Forwarded from Тина Канделаки
2021 год. Повальная цифровизация сервисов. И не менее повальное навязывание цифровых услуг и приложений самым неудачным образом.
Облачное хранилище (не буду называть, но ведущих себя таким образом сегодня много) по ссылке на документ вместо того, чтобы начать скачивание сразу, предлагает установить свое приложение. А для того, чтобы получить таки файл без приложения, надо догадаться перемотать посадочную страницу ниже. И, разумеется, ничто вам это движение на экране не подсказывает.
Мне очень интересен ход мыслей этих дизайнеров и разработчиков: «Представляете, Тине Канделаки присылают ссылку на наше хранилище, а мы ррраз — и предлагаем ей приложение поставить. А чтобы деваться ей было некуда, сделаем дизайн неинтуитивным. Огонь?!»
Огонь — это в песне группы «Пикник», дорогие. А от такой вот навязчивости ничего, кроме раздражения, не возникает.
Облачное хранилище (не буду называть, но ведущих себя таким образом сегодня много) по ссылке на документ вместо того, чтобы начать скачивание сразу, предлагает установить свое приложение. А для того, чтобы получить таки файл без приложения, надо догадаться перемотать посадочную страницу ниже. И, разумеется, ничто вам это движение на экране не подсказывает.
Мне очень интересен ход мыслей этих дизайнеров и разработчиков: «Представляете, Тине Канделаки присылают ссылку на наше хранилище, а мы ррраз — и предлагаем ей приложение поставить. А чтобы деваться ей было некуда, сделаем дизайн неинтуитивным. Огонь?!»
Огонь — это в песне группы «Пикник», дорогие. А от такой вот навязчивости ничего, кроме раздражения, не возникает.
Российская компания подарила глоток воздуха соц.сети американских радикалов
Parler - это независимая альтернатива Twitter. Большинство из нас не знали о ее существовании до событий в Капитолии. После того, как мир обратил на неё внимание, обнаружилось много интересных деталей. Вот главное: жена владельца соц.сети из России, социальная сеть не зачищает GPS-метаданные, благодаря чему ФБР смогли найти некоторых участников штурма в Капитолии, ну и, наконец, в этом приложении общались ультраправые сторонники Трампа, и соц.сеть плохо модерировала контент(в частности, не удаляла призывы к насилию) Последний пункт - причина, по которой Amazon отказалась предоставлять свои сервера для Parler.
Сейчас Parler снова доступна. Несколько исследователей безопасности заметили, что в адресной строке домена теперь указан IP-адрес, принадлежащий компании DDoS-Guard, которую называют российским аналогом Cloudflare.
DDoS-Guard в тусовке обвиняют в том, что она работала и с другими правыми, расистскими и конспирологическими сайтами, включая 8kun.
https://finance.yahoo.com/news/parler-partially-reappears-support-russian-234401397.html
Parler - это независимая альтернатива Twitter. Большинство из нас не знали о ее существовании до событий в Капитолии. После того, как мир обратил на неё внимание, обнаружилось много интересных деталей. Вот главное: жена владельца соц.сети из России, социальная сеть не зачищает GPS-метаданные, благодаря чему ФБР смогли найти некоторых участников штурма в Капитолии, ну и, наконец, в этом приложении общались ультраправые сторонники Трампа, и соц.сеть плохо модерировала контент(в частности, не удаляла призывы к насилию) Последний пункт - причина, по которой Amazon отказалась предоставлять свои сервера для Parler.
Сейчас Parler снова доступна. Несколько исследователей безопасности заметили, что в адресной строке домена теперь указан IP-адрес, принадлежащий компании DDoS-Guard, которую называют российским аналогом Cloudflare.
DDoS-Guard в тусовке обвиняют в том, что она работала и с другими правыми, расистскими и конспирологическими сайтами, включая 8kun.
https://finance.yahoo.com/news/parler-partially-reappears-support-russian-234401397.html
Yahoo
Parler partially reappears with support from Russian technology firm
Parler, a social media website and app popular with the American far right, has partially returned online with the help of a Russian-owned technology company. Parler vanished from the internet when dropped by Amazon Inc's hosting arm and other partners for…
Минцифры снова мутит воду вокруг «Авроры» (бывшая финская операционка “Sailfish”)
Министерство хочет закупить врачам и учителям планшеты. Они будут с российской операционной системой «Аворора». На покупку и на разработку приложений хотят потратить 19,4 млрд.
До 2024 года хотят закупить 700 тыс. планшетов.
Российские планшеты на «Авроре» сейчас производят IT-компании «Аквариус» и «Байтэрг». Поэтому, вероятно, они поделят между собой 19, 4 ярда.
У «Авроры» интересная предыстория: с 2019 года чиновников хотели переводить на смартфоны с этой ОС, но проект свернули. Проблема заключалась в том, что магазин приложений был полупустой. Врачи и учителя могли бы использовать планшеты, если их дополнили бы софтом. К тому же, есть риски, связанные с поставками чипсетов. Тут уже в игру залетает политика. Например, если тайваньцы узнают, что планшеты с их чипсетами будут не только в соц.сфере, но и в оборонке, американцы могут наложить санкции, и сделка сорвётся.
Министерство хочет закупить врачам и учителям планшеты. Они будут с российской операционной системой «Аворора». На покупку и на разработку приложений хотят потратить 19,4 млрд.
До 2024 года хотят закупить 700 тыс. планшетов.
Российские планшеты на «Авроре» сейчас производят IT-компании «Аквариус» и «Байтэрг». Поэтому, вероятно, они поделят между собой 19, 4 ярда.
У «Авроры» интересная предыстория: с 2019 года чиновников хотели переводить на смартфоны с этой ОС, но проект свернули. Проблема заключалась в том, что магазин приложений был полупустой. Врачи и учителя могли бы использовать планшеты, если их дополнили бы софтом. К тому же, есть риски, связанные с поставками чипсетов. Тут уже в игру залетает политика. Например, если тайваньцы узнают, что планшеты с их чипсетами будут не только в соц.сфере, но и в оборонке, американцы могут наложить санкции, и сделка сорвётся.
Цифра дня: ₽1 трлн - сумма, которую потратят на развитие 5G в России до 2027 года.
Такую оценку стоимости дали эксперты аналитического кредитного рейтингового агентства.
Такую оценку стоимости дали эксперты аналитического кредитного рейтингового агентства.
Топ 10 уязвимостей в приложениях на твоём смартфоне
Сейчас в мире больше 3,5 млрд пользователей смартфонов. Количество приложений на рынке тоже растёт, а вместе с этим увеличивается количество уязвимостей, желающих их эксплуатировать и жертв атак.
OWASP сделал рейтинг 10-и самых актуальных уязвимостей в приложениях и параллельно способы их устранения.
Громких атак за последние годы было достаточно. В памяти сразу всплывает шпионское ПО Pegasus, благодаря которому хакеры смогли получить управление телефоном через WhatsApp. Нашумевшим был и взлом Pokémon Go, когда проводились манипуляции GPS-данными для ловли большего количества покемонов.
Сейчас в мире больше 3,5 млрд пользователей смартфонов. Количество приложений на рынке тоже растёт, а вместе с этим увеличивается количество уязвимостей, желающих их эксплуатировать и жертв атак.
OWASP сделал рейтинг 10-и самых актуальных уязвимостей в приложениях и параллельно способы их устранения.
Громких атак за последние годы было достаточно. В памяти сразу всплывает шпионское ПО Pegasus, благодаря которому хакеры смогли получить управление телефоном через WhatsApp. Нашумевшим был и взлом Pokémon Go, когда проводились манипуляции GPS-данными для ловли большего количества покемонов.
😁1
Это вам не аквадискотека!
Кто бы мог подумать, но IT-миллиардер Евгений Касперский в своём инстике, по бартеру очевидно, рекламирует скромные машины от «Рено» (все до 1,5 млн рублей).
Каспер ездил на народных авто по трассе «Колыма» в Магадан и Читу, может выбирал места для ссылки хакеров (или экзотической удалёнки своих сотрудников?).
Нас умиляет конечно, когда люди с возможностью вызвать джет куда угодно показательно ездят на ладах калинах и рено дастерах.
Кто бы мог подумать, но IT-миллиардер Евгений Касперский в своём инстике, по бартеру очевидно, рекламирует скромные машины от «Рено» (все до 1,5 млн рублей).
Каспер ездил на народных авто по трассе «Колыма» в Магадан и Читу, может выбирал места для ссылки хакеров (или экзотической удалёнки своих сотрудников?).
Нас умиляет конечно, когда люди с возможностью вызвать джет куда угодно показательно ездят на ладах калинах и рено дастерах.
This media is not supported in your browser
VIEW IN TELEGRAM
«Сбер» купил себе робопса от Boston Dynamics. Его хотят использовать в исследовательских и образовательных целях: например, изучать, как он ведёт себя «в естественной среде» и взаимодействует с человеком.
Похоже, Грефу не дают покоя амбиции и желание сделать из компании российский «Amazon»
Похоже, Грефу не дают покоя амбиции и желание сделать из компании российский «Amazon»
Facebook слил переписку пользователя ФБР
Компания начала предоставлять данные участников штурма Капитолия ФБР, в том числе переписки. Ордер на обыск позволил федералам получить доступ и к странице Кристофера Келли, его IP-адресам, номеру телефона, почте Google и личным сообщениям.
Например, информация об IP-адресах помогла федералам узнать, что в день штурма Келли уехал из Нью-Йорка в Силвер Спринг, оказавшись рядом с Вашингтоном.
В сообщениях были переписки с другими участниками штурма Капитолия. Келли упоминал в них Proud Boys (ультраправое движение), говорил о слезоточивом газе, полиции и ультралевом движение «Антифа». Также, в чате он публиковал фотографию с американским флагом, сделанную в Вашингтоне.
Компания начала предоставлять данные участников штурма Капитолия ФБР, в том числе переписки. Ордер на обыск позволил федералам получить доступ и к странице Кристофера Келли, его IP-адресам, номеру телефона, почте Google и личным сообщениям.
Например, информация об IP-адресах помогла федералам узнать, что в день штурма Келли уехал из Нью-Йорка в Силвер Спринг, оказавшись рядом с Вашингтоном.
В сообщениях были переписки с другими участниками штурма Капитолия. Келли упоминал в них Proud Boys (ультраправое движение), говорил о слезоточивом газе, полиции и ультралевом движение «Антифа». Также, в чате он публиковал фотографию с американским флагом, сделанную в Вашингтоне.
Для москвичей очередной сюрприз: ваши данные с госуслуг могли украсть
Специалисты компании Postuf сообщили о уязвимости в мобильном приложении Госуслуг для Android. Благодаря ей можно было получить доступ к аккаунту, зная только номер телефона человека.
Тут три интересных момента:
-С помощью уязвимостью можно было не только получить доступ к данным, но и менять их.
-Уязвимость на момент «публикации» устранена
-Компания, обнаружившая уязвимость, сначала сделала историю публичной и только потом сообщила о ней владельцам сайта.
В 2020 году у сайта «Госуслуги Москвы» было 2,3 млн пользователей. Уязвимость в приложении давала возможность получить всю информацию, которую пользователь указал на сайте Госуслуг: Ф.И.О., e-mail, год рождения, номер полиса ОМС и СНИЛС, список движимого и недвижимого имущества, сведения о наличии загранпаспорта, о детях, учащихся в школах, и др. Кстати, благодаря номеру полиса ОМС и дате рождения появлялся доступ к медицинской информации человека(какие лекарства вам прописаны, чем страдаете физически и ментально)
Основатель компании Бекхан Гендаргеноевский (да, это настоящая фамилия) решил нарушить этику специалистов по кибербезопасности в благих целях: компания сначала сделала информацию об уязвимости публичной, а потом уже сообщила в ДИТ Москвы, чтобы сначала доказать факт наличия уязвимости.
Платежных данных на сайте госуслуг нет, да и те, что имеются для мошенничества не сильно помогут, так как по большей части нужно подтверждать личность в МФЦ, но потрепать нервы кому-нибудь, добавив информацию о несуществующей машине или использовать данные для социальной инженерии вполне возможно.
Специалисты компании Postuf сообщили о уязвимости в мобильном приложении Госуслуг для Android. Благодаря ей можно было получить доступ к аккаунту, зная только номер телефона человека.
Тут три интересных момента:
-С помощью уязвимостью можно было не только получить доступ к данным, но и менять их.
-Уязвимость на момент «публикации» устранена
-Компания, обнаружившая уязвимость, сначала сделала историю публичной и только потом сообщила о ней владельцам сайта.
В 2020 году у сайта «Госуслуги Москвы» было 2,3 млн пользователей. Уязвимость в приложении давала возможность получить всю информацию, которую пользователь указал на сайте Госуслуг: Ф.И.О., e-mail, год рождения, номер полиса ОМС и СНИЛС, список движимого и недвижимого имущества, сведения о наличии загранпаспорта, о детях, учащихся в школах, и др. Кстати, благодаря номеру полиса ОМС и дате рождения появлялся доступ к медицинской информации человека(какие лекарства вам прописаны, чем страдаете физически и ментально)
Основатель компании Бекхан Гендаргеноевский (да, это настоящая фамилия) решил нарушить этику специалистов по кибербезопасности в благих целях: компания сначала сделала информацию об уязвимости публичной, а потом уже сообщила в ДИТ Москвы, чтобы сначала доказать факт наличия уязвимости.
Платежных данных на сайте госуслуг нет, да и те, что имеются для мошенничества не сильно помогут, так как по большей части нужно подтверждать личность в МФЦ, но потрепать нервы кому-нибудь, добавив информацию о несуществующей машине или использовать данные для социальной инженерии вполне возможно.
This media is not supported in your browser
VIEW IN TELEGRAM
Литреев пишет, что зашёл в админку сайта «Законодательство России» с паролем admin/admin 😂 или как легко можно получить 272 УК РФ.
Студенты в городах России, которые все-таки собираются прогуляться завтра со своими товарищами, хотят использовать для коммуникации оффлайн - мессенджер Bridgefy на случай, если будут проблемы с интернетом. Стало интересно, как у него с конфиденциальностью. Итог: есть end-to-end шифрование, но используются cookies, а данные о геолокации и многое другое передаётся третьим лицам
У Ростелекома наблюдаются проблемы со связью, у Билайна, МТС крупные сбои, также сбой произошёл у Twitter
👍1
Ещё один момент, связанный с социальной сетью Parler:
После штурма Капитолия ее взломали и скачали оттуда все видео. Все лица участников собрали с помощью специального софта, опубликовали их на отдельном сайте и подарили ФБР.
Технологии использовались опенсорсные, а значит - доступны всем. Теперь авторитарным властям будет проще находить участников митингов, которых система распознавания лиц по каким-то причинам не идентифицировала.
Такой вот мир будущего, уже в настоящем.
https://www.wired.com/story/faces-of-the-riot-capitol-insurrection-facial-recognition/
После штурма Капитолия ее взломали и скачали оттуда все видео. Все лица участников собрали с помощью специального софта, опубликовали их на отдельном сайте и подарили ФБР.
Технологии использовались опенсорсные, а значит - доступны всем. Теперь авторитарным властям будет проще находить участников митингов, которых система распознавания лиц по каким-то причинам не идентифицировала.
Такой вот мир будущего, уже в настоящем.
https://www.wired.com/story/faces-of-the-riot-capitol-insurrection-facial-recognition/
Wired
A Site Published Every Face From Parler's Capitol Riot Videos
Faces of the Riot used open source software to detect, extract, and deduplicate every face from the 827 videos taken from the insurrection on January 6.
Данные 2,28 млн пользователей аналога Tinder слили в сеть
Когда происходит крупная утечка, базы данных обогащаются, а значит их ещё проще сопоставить с уже имеющимися данными на конкретных людей.
Когда происходит утечка данных с сайта для знакомств, которые в наше нелегкое и суматошное время выполняют функцию сервиса для поиска партнера для секса, неприятности дополняются и тем, что можно пострадать от вымогателей и шантажа. Особенно это ощутимо, если у вас есть жена и дети.
У MeetMindful произошла как раз такая утечка. Дамп с 1,2 Гб данных опубликовали на хакерском форуме.
Утечка включают такие данные:
▪ настоящие имена;
▪ адреса электронной почты;
▪ сведения о городе, штате и почтовом индексе;
▪ информацию о физических данных;
▪ предпочтения на свиданиях;
▪ семейный статус;
▪ даты рождения;
▪ IP-адреса;
▪ хешированные пароли от аккаунтов (bcrypt);
▪ ID пользователей Facebook;
▪ токены аутентификации Facebook.
Этой информации вполне достаточно для того, чтобы пользователи столкнулись в ближайшем будущем с угрозами раскрыть их историю семье, если они не выплатят выкуп.
Когда происходит крупная утечка, базы данных обогащаются, а значит их ещё проще сопоставить с уже имеющимися данными на конкретных людей.
Когда происходит утечка данных с сайта для знакомств, которые в наше нелегкое и суматошное время выполняют функцию сервиса для поиска партнера для секса, неприятности дополняются и тем, что можно пострадать от вымогателей и шантажа. Особенно это ощутимо, если у вас есть жена и дети.
У MeetMindful произошла как раз такая утечка. Дамп с 1,2 Гб данных опубликовали на хакерском форуме.
Утечка включают такие данные:
▪ настоящие имена;
▪ адреса электронной почты;
▪ сведения о городе, штате и почтовом индексе;
▪ информацию о физических данных;
▪ предпочтения на свиданиях;
▪ семейный статус;
▪ даты рождения;
▪ IP-адреса;
▪ хешированные пароли от аккаунтов (bcrypt);
▪ ID пользователей Facebook;
▪ токены аутентификации Facebook.
Этой информации вполне достаточно для того, чтобы пользователи столкнулись в ближайшем будущем с угрозами раскрыть их историю семье, если они не выплатят выкуп.
Бот в Телеграме продает номера пользователей Facebook
У мошенников, создавших бот, оказалось в наличии более полумиллиарда номеров. База с номерами появилась в результате уязвимости, которую устранили ещё в 2019 году, но с того времени многие не меняли свои мобильные номера.
Бота обнаружил ИБ-исследователь Алон Гал. Он написал об этом у себя в Твиттере.
У бота есть две функции: если у покупателя есть ID-пользователя, он может узнать его номер телефона, если есть номер телефона, можно найти страницу в Facebook. Один номер телефона обойдётся в 1500 р. Если верить скришнотам Гала, бот работает с середины января. У злоумышленников в распоряжении есть персональные данные жителей Канады, США, Великобритании, России и т.д.
К слову, в России есть похожий бот, который за небольшую сумму или месячную подписку ищет информацию по фотографиям человека, его номеру телефона или номеру автомобиля. Называется «Глаз Бога» @EyeGodsBot
У мошенников, создавших бот, оказалось в наличии более полумиллиарда номеров. База с номерами появилась в результате уязвимости, которую устранили ещё в 2019 году, но с того времени многие не меняли свои мобильные номера.
Бота обнаружил ИБ-исследователь Алон Гал. Он написал об этом у себя в Твиттере.
У бота есть две функции: если у покупателя есть ID-пользователя, он может узнать его номер телефона, если есть номер телефона, можно найти страницу в Facebook. Один номер телефона обойдётся в 1500 р. Если верить скришнотам Гала, бот работает с середины января. У злоумышленников в распоряжении есть персональные данные жителей Канады, США, Великобритании, России и т.д.
К слову, в России есть похожий бот, который за небольшую сумму или месячную подписку ищет информацию по фотографиям человека, его номеру телефона или номеру автомобиля. Называется «Глаз Бога» @EyeGodsBot
⚡️ Основатель DDoS-Guard Евгений Марченко в интервью РБК опроверг информацию о том, что их компания предоставляет хостинг социальной сети Parler, но подтвердил, что обеспечивают информационную защиту сайту.
Мне кажется, у нас в стране более развиты информационные сервисы, чем в США - Марченко