Forwarded from Эксплойт | Live
Обнаружен первый вирус для компьютеров на Apple M1
Он может показывать рекламу и собирать данные из браузера своей жертвы.
Основная цель злоумышленников — заработок от коммерческих просмотров и продажи данных пользователей.
Это не новый вирус. Хакеры просто пересобрали x86-версию уже известного вируса Pirrit под архитектуру ARM.
Обнаружить эту угрозу стандартными способами невозможно.
К счастью, Apple уже заблокировала сертификат разработчика, с помощью которого подписывался вирус.
Он может показывать рекламу и собирать данные из браузера своей жертвы.
Основная цель злоумышленников — заработок от коммерческих просмотров и продажи данных пользователей.
Это не новый вирус. Хакеры просто пересобрали x86-версию уже известного вируса Pirrit под архитектуру ARM.
Обнаружить эту угрозу стандартными способами невозможно.
К счастью, Apple уже заблокировала сертификат разработчика, с помощью которого подписывался вирус.
Властей забеспокоили Telegram-боты, продающие персональные данные граждан
Ботов, которые продают инфу на людей становится все больше. Информацию можно найти почти о любом жителе страны, зная только ФИО или номер телефона. Учитывая то, как часто происходят утечки с разного рода сайтов, сервисов и баз данных(про ФИО и номера вообще молчу, так как это происходит постоянно), информации для поиска у ботов прибавляется.
За подписку или разовую оплату можно получить данные об объявлениях человека, почте, слитых паролях, данные машины, штрафах, ссылки на соц.сети, фото и тд. Раньше это было доступно только силовикам и продвинутым пользователям даркнета. Сейчас доступ уже массовый.
Владельцы ботов скупают утёкшие дампы данных и используют программы для Парсинга данных из открытых источников. Для запуска требуется виртуальный облачный сервер, затраты на покупку данных(их часто можно найти и бесплатно в открытых источниках).
Штрафы у нас сейчас за нарушение обработки персональных данных всего 3000. Это прописано в административном кодексе. Короче говоря, ответственность так себе, поэтому сдерживающих факторов для развития рынка нет.
Ботов, которые продают инфу на людей становится все больше. Информацию можно найти почти о любом жителе страны, зная только ФИО или номер телефона. Учитывая то, как часто происходят утечки с разного рода сайтов, сервисов и баз данных(про ФИО и номера вообще молчу, так как это происходит постоянно), информации для поиска у ботов прибавляется.
За подписку или разовую оплату можно получить данные об объявлениях человека, почте, слитых паролях, данные машины, штрафах, ссылки на соц.сети, фото и тд. Раньше это было доступно только силовикам и продвинутым пользователям даркнета. Сейчас доступ уже массовый.
Владельцы ботов скупают утёкшие дампы данных и используют программы для Парсинга данных из открытых источников. Для запуска требуется виртуальный облачный сервер, затраты на покупку данных(их часто можно найти и бесплатно в открытых источниках).
Штрафы у нас сейчас за нарушение обработки персональных данных всего 3000. Это прописано в административном кодексе. Короче говоря, ответственность так себе, поэтому сдерживающих факторов для развития рынка нет.
Индийский пентестер получил $5000 за обнаруженную уязвимость в iCloud
Вишал Бхарад - ещё один живой пример того, как можно получать доходы благими делами. Исследователь обнаружил уязвимость на сайте, хранившуюся в XSS, хотя изначально он искал дыры, связанные с CSRF(Cross-Site Request Forgety), IDOR(insecure Direct Object Referense).
Эксплуатация бага заключалась в создании нового документа или презентации и внедрении полезной XSS-нагрузки в поле имени. Для атаки нужно было поделиться ссылкой на вредоносный документ и убедить пользователя воспользоваться функцией Browse All Versions, после этого вредонос запускался в браузере жертвы.
Об уязвимости багхантер сообщил в августе, но Apple устранили ее осенью 2020. За это компания дала ему вознаграждение.
Вишал Бхарад - ещё один живой пример того, как можно получать доходы благими делами. Исследователь обнаружил уязвимость на сайте, хранившуюся в XSS, хотя изначально он искал дыры, связанные с CSRF(Cross-Site Request Forgety), IDOR(insecure Direct Object Referense).
Эксплуатация бага заключалась в создании нового документа или презентации и внедрении полезной XSS-нагрузки в поле имени. Для атаки нужно было поделиться ссылкой на вредоносный документ и убедить пользователя воспользоваться функцией Browse All Versions, после этого вредонос запускался в браузере жертвы.
Об уязвимости багхантер сообщил в августе, но Apple устранили ее осенью 2020. За это компания дала ему вознаграждение.
Разговоры пользователей Clubhouse утекли в сеть
Не прошло и месяца, а в Clubhouse уже есть первая утечка. На социальную сеть совершили атаку, в ходе которой хакер смог перенаправить аудио из нескольких комнат на сторонний сайт.
Для взлома хакер построил свою систему на основе алгоритма JavaScript.
Голосовая соц.сеть набирает обороты все больше. С начала месяца она превратилась из места, где можно было лампово обсудить какие-то темы и послушать интересных спикеров в место с большой аудиторией, где нужно следить за своими словами. Пользователи думают, что их разговоры приватны, но надо принять факт, что все разговоры записываются.
Кстати, социальная сеть Clubhouse использует для своих фоновых операций мощности китайской компании Agora. Через неё проходят обработка потоков данных и звука.
Не прошло и месяца, а в Clubhouse уже есть первая утечка. На социальную сеть совершили атаку, в ходе которой хакер смог перенаправить аудио из нескольких комнат на сторонний сайт.
Для взлома хакер построил свою систему на основе алгоритма JavaScript.
Голосовая соц.сеть набирает обороты все больше. С начала месяца она превратилась из места, где можно было лампово обсудить какие-то темы и послушать интересных спикеров в место с большой аудиторией, где нужно следить за своими словами. Пользователи думают, что их разговоры приватны, но надо принять факт, что все разговоры записываются.
Кстати, социальная сеть Clubhouse использует для своих фоновых операций мощности китайской компании Agora. Через неё проходят обработка потоков данных и звука.
Telegram
НеКасперский
Clubhouse передаёт в открытом виде ID пользователей и комнаты
Новая голосовая соц.сеть, в которой можно поговорить с Цукербергом или Илоном Маском не очень позаботилась о конфиденциальности пользовательских данных. Clubhouse использует разработки китайской…
Новая голосовая соц.сеть, в которой можно поговорить с Цукербергом или Илоном Маском не очень позаботилась о конфиденциальности пользовательских данных. Clubhouse использует разработки китайской…
Сайты больше не смогут маркировать пользователей и следить за ними
В Firefox 86 появилась защита cookie. То есть теперь для каждого посещаемого вами сайта создаётся отдельное хранилище для cookie-файлов.
Тем не менее Login with Facebook продолжают работать, используя средства контроля.
Система все равно будет делать исключения: это в том случае, если межсайтовые cookie-Файлы не используются для отслеживания пользователя.
В Firefox 86 появилась защита cookie. То есть теперь для каждого посещаемого вами сайта создаётся отдельное хранилище для cookie-файлов.
Тем не менее Login with Facebook продолжают работать, используя средства контроля.
Система все равно будет делать исключения: это в том случае, если межсайтовые cookie-Файлы не используются для отслеживания пользователя.
Forbes выпустил рейтинг самых дорогих компаний в рунете. Надо сказать, что за 2020 многие из них фантастически выросли. На первом месте «Яндекс», на последнем из 30-и - Amediateka.
Ещё 932 млн выделят на слежку в метро
Власти Москвы продолжают диверсифицировать систему слежки за жителями. В этот раз к камерам с системами распознавания прибавятся мультимедийные экраны, которые будут детектить лица. Ими оснастят 85 станций метро.
В тендерных документах сказано, что экраны будут показывать рекламу, сообщения московского метро, а также наблюдать за пассажирами: вести подсчёт людей, распознавать скопления и «праздношатания».
Система будет подключена к внешней рекламной платформе. К какой именно - не уточнили. Поэтому напрашивается вывод, что московские власти просто делают долгосрочные инвестиции для того, чтобы потом зарабатывать на продаже данных о поведении людей в метро маркетинговым и рекламным агентствам.
Власти Москвы продолжают диверсифицировать систему слежки за жителями. В этот раз к камерам с системами распознавания прибавятся мультимедийные экраны, которые будут детектить лица. Ими оснастят 85 станций метро.
В тендерных документах сказано, что экраны будут показывать рекламу, сообщения московского метро, а также наблюдать за пассажирами: вести подсчёт людей, распознавать скопления и «праздношатания».
Система будет подключена к внешней рекламной платформе. К какой именно - не уточнили. Поэтому напрашивается вывод, что московские власти просто делают долгосрочные инвестиции для того, чтобы потом зарабатывать на продаже данных о поведении людей в метро маркетинговым и рекламным агентствам.
В менеджере паролей LastPass нашли 7 трекеров
Обнаружил этот сюрприз немецкий исследователь безопасности Майк Кукетц, проверив сервис с помощью Exodus Privacy. Он нашёл трекеры от Google. Обычно они используют для аналитики и рекламы, но для приложения, которое обрабатывает конф.данные, интегрирование закрытых непрозрачных внешних кодов - плохо. Иногда сами разработчики не знают, какие именно данные собирают и передают эти трекеры.
Помимо гугловских трекеров есть ещё AppsFlyer, который собирал название оператора сотовой сети и Android, отсылающий идентификатор рекламы и идентификатор пользователя. Кстати, этот самый трекер Android можно использовать для отслеживания местоположения. Об этом уже давно говорят многие исследователи.
Отказаться от сбора данных в приложении LastPass нельзя, но компания говорит, что это можно сделать в настройках конфиденциальности. Ну и конечно же не обошлось без старой сказки про то, что трекеры собирают только анонимные статистические данные.
Есть как минимум два менеджера паролей, которые не используют трекеры: KeePass и 1Password. Пользуйтесь и будьте спокойны за пароли)
Обнаружил этот сюрприз немецкий исследователь безопасности Майк Кукетц, проверив сервис с помощью Exodus Privacy. Он нашёл трекеры от Google. Обычно они используют для аналитики и рекламы, но для приложения, которое обрабатывает конф.данные, интегрирование закрытых непрозрачных внешних кодов - плохо. Иногда сами разработчики не знают, какие именно данные собирают и передают эти трекеры.
Помимо гугловских трекеров есть ещё AppsFlyer, который собирал название оператора сотовой сети и Android, отсылающий идентификатор рекламы и идентификатор пользователя. Кстати, этот самый трекер Android можно использовать для отслеживания местоположения. Об этом уже давно говорят многие исследователи.
Отказаться от сбора данных в приложении LastPass нельзя, но компания говорит, что это можно сделать в настройках конфиденциальности. Ну и конечно же не обошлось без старой сказки про то, что трекеры собирают только анонимные статистические данные.
Есть как минимум два менеджера паролей, которые не используют трекеры: KeePass и 1Password. Пользуйтесь и будьте спокойны за пароли)
Facebook замутили новый способ собирать данные. Ребята собираются создавать очки с функцией распознавания лиц. Все конечно же оправдывают благими целями: избавим вас от неловкости, если на вечеринке забыли имя человека. Но наверняка знают о серьезных рисках проекта. И дело тут не в этичности или законности.
Забавно, как на фоне скандала с новой политикой WhatsApp и конфликтом с Apple(там хотят ограничить сбор данных пользователей приложениями и вводят свои правила) FB движется в сторону создания своих продуктов(смарт-часы для здоровья, а теперь вот очки).
В этом читается тенденция смещения фокуса компании со сбора персональных данных и последующей их продажи через свои приложения(FB, WhatsApp, Instagram, Messenger) на сбор данных через устройства. С часов можно будет продавать медицинские данные, например. Мало того, что мы даром отдаём компании свои данные для тренировки ее алгоритмов и заработка на таргетированной рекламе, теперь мы ещё будем во время прогулки собирать визуальные данные.
Вопрос такой: что будет, если кто-то удаленно взломает устройство? Все ближе к «Чёрному зеркалу» или реальности из фильма «Аноним»
Забавно, как на фоне скандала с новой политикой WhatsApp и конфликтом с Apple(там хотят ограничить сбор данных пользователей приложениями и вводят свои правила) FB движется в сторону создания своих продуктов(смарт-часы для здоровья, а теперь вот очки).
В этом читается тенденция смещения фокуса компании со сбора персональных данных и последующей их продажи через свои приложения(FB, WhatsApp, Instagram, Messenger) на сбор данных через устройства. С часов можно будет продавать медицинские данные, например. Мало того, что мы даром отдаём компании свои данные для тренировки ее алгоритмов и заработка на таргетированной рекламе, теперь мы ещё будем во время прогулки собирать визуальные данные.
Вопрос такой: что будет, если кто-то удаленно взломает устройство? Все ближе к «Чёрному зеркалу» или реальности из фильма «Аноним»
BuzzFeed.News
Facebook Is Considering Facial Recognition For Its Upcoming Smart Glasses
Facebook Vice President Andrew Bosworth told employees that the company is evaluating the legal and privacy issues around facial recognition for its upcoming wearable gadget.
⚡️Три популярных VPN для Android были взломаны
Базы данных трёх VPN-сервисов были плохо защищены. Теперь на теневом форуме продают данные 21 миллиона пользователей сервисов. Пострадали GeckoVPN, SuperVPN и ChatVPN.
Утечка содержит регистрационную информацию, адреса электронной почты, данные о платежах, дату истечения сроков премиум-аккаунтов и информацию об устройствах пользователей.
Хакер сообщает, что БД были общедоступными, а компании даже не обеспечили базовую защиту им. Исследователи говорят, что информации из утечки достаточно для атак на пользователей.
Базы данных трёх VPN-сервисов были плохо защищены. Теперь на теневом форуме продают данные 21 миллиона пользователей сервисов. Пострадали GeckoVPN, SuperVPN и ChatVPN.
Утечка содержит регистрационную информацию, адреса электронной почты, данные о платежах, дату истечения сроков премиум-аккаунтов и информацию об устройствах пользователей.
Хакер сообщает, что БД были общедоступными, а компании даже не обеспечили базовую защиту им. Исследователи говорят, что информации из утечки достаточно для атак на пользователей.
This media is not supported in your browser
VIEW IN TELEGRAM
На днях почти все написали о новой функции на сайте MyHeritage, которая позволяет оживить старые фотографии и портреты. А сегодня вот: в одном из пабов Ирландии висит такой портрет😂 Теперь представьте, что будет, когда уже выпито несколько бокалов эля
В России запретили парсинг данных 🔥
С первым днём весны начинают работать новые правила обработки персональных данных. По новым условиям требуется отдельное согласие человека на обработку и распространение. Раньше такое согласие только предполагалось и маскировалось всякими юридическими уловками(помните ведь «галочку» на сайте?)
Теперь граждане смогут устанавливать запрет на обработку и передачу перс.данных оператором(например, владельцем сайта) и требовать удаления информации. То есть россияне наконец-то станут полноправными хозяевами своих данных в интернете.
Бонусом - сайты должны будут удалять информацию по первому запросу владельца в течении трёх дней. Даже если вы когда-то сами выложили информацию в публичный доступ, можете смело требовать ее удаления. Увидели у кого-то в сторис скриншот вашей страницы в соц.сети - тоже можете требовать удаления. Это касается всех персональных данных по всем категориям: от номера телефона до домашнего адреса.
С первым днём весны начинают работать новые правила обработки персональных данных. По новым условиям требуется отдельное согласие человека на обработку и распространение. Раньше такое согласие только предполагалось и маскировалось всякими юридическими уловками(помните ведь «галочку» на сайте?)
Теперь граждане смогут устанавливать запрет на обработку и передачу перс.данных оператором(например, владельцем сайта) и требовать удаления информации. То есть россияне наконец-то станут полноправными хозяевами своих данных в интернете.
Бонусом - сайты должны будут удалять информацию по первому запросу владельца в течении трёх дней. Даже если вы когда-то сами выложили информацию в публичный доступ, можете смело требовать ее удаления. Увидели у кого-то в сторис скриншот вашей страницы в соц.сети - тоже можете требовать удаления. Это касается всех персональных данных по всем категориям: от номера телефона до домашнего адреса.
Forwarded from Эксплойт | Live
Google открыла Android Sleep API, с которым разработчики смогут отслеживать сон пользователя
Для Android уже есть много подобных приложений, однако они используют свои системы, у которых есть целый ряд недостатков.
Недавно выпущенный Sleep API будет использовать показания датчиков света и движения устройства, чтобы оценивать качество сна пользователя.
Естественно, отслеживать сон разработчики могут только с разрешения самого пользователя.
Так, например, эта система уже используется в приложении Sleep as Android.
Для Android уже есть много подобных приложений, однако они используют свои системы, у которых есть целый ряд недостатков.
Недавно выпущенный Sleep API будет использовать показания датчиков света и движения устройства, чтобы оценивать качество сна пользователя.
Естественно, отслеживать сон разработчики могут только с разрешения самого пользователя.
Так, например, эта система уже используется в приложении Sleep as Android.
Сервера будут размещать в жилых домах и офисных зданиях
Компания 3data(входит в десятку самых крупных поставщиков услуг ЦОДов в РФ) ведёт переговоры с девелоперами о размещении в жилых и офисных зданиях ЦОДов. В крупных комплексах уже на этапе проектирования должны быть заложены площади под установку серверных стоек. После окончания строительства 3data намерена выкупать эти площади, устанавливать серверные стойки и сдавать в аренду операторам.
Идея крутая, но операторам сейчас выгоднее покупать мощности у крупных компаний, так как их операционные расходы на содержание одного дата-центра в совокупности гораздо ниже, чем обслуживание серверных, раскиданных по городу. ЦОДы в ЖК могут пригодится для цифровых проектов вроде «умный жкх» и 5G в будущем. Но такие проекты пока что не очень распространены, поэтому их целесообразность не высокая.
Переговоры ведутся с группой «Самолет», «Пионером», ГК МИЦ, «Эталоном», «Ориентиром», ГК ФСК, Coldy и PNK Group.
Для справки:
14% - ежегодный рост числа серверных стоек в России, по данным iKS-Consulting.
Выручка коммерческих дата-центров за 2020 составила 43,8 млрд рублей.
Компания 3data(входит в десятку самых крупных поставщиков услуг ЦОДов в РФ) ведёт переговоры с девелоперами о размещении в жилых и офисных зданиях ЦОДов. В крупных комплексах уже на этапе проектирования должны быть заложены площади под установку серверных стоек. После окончания строительства 3data намерена выкупать эти площади, устанавливать серверные стойки и сдавать в аренду операторам.
Идея крутая, но операторам сейчас выгоднее покупать мощности у крупных компаний, так как их операционные расходы на содержание одного дата-центра в совокупности гораздо ниже, чем обслуживание серверных, раскиданных по городу. ЦОДы в ЖК могут пригодится для цифровых проектов вроде «умный жкх» и 5G в будущем. Но такие проекты пока что не очень распространены, поэтому их целесообразность не высокая.
Переговоры ведутся с группой «Самолет», «Пионером», ГК МИЦ, «Эталоном», «Ориентиром», ГК ФСК, Coldy и PNK Group.
Для справки:
14% - ежегодный рост числа серверных стоек в России, по данным iKS-Consulting.
Выручка коммерческих дата-центров за 2020 составила 43,8 млрд рублей.
Цитата дня:
«Блокировка иностранных соцсетей в России нереалистична» - Валентина Матвиенко
«Блокировка иностранных соцсетей в России нереалистична» - Валентина Матвиенко
В Telegram появилась новая схема вымогательства. Мошенники используют боты, собирающие персональные данные россиян для последующего шантажа. Один из ботов в помощь вымогателям -MailSearchBot, который создавался для проверки утёкших паролей.
В этих случаях упор делается на психологию и страх. Каждому есть, что скрывать и мошенники, понимая это, отправляют на эл.почту письмо с угрозой раскрыть историю действий в сети, если не получат выкуп. В качестве подтверждения «имеющейся информации» они прикладывают к письму последний использовавшийся пароль. А его как раз таки можно получить при помощи бота. Особо доверчивые и переживающие за свою репутацию отправляют мошенникам деньги.
Хотелось бы вас предостеречь и дать советы, которые уберегут при помутнении рассудка: ни в коем случае не платите деньги, если вас шантажируют; утечки паролей происходят, и такие боты проверяют эту информацию, но хороший способ уберечь себя придумали давно - используйте разные пароли, сложные пароли и пользуйтесь менеджерами паролей, не подключайтесь к общественным Wi-Fi сетям, настраивайте двухфакторную аутентификацию.
Пейте зелёный чай, будьте спокойны и не поддавайтесь манипуляциям.
https://www.kommersant.ru/doc/4711513
В этих случаях упор делается на психологию и страх. Каждому есть, что скрывать и мошенники, понимая это, отправляют на эл.почту письмо с угрозой раскрыть историю действий в сети, если не получат выкуп. В качестве подтверждения «имеющейся информации» они прикладывают к письму последний использовавшийся пароль. А его как раз таки можно получить при помощи бота. Особо доверчивые и переживающие за свою репутацию отправляют мошенникам деньги.
Хотелось бы вас предостеречь и дать советы, которые уберегут при помутнении рассудка: ни в коем случае не платите деньги, если вас шантажируют; утечки паролей происходят, и такие боты проверяют эту информацию, но хороший способ уберечь себя придумали давно - используйте разные пароли, сложные пароли и пользуйтесь менеджерами паролей, не подключайтесь к общественным Wi-Fi сетям, настраивайте двухфакторную аутентификацию.
Пейте зелёный чай, будьте спокойны и не поддавайтесь манипуляциям.
https://www.kommersant.ru/doc/4711513
Коммерсантъ
Мошенники научились ботать
Информацию из Telegram начали использовать для шантажа
Депутат Горелкин выпустил очередной рейтинг IT-компаний. Категории снова те же: лояльные, нейтральные и отмороженные.
Главный критерий - законопослушность.
https://telegra.ph/Internet-kompanii-i-gosudarstvo-Fevral-2021-g-03-02
Главный критерий - законопослушность.
https://telegra.ph/Internet-kompanii-i-gosudarstvo-Fevral-2021-g-03-02
У Microsoft в Twitter целый тред посвящён новым атакам с ПО Gootkit. Оно распространяется через дисковые загрузки в ZIP-файле в виде JavaScript и устанавливает C2, позволяя злоумышленникам взять контроль над устройством. Вредонос распространяется через ссылки в блогах на скомпрометированных сайтах.
https://mobile.twitter.com/msftsecintel/status/1366542130731094021
https://mobile.twitter.com/msftsecintel/status/1366542130731094021
Twitter
Microsoft Security Intelligence
We're seeing numerous extensive hands-on-keyboard attacks emanating from the Gootkit malware, which is distributed via drive-by downloads as a JavaScript within a ZIP file. The JavaScript is launched via WScript and establishes C2, enabling attackers to take…
Сегодня вышло сразу несколько обновлений, закрывающих уязвимости. Первое - обновление десктопной версии Chrome, в котором исправлена эксплуатируемая уязвимость CVE-2021-21166. Помимо неё устранили 7 критических уязвимостей. Технические подробности обещают, когда большая часть пользователей обновится.
Второе - обновление Microsoft Exchange. Патч исправил целых четыре 0-day уязвимости. С помощью эксплойт-кита, который принадлежит китайской APT Hafnium, хакеры могли осуществить RCE. Поэтому рекомендуем обновить свои почтовые сервера.
Второе - обновление Microsoft Exchange. Патч исправил целых четыре 0-day уязвимости. С помощью эксплойт-кита, который принадлежит китайской APT Hafnium, хакеры могли осуществить RCE. Поэтому рекомендуем обновить свои почтовые сервера.
Chrome Releases
Stable Channel Update for Desktop
The Chrome team is delighted to announce the promotion of Chrome 89 to the stable channel for Windows, Mac and Linux. This will roll out ove...