ну как вообще так, охренели там совсем уже! (это чувак купил чужой логин-пароль для доступа к сервису Дисней, а после того, как тот перестал работать, пришел к настоящему владельцу со словами «ну я тут уже и так денег заплатил, а оно работать перестало, дай пароль, а?»)

я писал в январе о том, что Ubiquiti разослала невнятное сообщение о попытке взлома и рекомендации смены пароля пользователям
https://t.me/alexmakus/3826

теперь, как обычно это бывает, всплывают подробности, и там все не очень хорошо, а, возможно, даже очень нехорошо. Из слов знакомого с ситуацией человека следует, что Ubiquiti существенно преуменьшила потенциальный ущерб от взлома, и якобы данные, полученные в процессе взлома, могут позволить взломщикам залогиниться в устройства клиентов компании

https://krebsonsecurity.com/2021/03/whistleblower-ubiquiti-breach-catastrophic/

Вдогонку - свежий пост Ubiquiti по поводу взлома и новой информации об этом. В двух словах: нам особо нечего добавить к тому, что мы уже сказали, информация пользователей не затронута, расследование продолжается, а пароль все равно на всякий случай поменяйте.

https://community.ui.com/questions/Update-to-January-2021-Account-Notification/3813e6f4-b023-4d62-9e10-1035dc51ad2e

Помните странную историю про северокорейских хакеров, которые настроили сайт об кибербезопасности, и потом использовали уязвимости нулевого дня, чтобы взламывать заходящих на этот сайт экспертов? (Да, все настолько безумно, как это может показаться).

https://t.me/alexmakus/3853

Так вот, Google сообщает, что эти мастера клавиатуры и мыши завели новый сайт! Будьте осторожны!

https://blog.google/threat-analysis-group/update-campaign-targeting-security-researchers/

Пару дней назад пропустил новость про новое вредоносное ПО для Android, которое маскируется под системный апдейт. Софтинка после установки может тянуть с телефона практически все, до чего может дотянуться на телефоне, а дотянуться может до многого: геолокация, сообщения, список контактов, история звонков, изображения и видео, может записывать звук с микрофона и изображения с камеры, и тд.


https://blog.zimperium.com/new-advanced-android-malware-posing-as-system-update/

Спонсор канала на этой неделе: Компания Group-IB

Неоднократно демонстрирующая свою экспертизу в области кибербезопасности в новостях этого канала компания Group-IB приглашает читателей пройти несколько практических курсов, чтобы повысить свой уровень знаний (и заодно понизить уровень незнаний). На вкус и цвет курсы бывают разные: 

Курс, благодаря которому скрытые недетектируемые угрозы станут детектируемыми — Threat Hunter

Курс, благодаря которому вы сможете носить гордое звание ликвидатора последствий выявленного инцидента — Incident Responder

И последний курс — вскрытие, так сказать, вредоносных программ, которые сдались в плен во время проведения ликвидационных последствий инцидента — Malware Analyst

Самым лучшим детекторам, ликвидаторам и аналитикам могут предложить (а могут и не предложить) возможность трудоустройства в Group-IB. По ссылкам вся нужная информация о курсах, которые вас заинтересовали. Специальные условия для читателей канала от компании-партнера — 15% скидка по промокоду InfoDangerEDU.

Ещё одна история с удаленным подключением к системам управления водоочистительных сооружений и изменением настроек: бывший сотрудник подключился и вырубил системы, отвечающие за чистку и дезинфекцию подаваемой воды в районе. Наверняка какой-нибудь все тот же TeamViewer или что-то похоже с одним паролем на всех, и никто не парится его менять, если сотрудники уходят

https://www.justice.gov/usao-ks/pr/indictment-kansas-man-indicted-tampering-public-water-system

А вот в штате Вирджиния местный парламент принял закон о запрете использования технологий распознавания лиц правоохранительными органами. Проблема, которую пытаются решить законодатели - в первую очередь разобраться кто, что и как использует, какие базы и инструменты, источники и тд, потому что пока что с этим полный бардак. Интересно, что проголосовали единогласно - и демократы, и республиканцы

https://www.wtvr.com/news/local-news/virginia-lawmakers-unanimously-approve-bill-that-bans-facial-recognition-technology

Почти смешная шутка про использование распознавания лиц при оплате (на самом деле есть ещё подтверждение, но мало ли)

https://twitter.com/jantegze/status/1377164646973509634

Адская дырка во встроенном почтовом клиенте macOS, или почему нужно обновлять софт.

Исследователь нашел ошибку в стандартной почтовой программе Mail.app из macOS. Уязвимость такая, что даже кликать ни на что не нужно, достаточно просто получить специальным образом подготовленное письмо в свой почтовый ящик, чтобы атакующий получил практически полный контроль над почтовым приложением. Он, например, может настроить пересылку всех писем на свой ящик.

Суть ошибки в том, что почтовое приложение автоматически при получении распаковывает все архивные файлы, подготовленные специальным образом. Атакующий готовит архив, который при распаковке заменяет файл настроек почтового приложения. Готово.

Интересно, что эпл выпустила обновление, исправляющее уязвимость в течении полутора месяцев, а вот выплатить исследователю так называемый багбаунти (приз за нахождение уязвимости, такие программы есть у всех крупных компаний) не может уже больше полугода. Срамно!

А мораль простая — обновляйте софт, когда появляются обновления, настройте автоматические обновления. Исследователи постоянно находят дырки в софте и не обновляться — это как в эпидемию чумы ходить без маски.

Схема атаки в одной картинке.

Казалось бы, ну txt файлы то должны быть безопасными? Даже антивирусы по их поводу не напрягаются. А нет, CVE-2019-8761 в macOS позволяла исполнять встроенный в txt файл html-код и получать доступ к локальным файлам и просматривать их, крешнуть Мак или узнать IP-адрес пользователя. Уязвимость была исправлена в 2020 году.

https://www.paulosyibelo.com/2021/04/this-man-thought-opening-txt-file-is.html

 В интернет появились личные данные и телефонные номера 533 миллионов пользователей Facebook, среди которых есть номера телефонов, никнеймы в сети, даты рождения, геолокационная информация и другие персональные данные. Среди присутствующих в
в базе данных пользователей 32 млн - пользователи из США, 11 млн - пользователи из Великобритании, 6млн - из Индии. Представитель Фейсбук ответил, что данные, вероятно, были собраны благодаря уязвимости, которую компания исправила в 2019 году. Утечка была впервые замечена в январе этого года, когда появился бот, предлагавший за деньги получить номер телефона пользователя ФБ. И вот теперь данные выложены бесплатно для всех желающих

https://twitter.com/underthebreach/status/1378314424239460352?s=21

https://www.businessinsider.com/stolen-data-of-533-million-facebook-users-leaked-online-2021-4

Красиво! Там целый тред

https://twitter.com/David3141593/status/1378466886770434049

Лол к утечке данных из ФБ - в ней обнаружен номер телефона Цукерберга

https://twitter.com/daviey/status/1378424183856697348?s=21

Полезные изменения в Андроид, начиная с мая - приложениям надо будет запрашивать отдельное разрешение на то, чтобы увидеть список других установленных приложений, и Google будет контролировать и проверять тех, кому такое разрешение нужно

https://www.xda-developers.com/google-is-restricting-which-apps-can-see-the-other-installed-apps-on-your-device/

Все смешнее - оказывается, Цукерберг использует Signal

https://twitter.com/Daviey/status/1378646544719753216

За этими утечками у ФБ поди ещё уследи. Оказывается, в 2019 году было две утечки, каждая на сотни миллионов пользователей

https://twitter.com/joetidy/status/1379142610946777094

https://twitter.com/ashk4n/status/1379190936970829825

Сайт Have I been pwned добавил проверку номера телефона на предмет того, был ли ваш номер телефона в утечке ФБ. Настоящие параноики, конечно, «куда попало» свой номер телефона вбивать не будут, но остальные могут и проверить

https://haveibeenpwned.com

Текст о том, как это работает
https://www.troyhunt.com/the-facebook-phone-numbers-are-now-searchable-in-have-i-been-pwned/

Если вдруг тут есть админы SAP, вам будет полезно узнать про активные атаки на приложения SAP с использованием ранее исправленных уязвимостей. Так что, как обычно, лучше пропатчиться раньше, чем позже

https://thehackernews.com/2021/04/watch-out-mission-critical-sap.html