнаруженным уязвимостям, и вот уже ботнет состоит не только из лампочек и камер наблюдения, но и из холодильников. “Вдруг из маминой из спальни, с непропатченным ядром, выбегает холодильник, и качает своим экраном с экраном софта-вымогателя! Ах ты, гадкий, ах ты грязный, я давно взломал твой пароль и видел, чем ты занимался прошлым летом, неумытый поросенок”

https://www.theregister.com/2020/06/08/smart_fridges_support_periods/

История, в котором пересекаются сразу два моих хобби, включая тему этого канала, поэтому не могу пройти мимо. Если кратко, то история такова:
- некий велосипедист на велодорожке напал на подростков, которые раздавали там буклеты на тему проходящих в США протестов
- полиция опубликовала твит, прося о помощи в идентификации нападавшего, но указала в твите неправильную дату события
- кто-то взял данные из приложения Strava, популярного среди велосипедистов, по тому сегменту, где произошло событие, в дату, указанную в твите полиции (Strava позволяет публиковать в открытом виде информацию о своём заезде, а если не заморочиться с настройками конфиденциальности - то и открыть о себе много информации. Приложение фигурировало неоднократно в этом канале).
- про информации из Strava нашли чувака, похожего на нападавшего, и задоксили его (раскрыли его персональные данные).
- чувак получил в интернете кучу угроз и пожеланий смерти.
- настоящего нападавшего арестовали несколько дней спустя.
Мораль этой истории такова, что сохранение своих личных данных — это в том числе и ответственность самих людей. Strava и постоянное желание «померяться», которое она вызывает, убивает веселье в велозаездах, да и вообще вот может приводить к неприятным последствиям

https://nymag.com/intelligencer/2020/06/what-its-like-to-get-doxed-for-taking-a-bike-ride.html