Студенты в городах России, которые все-таки собираются прогуляться завтра со своими товарищами, хотят использовать для коммуникации оффлайн - мессенджер Bridgefy на случай, если будут проблемы с интернетом. Стало интересно, как у него с конфиденциальностью. Итог: есть end-to-end шифрование, но используются cookies, а данные о геолокации и многое другое передаётся третьим лицам
У Ростелекома наблюдаются проблемы со связью, у Билайна, МТС крупные сбои, также сбой произошёл у Twitter
👍1
Ещё один момент, связанный с социальной сетью Parler:
После штурма Капитолия ее взломали и скачали оттуда все видео. Все лица участников собрали с помощью специального софта, опубликовали их на отдельном сайте и подарили ФБР.
Технологии использовались опенсорсные, а значит - доступны всем. Теперь авторитарным властям будет проще находить участников митингов, которых система распознавания лиц по каким-то причинам не идентифицировала.
Такой вот мир будущего, уже в настоящем.
https://www.wired.com/story/faces-of-the-riot-capitol-insurrection-facial-recognition/
После штурма Капитолия ее взломали и скачали оттуда все видео. Все лица участников собрали с помощью специального софта, опубликовали их на отдельном сайте и подарили ФБР.
Технологии использовались опенсорсные, а значит - доступны всем. Теперь авторитарным властям будет проще находить участников митингов, которых система распознавания лиц по каким-то причинам не идентифицировала.
Такой вот мир будущего, уже в настоящем.
https://www.wired.com/story/faces-of-the-riot-capitol-insurrection-facial-recognition/
Wired
A Site Published Every Face From Parler's Capitol Riot Videos
Faces of the Riot used open source software to detect, extract, and deduplicate every face from the 827 videos taken from the insurrection on January 6.
Данные 2,28 млн пользователей аналога Tinder слили в сеть
Когда происходит крупная утечка, базы данных обогащаются, а значит их ещё проще сопоставить с уже имеющимися данными на конкретных людей.
Когда происходит утечка данных с сайта для знакомств, которые в наше нелегкое и суматошное время выполняют функцию сервиса для поиска партнера для секса, неприятности дополняются и тем, что можно пострадать от вымогателей и шантажа. Особенно это ощутимо, если у вас есть жена и дети.
У MeetMindful произошла как раз такая утечка. Дамп с 1,2 Гб данных опубликовали на хакерском форуме.
Утечка включают такие данные:
▪ настоящие имена;
▪ адреса электронной почты;
▪ сведения о городе, штате и почтовом индексе;
▪ информацию о физических данных;
▪ предпочтения на свиданиях;
▪ семейный статус;
▪ даты рождения;
▪ IP-адреса;
▪ хешированные пароли от аккаунтов (bcrypt);
▪ ID пользователей Facebook;
▪ токены аутентификации Facebook.
Этой информации вполне достаточно для того, чтобы пользователи столкнулись в ближайшем будущем с угрозами раскрыть их историю семье, если они не выплатят выкуп.
Когда происходит крупная утечка, базы данных обогащаются, а значит их ещё проще сопоставить с уже имеющимися данными на конкретных людей.
Когда происходит утечка данных с сайта для знакомств, которые в наше нелегкое и суматошное время выполняют функцию сервиса для поиска партнера для секса, неприятности дополняются и тем, что можно пострадать от вымогателей и шантажа. Особенно это ощутимо, если у вас есть жена и дети.
У MeetMindful произошла как раз такая утечка. Дамп с 1,2 Гб данных опубликовали на хакерском форуме.
Утечка включают такие данные:
▪ настоящие имена;
▪ адреса электронной почты;
▪ сведения о городе, штате и почтовом индексе;
▪ информацию о физических данных;
▪ предпочтения на свиданиях;
▪ семейный статус;
▪ даты рождения;
▪ IP-адреса;
▪ хешированные пароли от аккаунтов (bcrypt);
▪ ID пользователей Facebook;
▪ токены аутентификации Facebook.
Этой информации вполне достаточно для того, чтобы пользователи столкнулись в ближайшем будущем с угрозами раскрыть их историю семье, если они не выплатят выкуп.
Бот в Телеграме продает номера пользователей Facebook
У мошенников, создавших бот, оказалось в наличии более полумиллиарда номеров. База с номерами появилась в результате уязвимости, которую устранили ещё в 2019 году, но с того времени многие не меняли свои мобильные номера.
Бота обнаружил ИБ-исследователь Алон Гал. Он написал об этом у себя в Твиттере.
У бота есть две функции: если у покупателя есть ID-пользователя, он может узнать его номер телефона, если есть номер телефона, можно найти страницу в Facebook. Один номер телефона обойдётся в 1500 р. Если верить скришнотам Гала, бот работает с середины января. У злоумышленников в распоряжении есть персональные данные жителей Канады, США, Великобритании, России и т.д.
К слову, в России есть похожий бот, который за небольшую сумму или месячную подписку ищет информацию по фотографиям человека, его номеру телефона или номеру автомобиля. Называется «Глаз Бога» @EyeGodsBot
У мошенников, создавших бот, оказалось в наличии более полумиллиарда номеров. База с номерами появилась в результате уязвимости, которую устранили ещё в 2019 году, но с того времени многие не меняли свои мобильные номера.
Бота обнаружил ИБ-исследователь Алон Гал. Он написал об этом у себя в Твиттере.
У бота есть две функции: если у покупателя есть ID-пользователя, он может узнать его номер телефона, если есть номер телефона, можно найти страницу в Facebook. Один номер телефона обойдётся в 1500 р. Если верить скришнотам Гала, бот работает с середины января. У злоумышленников в распоряжении есть персональные данные жителей Канады, США, Великобритании, России и т.д.
К слову, в России есть похожий бот, который за небольшую сумму или месячную подписку ищет информацию по фотографиям человека, его номеру телефона или номеру автомобиля. Называется «Глаз Бога» @EyeGodsBot
⚡️ Основатель DDoS-Guard Евгений Марченко в интервью РБК опроверг информацию о том, что их компания предоставляет хостинг социальной сети Parler, но подтвердил, что обеспечивают информационную защиту сайту.
Мне кажется, у нас в стране более развиты информационные сервисы, чем в США - Марченко
У нас нет идеологических взглядов. Наша компания не пытается пропагандировать какую-то идеологию. У нас есть сервис, мы оказываем услуги информационной безопастности - Марченко на вопрос о возможности сотрудничества с Parler
Apple выпустила обновление. Оно устраняет три 0-day уязвимости
В новой версии компания пофиксила три уязвимости, которые активно эксплуатировались хакерами.
Две уязвимости нашли в движке браузера, на котором работает Safari. Они позволяли осуществить удалённое выполнение кода(RCE). Третья уязвимость была в ядре ОС.
Рекомендуем как можно скорее обновиться до iOS 14.4
https://support.apple.com/en-us/HT212146
В новой версии компания пофиксила три уязвимости, которые активно эксплуатировались хакерами.
Две уязвимости нашли в движке браузера, на котором работает Safari. Они позволяли осуществить удалённое выполнение кода(RCE). Третья уязвимость была в ядре ОС.
Рекомендуем как можно скорее обновиться до iOS 14.4
https://support.apple.com/en-us/HT212146
Apple Support
About the security content of iOS 14.4 and iPadOS 14.4
This document describes the security content of iOS 14.4 and iPadOS 14.4.
Даже Путин(Не спешите отписываться)
Сегодня Путин выступал на международном экономическом форуме в Давосе. Участвовал в форуме по видеосвязи. Ох уж этот коронавирус.
В его выступлении были темы, которые интересны и нам:
1) искусственный интеллект, роботизация
2) цифровые гиганты, которые консолидируют большое количество данных и путают берега
Про искусственный интеллект президент в последние годы говорит все чаще. На форуме он в очередной раз обозначил проблему безработицы, которая может возрасти, если государство не будет проводить структурные изменения на рынке труда .
А вот по теме цифровых гигантов (Big tech) Путин явно дал понять, что все эти Facebook, Google, Twitter, Microsoft путают берега.
«Где грань между успешным глобальным бизнесом, востребованными услугами и сервисами, консолидацией больших данных и попытками грубо, по своему усмотрению управлять обществом?» — задался вопросом Путин.
Видимо, вопрос встал острее, когда аккаунты Трампа заблокировали после штурма Капитолия и власть это сильно обеспокоило. Теперь у нас «суверенный интернет», предустановка отечественного ПО на новые устройства, импортозамещение, льготы для IT-компаний, своё оборудование для связи(одна из причин, по которой развитие 5G в РФ тормозит), свои единые централизованные базы данных.
Чего не хватает? Правильно. Упора на защиту персональных данных и кибербезопасность. Ну и побольше слаженности между ведомствами а-ля Минцифры, Россвязь и т.д
Сегодня Путин выступал на международном экономическом форуме в Давосе. Участвовал в форуме по видеосвязи. Ох уж этот коронавирус.
В его выступлении были темы, которые интересны и нам:
1) искусственный интеллект, роботизация
2) цифровые гиганты, которые консолидируют большое количество данных и путают берега
Про искусственный интеллект президент в последние годы говорит все чаще. На форуме он в очередной раз обозначил проблему безработицы, которая может возрасти, если государство не будет проводить структурные изменения на рынке труда .
А вот по теме цифровых гигантов (Big tech) Путин явно дал понять, что все эти Facebook, Google, Twitter, Microsoft путают берега.
«Где грань между успешным глобальным бизнесом, востребованными услугами и сервисами, консолидацией больших данных и попытками грубо, по своему усмотрению управлять обществом?» — задался вопросом Путин.
Видимо, вопрос встал острее, когда аккаунты Трампа заблокировали после штурма Капитолия и власть это сильно обеспокоило. Теперь у нас «суверенный интернет», предустановка отечественного ПО на новые устройства, импортозамещение, льготы для IT-компаний, своё оборудование для связи(одна из причин, по которой развитие 5G в РФ тормозит), свои единые централизованные базы данных.
Чего не хватает? Правильно. Упора на защиту персональных данных и кибербезопасность. Ну и побольше слаженности между ведомствами а-ля Минцифры, Россвязь и т.д
Интерпол накрыл самый крупный и опасный ботнет в мире
Ботнет Emotet был разработан в 2014 как банковский троян для кражи данных счетов. Он был достаточно устойчив, незаметно путешествовал по сети и эволюционировал в загрузчик вредоносного ПО.
Вчера в ходе глобальной спецоперации удалось разрушить его изнутри. Специалисты по кибербезопасности захватили управляющие сервера ботнета и загрузили на его IP-адреса свои машины.
Тем, чьи устройства пострадали от Emotet, советуем очистить свою систему. Если сомневаетесь, были ли вы заражены, можно провести полную проверку через Malwarebytes.
https://www.zdnet.com/article/emotet-worlds-most-dangerous-malware-botnet-disrupted-by-international-police-operation/
Ботнет Emotet был разработан в 2014 как банковский троян для кражи данных счетов. Он был достаточно устойчив, незаметно путешествовал по сети и эволюционировал в загрузчик вредоносного ПО.
Вчера в ходе глобальной спецоперации удалось разрушить его изнутри. Специалисты по кибербезопасности захватили управляющие сервера ботнета и загрузили на его IP-адреса свои машины.
Тем, чьи устройства пострадали от Emotet, советуем очистить свою систему. Если сомневаетесь, были ли вы заражены, можно провести полную проверку через Malwarebytes.
https://www.zdnet.com/article/emotet-worlds-most-dangerous-malware-botnet-disrupted-by-international-police-operation/
ZDNET
Emotet: The world's most dangerous malware botnet was just disrupted by a major police operation
Europol and FBI among agencies that have taken control of the botnet infrastructure used by cyber criminals behind some of the most prolific malware and ransomware attacks.
Сегодня международный день защиты персональных данных
В контексте прошедших митингов и появляющихся новых уголовных дел в отношении участников, хотим рассказать, как можно вычислить участников митинга.
1. Устанавливается список устройств, симок в радиусе событий.
2. Определяется, кто использовал вышки связи в данной местности.
3. Анализируется движение, маршрут, активность траффика.
4. Проводится идентификация через оператора связи.
5. Если после идентификации выясняется, что вы не журналист или не полицейский, то поздравляем - вы в списке предполагаемых участников митинга.
А дальше все просто. Ваши приложения на телефоне, фотографии, запросы в гугле, переписки, к которым могут получить доступ, если вас заподозрили в беспорядках, призывах к насилию или других, противоречащих нормам УК действиям - все это сопоставляется. Хорошего дня!
О том, как ФБР вычислили преступника, мы писали здесь
В контексте прошедших митингов и появляющихся новых уголовных дел в отношении участников, хотим рассказать, как можно вычислить участников митинга.
1. Устанавливается список устройств, симок в радиусе событий.
2. Определяется, кто использовал вышки связи в данной местности.
3. Анализируется движение, маршрут, активность траффика.
4. Проводится идентификация через оператора связи.
5. Если после идентификации выясняется, что вы не журналист или не полицейский, то поздравляем - вы в списке предполагаемых участников митинга.
А дальше все просто. Ваши приложения на телефоне, фотографии, запросы в гугле, переписки, к которым могут получить доступ, если вас заподозрили в беспорядках, призывах к насилию или других, противоречащих нормам УК действиям - все это сопоставляется. Хорошего дня!
О том, как ФБР вычислили преступника, мы писали здесь
Telegram
НеКасперский
Google помогла ФБР найти поджигателя машины
ФБР направила запрос в компанию с требованием раскрыть тех, кто гуглил адрес дома пострадавшего.
Так ФБР узнали IP-адрес, с которого искали дом жертвы несколько раз. IP-адрес был связан с номером телефона, принадлежащим…
ФБР направила запрос в компанию с требованием раскрыть тех, кто гуглил адрес дома пострадавшего.
Так ФБР узнали IP-адрес, с которого искали дом жертвы несколько раз. IP-адрес был связан с номером телефона, принадлежащим…
Forwarded from Эксплойт | Live
Уязвимость в TikTok привела к раскрытию данных пользователей
Позавчера исследователи из компании по кибербезопасности CheckPoint обнаружили уязвимость в TikTok.
Эта уязвимость позволяла извлекать личную информацию пользователей из их профилей, включая номера телефона.
По словам исследователей, с помощью этой уязвимости можно было создать целую базу данных пользователей, чтобы использовать её в злонамеренных целях.
Эту ошибку обнаружили в функции поиска друзей. К счастью, уязвимость уже устранена.
Нет никаких доказательств того, что этот недостаток как-то использовался.
Позавчера исследователи из компании по кибербезопасности CheckPoint обнаружили уязвимость в TikTok.
Эта уязвимость позволяла извлекать личную информацию пользователей из их профилей, включая номера телефона.
По словам исследователей, с помощью этой уязвимости можно было создать целую базу данных пользователей, чтобы использовать её в злонамеренных целях.
Эту ошибку обнаружили в функции поиска друзей. К счастью, уязвимость уже устранена.
Нет никаких доказательств того, что этот недостаток как-то использовался.
Теперь пользователи будут решать, смогут ли приложения отслеживать их данные
Сегодня Тим Кук выступал в Брюсселе на конференции «Компьютеры, конфиденциальность и защита данных», где объявил о новой функции конфиденциальности. Она будет доступна пользователям iOS с весны этого этого. Apple хотела реализовать эту идею еще осенью, но отложила, чтобы у разработчиков было больше времени на выполнение требований. Разработчики должны будут запрашивать у каждого пользователя отдельно разрешение на отслеживание данных. За обход правил или отказ выполнять их Apple сможет удалить приложение из App Store.
Конкретно речь идёт о «Идентификаторе для рекламодателей» или «IDFA», которые рекламодатели используют для таргетинга рекламы и отслеживания эффективности их рекламных компаний.
Двойных стандартов, кстати, тут не будет. Новые правила распространяются и на приложения Apple. Логично, что главным противником новых правил выступил Facebook, бизнес-модель которого построена на сборе данных и их продаже. Цукерберг уже хочет подать антимонопольный иск против компании.
Apple как-то резко начали делать упор на конфиденциальность. Месяц назад яблочники обязали приложения создавать «ярлыки конфиденциальности» в App Store, где указаны данные, которые приложения собирают о пользователях. Больше всего возмущался Цукерберг. Понятно почему: у Facebook ярлык конфиденциальности оказался самым длинным.
Сегодня Тим Кук выступал в Брюсселе на конференции «Компьютеры, конфиденциальность и защита данных», где объявил о новой функции конфиденциальности. Она будет доступна пользователям iOS с весны этого этого. Apple хотела реализовать эту идею еще осенью, но отложила, чтобы у разработчиков было больше времени на выполнение требований. Разработчики должны будут запрашивать у каждого пользователя отдельно разрешение на отслеживание данных. За обход правил или отказ выполнять их Apple сможет удалить приложение из App Store.
Конкретно речь идёт о «Идентификаторе для рекламодателей» или «IDFA», которые рекламодатели используют для таргетинга рекламы и отслеживания эффективности их рекламных компаний.
Двойных стандартов, кстати, тут не будет. Новые правила распространяются и на приложения Apple. Логично, что главным противником новых правил выступил Facebook, бизнес-модель которого построена на сборе данных и их продаже. Цукерберг уже хочет подать антимонопольный иск против компании.
Apple как-то резко начали делать упор на конфиденциальность. Месяц назад яблочники обязали приложения создавать «ярлыки конфиденциальности» в App Store, где указаны данные, которые приложения собирают о пользователях. Больше всего возмущался Цукерберг. Понятно почему: у Facebook ярлык конфиденциальности оказался самым длинным.
Кстати, Apple даже выпустила брошюру «День из жизни ваших данных», где анализируются методы отслеживания данных и таргетинга рекламы.
«Сложная экосистема веб-сайтов, приложений, социальных сетей, брокеров данных и компаний, занимающихся рекламными технологиями, отслеживает пользователей онлайн и офлайн, собирая их личные данные. Эти данные собираются воедино, передаются, агрегируются и монетизируются, обеспечивая развитие отрасли с оборотом 227 миллиардов долларов в год », - говорится в руководстве.
«Это происходит каждый день, поскольку люди занимаются повседневной жизнью, данные часто собираются без их ведома или разрешения».
https://www.apple.com/privacy/docs/A_Day_in_the_Life_of_Your_Data.pdf
«Сложная экосистема веб-сайтов, приложений, социальных сетей, брокеров данных и компаний, занимающихся рекламными технологиями, отслеживает пользователей онлайн и офлайн, собирая их личные данные. Эти данные собираются воедино, передаются, агрегируются и монетизируются, обеспечивая развитие отрасли с оборотом 227 миллиардов долларов в год », - говорится в руководстве.
«Это происходит каждый день, поскольку люди занимаются повседневной жизнью, данные часто собираются без их ведома или разрешения».
https://www.apple.com/privacy/docs/A_Day_in_the_Life_of_Your_Data.pdf
Переносить историю переписки в Telegram из WhatsApp можно и на iOS, и на Android
Дуров обещал дать инструменты для сторонних разработчиков, чтобы можно было переносить данные из любого места.
Дуров обещал дать инструменты для сторонних разработчиков, чтобы можно было переносить данные из любого места.