С Делойттом, сеть которого, как оказалось, тоже взломали ранее в этом году, всё очень весело. Похоже, злоумышленники там долго тусили в сети компании и украли много различной «чувствительной» информации, включая логины и пароли к VPN, прокси и другим сервисам компании, которые теперь к тому же выложили в сети. Ирония заключается в том, что Делойтт не просто бухгалтерским и налоговым аудитом занимается, там много разных сервисов (они и мне налоги подавали в России), в том числе и аудитов информационной безопасности. Такой вот сапожник без сапог https://www.theregister.co.uk/2017/09/26/deloitte_leak_github_and_google/ (за ссылку спасибо Денису)

А вот ещё свежий взлом - популярной в штатах сети фастфуда Sonic, у которой в результате взлома украли, похоже, миллионы записей о банковских картах клиентов https://krebsonsecurity.com/2017/09/breach-at-sonic-drive-in-may-have-impacted-millions-of-credit-debit-cards/

Смешная история про патриотически-клюквенное кино «Крым», ради продвижения которого в «Кинопоиске» взломали аккаунты юзеров и накрутили фальшивый рейтинг ожидания. Оставим за кадром обсуждение самого сюжета фильма, но мне непонятно вот что. Админы «Кинопоиска» утверждают, что взломали аккаунты пользователей, и 70 тыс взломанных аккаунтов проголосовали за фильм. И якобы речь идёт о реюзе паролей, и, мол, юзеры сами виноваты. Выглядит странновато, что внезапно в одном сервисе оказалось столько юзеров, которые пользовались ранее использованными и утёкшими паролями. Ну, может, все они пользовались паролем 123456, там, я не знаю. Но мне почему-то больше кажется, что речь идёт об уязвимости в самом «Кинопоиске», а не в паролях юзеров, хотя, конечно, реюз паролей - тоже зло. Берегите пароли смолоду! https://m.facebook.com/lisa.surganova/posts/10155600744074303

Меня тут попросили прорекламировать одно мероприятие на тему информационной безопасности. Так-то я не сторонник рекламы, но оказалось, что мероприятие БЕСПЛАТНОЕ для участников, и вполне может пригодиться читателям канала, поэтому я согласился бесплатно транслировать эту информацию,  вдруг кому окажется полезным:

Приглашаем вас на вторую Школу Кибербезопасности, которая пройдет с 23 по 25 октября на двух площадках: в Московском Политехе и Инновационном центре «Сколково». Заявки принимаются до 10 октября.

Официальная страница мероприятия: https://sk.ru/opus/p/cyber-security-2017.aspx. Регистрация обязательна.

Программа Школы включает серию лекций, мастер-классов и практических заданий, обзор современного рынка информационной безопасности и перспективных направлений для продолжения образования и развития своей карьеры, лекции по веб- и облачной безопасности, технологии блокчейн.

Как проходила первая Школа Кибербезопасности можно посмотреть по ссылке https://vk.com/album-134639999_244456113

На прошлой неделе Apple опубликовала документ с деталями о том, как будет работать Face ID. Я рекомендую почитать этот документ, он содержит в себе ответы на вопросы, которые возникли после презентации iPhone X и анонса Face ID. Из документа можно узнать про цифровую репрезентацию лица, хранящуюся в Secure Enclave, о том, что данные с телефона никуда не уходят, как происходит обучение нейросети новым лицам и изменениям в лице пользователя, и что у близнецов вероятность ложного срабатывания выше, чем стандартные 1 из миллиона. Apple надо было этот документ опубликовать сразу, было бы меньше истерик и глупостей в интернете https://images.apple.com/business/docs/FaceID_Security_Guide.pdf

И вот ещё шикарная история с прошлой недели - про веб-сайты, которые втихаря майнят криптовалюту вашим компьютером, пока вы их посещаете. Никому нельзя верить, вообще никому  https://www.theverge.com/2017/9/26/16367620/showtime-cpu-cryptocurrency-monero-coinhive

Ранее в сентябре Apple выпустила новые версии iOS и macOS. Всегда интересно потом читать содержимое фиксов безопасности новых версий — понимаешь, сколько опасностей нас на самом деле подстерегает, а мы и не знали

iOS 11 https://support.apple.com/en-us/HT208112
macOS 10.13 https://support.apple.com/en-us/HT208144

ссылка от читателя Якова, за что ему спасибо. все как я люблю, никогда такого не было, и вот опять! внезапно оказалось, что многие секс-игрушки с Bluetooth легко перехватить и получить над ними контроль. даже придумали название для такого процесса — screwdriving. находишь такое устройство поблизости, захватываешь управление, и замучиваешь пользователя вибрациями до смерти. ну, может, не до смерти, но в целом может оказаться неприятно. не устану повторять, что дальше будет только хуже — люди, которые понятия не имеют об информационной безопасности, лепят WiFi и BT куда попало, делая все устройства вокруг "умными", а на самом деле потом мы получаем ботнеты, обрушивающие интернет, и устройства, которые допускают утечку пользовательских данных. лучше я буду луддитом, да https://www.pentestpartners.com/security-blog/screwdriving-locating-and-exploiting-smart-adult-toys/

а вот еще спасибо читателю Тиграну за ссылку — Баг в Internet Explorer позволяет видеть содержимое адресной строки пользователя

https://3dnews.ru/software-news/959186

помните такую компанию Yahoo? ранее стало известно, что их систему взломали и речь шла о том, что злоумышленники получили доступ к информации о миллиарде пользователей? так вот вчера компания призналась, что в рамках взлома в 2013 году злоумышленники получили доступ к данным всех 3 миллиардов зарегистрированных пользователей в системе Yahoo. что меня в этом удивляет, конечно, так это откуда у Yahoo 3 миллиарда пользователей? видимо, многие из них боты и прочие спам-аккаунты, но тем не менее, логины-пароли-даты рождения и прочее тютю.
https://www.cnbc.com/2017/10/03/yahoo-every-single-account-3-billion-people-affected-in-2013-attack.html

кстати, прочитал интересный и полезный совет. Даже если вы больше не планируете пользоваться аккаунтом в Yahoo (это если он у вас был), не стоит идти и удалять его. дело в том, что через 30 дней после удаления аккаунта его можно опять создать — то есть при желании злоумышленники, найдя аккаунт в утекшей базе, могут создать его вместо удаленного, и туда что-то полезное вполне еще может упасть. лучше настроить на нем 2FA и забыть про него.

нет, я понимаю, что софт пишут люди, и баги и лажи случаются. но когда Apple, которая столько говорит о внимании к деталям и о безопасности информации пользователей, допускает подобные проколы, у меня просто нет слов. (при создании зашифрованного APFS-диска вместо хинта показывается пароль) https://twitter.com/felix_schwarz/status/915851372217683970/video/1

Тут, короче, такое дело. Про трудности Лаборатории Касперского в США я уже как-то писал - там (тут) запретили использовать продукты компании в государственных федеральных учреждениях. А сегодня ещё вышла статья в WSJ, в которой рассказывается, что продует ЛК стал инструментом для взлома-кражи важных документов NSA. Якобы некий контрактор NSA, частное лицо, взял секретные документы с работы домой, скопировал их на домашний компьютер, подключённый к интернету, на его компьютере был антивирус Касперского, и через это антивирус, используя 0-day уязвимость, русские хакеры залезли и украли эти самые секретные документы. Звучит, конечно, как фантастическая история, но после таких историй путь продуктам ЛК на рынок США точно будет закрыт.

Ссылка вот, но там paywall https://www.wsj.com/articles/russian-hackers-stole-nsa-data-on-u-s-cyber-defense-1507222108

Вот пересказ в версии Reuters http://www.reuters.com/article/us-usa-cyber-nsa/russian-hackers-get-u-s-cyber-defense-details-from-nsa-wsj-idUSKBN1CA2DO?il=0

Поправка: в статье не говорится, что хакеры использовали антивирус Касперского для взлома, но как-то с его помощью проанализировали метаданные на компьютере (имена файлов?) и после этого уже неизвестным образом произошёл взлом компьютера

А вообще, как известно, у NSA много именно хакерских инструментов, по поведению не отличающегося от вредоносных вирусов - та самая «Equation group». Вот антивирус и затриггерился на таких файлах, и в облако постучал. Этим объясняется твит Евгения Касперского, что «мы всегда активно ищем новые угрозы», который он написал перед выходом этой статьи в WSJ

О - Оперативность. Я писал раньше про багу в macOS 10.13 с шифрованными разделами под APFS. Так вот, Apple уже выпустила апдейт, исправляющий эту проблему. И заодно - дыру в кейчейне закрыли, которая позволяла пароли в плейнтексте воровать https://support.apple.com/en-us/HT208165

сегодня пятница, а это значит, что у меня только плохие новости. в 2014 году взломали bitly (сервис сокращения ссылок). 9 миллионов аккаунтов, включая логины и пароли (там даже мой аккаунт оказался). так что если у вас был/есть аккаунт на bitly, то лучше поменять пароль, и убедиться, что он больше нигде не используется. проверить себя можно на haveibeenpwned.com

еще 5,2 млн аккаунтов в 2014 году утекли со взлома kickstarter, так что советы все те же — менять пароль, и дальше по тексту

а вот куда менее прозаичная история. подозревается, что личный смартфон Джона Келли, который сейчас является главой администрации президента США, был скомпрометирован неизвестными злоумышленниками в прошлом году, когда он руководил министерством нацбезопасности США. из статьи непонятно, какая платформа смартфона у него была, но речь идет о том, что якобы телефон начал глючить и "перестал апдейтиться", айтишники начали разбираться и в процессе выяснилось, что что-то там с телефоном сильно не так и что он, скорей всего, был взломан. какие данные получили злоумышленники и кто они были, в статье тоже не говорится.
http://www.politico.com/story/2017/10/05/john-kelly-cell-phone-compromised-243514

PS ни слова об иронии, если взламывают телефон министра, отвечающего за национальную безопасность

и какая-то мутная история про то, как приложение Uber на iPhone обладало скрытой функциональностью, позволявшей записывать содержимое экрана телефона, даже если приложение Убера находилось в фоне. мутная она не потому, что неизвестны детали – деталей там как раз хватает, а потому, что, похоже, что такая функциональность не могла быть реализована без санкций Apple, и как раз комментария компании в самой статье не хватает. Убер говорит, что функциональность будет удалена из приложения. (но осадочек традиционно останется) https://gizmodo.com/researchers-uber-s-ios-app-had-secret-permissions-that-1819177235

С утра вам будет полезно узнать, что Disqus (сервис комментариев) был в 2012 году взломан и 17.5 млн аккаунтов - юзернеймы и SHA1-hashed пароли - сейчас всплыли. Традиционно пароль нужно сменить и убедиться, что вы его не используете в других сервисах  https://blog.disqus.com/security-alert-user-info-breach