вот и Симантек пишет о том же
https://www.symantec.com/blogs/threat-intelligence/browser-mining-cryptocurrency

Расскажу историю из личного опыта, в кои-то веки — как на меня лично повлияло то, о чем я пишу в этом канале. Помните же историю про Equifax, у которого украли данные на 145 млн американских пользователей, включая адреса, номера социального страхования, и много чего другого. (https://t.me/alexmakus/1352). Доступ этой информации кому не надо чреват тем, что, имея её, можно открыть на себя кредитные карты, взять ипотеку, открыть фирму и тд, а должен останется тот, чьи данные для этого использовали. Так вот, какое-то время назад я начал получать странные письма от банка, из серии "мы не можем вам дать ипотеку, так как у вас уже есть одна". WTF, подумал я, и даже спросил это у банка, но они только развели руками. А получение кредитов в США работает следующим образом:
- человек подает заявку на кредит в какую-нибудь кредитную организацию (банк и тд)
- кредитная организация подает запрос на получение информации о кредитной истории этого человека — в одно из трех агентств, которые такую информацию предоставляют. То есть все тот же Equifax, TransUnion, или Experian.
- Агенство дает ответ — можно дать человеку кредит или нет.
Каждый такой запрос снижает кредитный рейтинг человека, поскольку алгоритмы решают "ага, он нищеброд и ему нужны кредиты, значит, повышены риски!"
Так что, похоже, что в моем случае кто-то действительно получил мои данные и пробовал получить ипотеку с моими данными. Хорошо, что банк прислал мне письма с ответом на мой адрес.

Защититься от всей этой истории с утечкой данных и возможностью взять кредит за другого человека можно единственным методом — "заморозить кредитные запросы". То есть надо пойти в эти кредитные агентства и попросить их на все запросы о кредите отвечать "нельзя" — естественно, заплатив им за это денег.
Я после этих подозрительных писем из банка это сделал, конечно, но сегодня обнаружил, что мой кредитный рейтинг существенно просел, и одна из причин — это "большое количество запросов на кредит в последние 12 месяцев". Вот таким образом я лично пострадал от утечки данных Equifax, и, похоже, это теперь на всю жизнь.

забавная история про то, как сломать банкомат Сбербанка с Windows XP, пять раз нажав кнопку Shift. Денег из банкомата не намутишь таким образом, но все равно весело
https://habrahabr.ru/post/345038/.com

классификация современных технологических гигантов и приватность вашей информации

Выход из контейнера Докера в хостовую ОС (ой) https://www.twistlock.com/2017/12/27/escaping-docker-container-using-waitid-cve-2017-5123/

Расширение для Chrome, доступное в официальном магазине и установленное у сотни тысяч пользователей, подгружает Джаваскрипт для майнинга криптовалюты  https://www.bleepingcomputer.com/news/security/chrome-extension-with-100-000-users-caught-pushing-cryptocurrency-miner/

Интересная презентация про исследования бесконтактных  транзакций в Apple Pay и Android Pay https://media.ccc.de/v/34c3-8965-decoding_contactless_card_payments

Вот ещё полезная презентация оттуда же (спасибо читателю) о реверс-инжиниринге микрокода x86 https://media.ccc.de/v/34c3-9058-everything_you_want_to_know_about_x86_microcode_but_might_have_been_afraid_to_ask

И ещё одна ссылка от читателя об уязвимостях в Deep Packet Inspection тройки мобильных операторов России, которые позволяют сайтам узнавать ваш номер телефона, например. Вот, вам понравится:

«Билайн «прикрыл» уязвимость только в конце октября — сделал так, чтобы ее нельзя было эксплуатировать через веб-браузер, но любая программа, установленная на телефоне, может до сих пор получить доступ в личный кабинет, узнать номер телефона, сменить тариф, подключить опции.

МТС до сих пор не закрыл уязвимость. Любой сайт может узнать ваш номер телефона.

Мегафон ответил на первые два сообщения, но в дальнейшем не получал ответа от них.

Единственный, кто меня порадовал — представители Теле2. Отвечали быстро и четко, предложили денежное вознаграждение»

https://habrahabr.ru/post/345852/

Анализ транзакций Apple Pay - теперь в виде статьи https://salmg.net/2017/12/29/analyzing-an-apple-pay-transaction-with-proxmark3/

Пользуетесь менеджером паролей? У меня для вас плохие новости. (По крайней мере, это относится не ко всем менеджерам паролей, говорят, что 1Password и LastPass от этого защищаются). Короче, фишка в том,что некоторые сайты используют специальные скрытые поля, и когда вы используете автозаполнение на сайте, они из менеджера паролей вытаскивают какие-то данные, которые позволяют следить за вами. В этом замечены всякие рекламные сети. Детали тут https://freedom-to-tinker.com/2017/12/27/no-boundaries-for-user-identities-web-trackers-exploit-browser-login-managers/

В Новый год с новыми уязвимостями. Теперь - уязвимость в macOS, в подсистеме IOHIDFamily, позволяющая получить права на чтение и запись в ядре, отключить SIP любому пользователю https://siguza.github.io/IOHIDeous/

В конце прошлого года я писал про то, как хитрожопые рекламные агентства вставляют в страницы скрытые поля, которые автозаполняются из менеджеров паролей, и таким образом позволяют рекламщикам идентифицировать пользователей (https://t.me/alexmakus/1563). Так вот, я внимательней почитал статью по ссылке и понял, что есть плохие новости для Мак-юзеров, которые используют автозаполнение в Safari — браузер тоже радостно раздает данные в такие скрытые поля. Так что осторожно там!

ну и в рамках выходных — реальный заголовок из журнала: "HACKED SEX ROBOTS COULD MURDER PEOPLE, SECURITY EXPERT WARNS". Поэтому берегите там своих секс-роботов!

PS (если вам действительно интересно — то заголовок отсюда http://www.newsweek.com/hacked-sex-robots-could-murder-people-767386, там в статье ссылка ведет сюда https://www.dailystar.co.uk/news/latest-news/643302/sex-robots-hackers-killer-cyborgs-technology-elon-musk-artificial-intelligence-world-war-3.)

Иллюстрации там тоже ОКЕЙ

когда видишь словосочетание "A fundamental design flaw in Intel's processor chips", понимаешь, что все действительно ОЧЕНЬ плохо
https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/

proof of concept дыры в процессорах Intel

забавней всего (с учетом трагичности всей ситуации с этой дырой в процессорах) одна из аббревиатур, которой её называли — Forcefully Unmap Complete Kernel With Interrupt Trampolines (сокращенно FUCKWIT, по сути "долбоеб, полный тупица"). доступ к защищенным участкам памяти через уязвимость в процессоре — это не мелочь, конечно, но хуже всего — то, что фикс должен быть на уровне операционной системы, что приведет к снижению производительности процессоров на некоторых операциях на 5-30%. Отрыв ARM-процессоров (например, серии A у Apple) станет еще больше. А вот CEO Intel, продавший несколько месяцев назад акции компании, и оставивший себе только абсолютный минимум, требуемый уставом компании — мудак.

PS забавно, я тут смотрел недавно эпизод сериала West Wing, где некий производитель процессоров Antares собирался организовывать отзыв 80 млн процессоров, и как офис президента обсуждал, надо ли обеспечивать поддержку производителю. Позиции Intel вся эта ситуация, конечно, не улучшит.

Интересно, что в macOS уже есть фикс проблемы процессоров Intel. Базовый фикс, похоже, есть в релизной 10.13.2, и какие-то улучшения к нему в 10.13.3, которая на данный момент в бете
https://twitter.com/aionescu/status/948609809540046849

причем пишут, что процессоры, используемые в Маках, применяют PCID — Process context identifiers, что минимизирует снижение производительности при применении фикса в системе

остерегайтесь подобных штук. внутри, как правило, вирусы