перехват спутниковых коммуникаций
https://www.blackhat.com/us-20/briefings/schedule/index.html#whispers-among-the-stars-a-practical-look-at-perpetrating-and-preventing-satellite-eavesdropping-attacks-19391

Ну и шикарный разбор того, как работают атаки с применением вымогателей MAZE (тут недавно Canon стал его жертвой)
https://www.fireeye.com/blog/threat-research/2020/05/tactics-techniques-procedures-associated-with-maze-ransomware-incidents.html

Компания ESET обнаружила уязвимость в Wi-Fi модулях Qualcomm и MediaTek, позволяющую похищать конфиденциальную информацию. Ранее ESET сообщала о похожей уязвимости Kr00k, обнаруженной в чипах Broadcom и Cypress. 
 
Kr00k позволяет перехватывать и дешифровать трафик Wi-Fi (WPA2). Злоумышленники используют уязвимость, чтобы получить доступ к данным — для этого им не нужно проходить аутентификацию и связываться с WLAN. Достаточно просто находиться в зоне действия сигнала Wi-Fi, без знания пароля от сети. 

https://www.welivesecurity.com/2020/08/06/beyond-kr00k-even-more-wifi-chips-vulnerable-eavesdropping/

А вот это может быть полезно параноикам - аппаратные выключатели периферии в мобильном телефоне

Оказывается, когда вы удаляли фото и сообщения в Инстаграмме, они на самом деле не удалялись. Проблема уже исправлена

https://techcrunch.com/2020/08/13/instagram-delete-photos-messages-servers/

Дроворуб против Линукса

https://www.fbi.gov/news/pressrel/press-releases/nsa-and-fbi-expose-russian-previously-undisclosed-malware-drovorub-in-cybersecurity-advisory

Вот забавная штука: информация, которую мы размещаем на машинах, и что она о нас говорит. Конечно, актуальней больше для Штатов, тут любят это дело, но вообще интересно. Например, как люди рассказывают о своих дорогих хобби с дорогими игрушками дома, и предпочтениях, из которых можно сделать выводы, когда человек отсутствует дома

как федеральные органы в США скупают информацию о геолокации, которую собирают агрегаторы из обычных приложений, и используют её в расследованиях. И хотя данные, как правило, анонимны, есть механизмы, которые позволяют вычислить определенного пользователя, и даже привязать эту информацию к конкретному человеку с именем и адресом. Для тех, кто скажет “а что такого”, просто хочу уточнить, что подобные действия правоохранительных органов предполагают наличие ордера суда, и таким образом нарушаются права граждан, защищенные конституцией страны. неудивительно, что в конгрессе США возбудились и планируют изучить и запретить эту практику.  

https://www.protocol.com/government-buying-location-data

https://www.vice.com/en_us/article/jgxk3g/secret-service-phone-location-data-babel-street

Да где же этому конец, ничего святого и тд. Исследователи научились по звуку вставляемого в замок ключа восстанавливать 3Д копию этого ключа

https://kottke.org/20/08/researchers-can-duplicate-keys-from-the-sounds-they-make-in-locks

Собственно, в заголовке статьи все и так понятно. Кто-то насобирал профайлов с социальных сетей, и выложил данные на незащищённый сервер. Из рубрики «никогда такого не было, и вот опять»

https://www.forbes.com/sites/daveywinder/2020/08/19/massive-data-leak235-million-instagram-tiktok-and-youtube-user-profiles-exposed/

Тоже из постоянной рубрики «преступление и наказание». Когда-то давно Убер взломали, украв массу пользовательских данных:

https://t.me/alexmakus/1466

Но Убер скрыл факт этого взлома, выплатил хакеру выкуп и назвал это вознаграждением за участие в программе проверки безопасности. Теперь против директора по безопасности выдвинуто уголовное обвинение о сокрытии информации об этом взломе, и потенциально светит до 8 лет (ок, ещё не наказание, но близко)

https://www.nytimes.com/2020/08/20/technology/joe-sullivan-uber-charged-hack.html

редакция канала в лице меня выходит из летаргического сна под названием отпуск и расплачивается по долгам накопившимся за это время ссылками:

крупнейшая компания-оператор круизных лайнеров Carnival подверглась атаке ПО-вымогателя
https://www.cyberscoop.com/carnival-ransomware-attack/

ЦБ выявил новый способ хищения средств со счетов клиентов в банке с использованием Системы быстрых платежей (СБП). При установке в мобильном банке одной из кредитных организаций возможности переводов по СБП была оставлена уязвимость, связанная с открытым API-интерфейсом. Через нее мошенники смогли подменять счета отправителя. Эксперты отмечают, что это первый случай использования СБП в схеме успешной хакерской атаки на банк.

https://www.kommersant.ru/doc/4465889

как Microsoft откладывала исправление уязвимости в Windows два года
https://krebsonsecurity.com/2020/08/microsoft-put-off-fixing-zero-day-for-2-years/

Google исправила серьезную уязвимость в Gmail

https://www.zdnet.com/article/google-fixes-major-gmail-bug-seven-hours-after-exploit-details-go-public/

Тойота обещает тут заливать данные о вождении автомобилей в облако, для того, чтобы страховые компании могли анализировать их и выставлять соотвествующие ставки для страховых премиумов. Идея, конечно, на поверхности хорошая (вознаграждать приличных водителей за хорошее поведение), но столько всего может пойти не так, что прямо захватывает дух. (Посмотрел на свою машину без электроники и OBD-II порта и порадовался)

https://www.theregister.com/2020/08/18/aws_toyota_alliance/

интересная уязвимость в операционных системах Apple, позволяющая через браузер украсть, например, историю браузера. Apple сказала «ну мы там весной 2021 года исправим», а эксперты решили не ждать и опубликовали информацию о ней уже сейчас, вместе с proof of concept
https://blog.redteam.pl/2020/08/stealing-local-files-using-safari-web.html

LOL (даже сотрудники Google считают, что настройки безопасности у Google сложные и непонятные)

https://gizmodo.com/even-google-employees-found-google-s-privacy-settings-c-1844855798

и еще ЛОЛ вчерашнего дня, который меня все никак не отпустит. Фейсбук опубликовал пост в блоге, в котором рассказывает, как изменения в iOS 14 затронут рекламный бизнес компании. Благодаря ограничениям по доступу к рекламному идентификатору в iOS-устройствах ни собственные приложения Facebook, ни приложения, которые показывают рекламу Audience Network от ФБ, не смогут получать информацию, идентифицирующую пользователя, что существенно ограничит возможности по таргетированию пользователей рекламой (приложения, которые показывают платформенную рекламу, будут запрашивать подтверждение у пользователя, хочет ли тот, чтобы приложение следило за ним между разными приложениями и сайтами. подозреваю, многие пользователи ответят “нет, хочу”.). Фейсбук говорит, что эти изменения по мониторингу, идентифицированию пользователей настолько существенны, что реклама на iOS 14 может потерять вообще какой либо смысл. Интересно, мы в этом месте должны как-то посочувствовать бедному Facebook и осудить мировое зло в виде Apple?

https://www.facebook.com/business/news/preparing-our-partners-for-ios-14-launch/