История со взломом Facebook, о которой стало известно вчера, обрастает новыми деталями, от которых не становится комфортнее, а очень даже наоборот.

Сейчас речь идёт о 90 миллионах учетных записей (точно подтверждённые 50 млн и еще дополнительно 40 млн, которых это могло затронуть). Взлом заключается в том, что хакеры украли доступ к токенам доступа этих пользователей. Токен может генериться мобильным приложением, для того, чтобы когда пользователь загружает веб-страницу с каким-то модулем Facebook, пользователь оставался залогинен в свой аккаунт. В нем нет пароля, но поскольку токен позволяет пользователю оставаться залогиненным, то это означает, что хакеры могли полностью контролировать учетную запись пользователя. Потенциально, как я понимаю, это означает, что даже если у вас в учетной записи была настроена двухфакторная авторизация, то она от этого взлома не защищала.


Для взлома были использованы три уязвимости в загрузчике видео на Facebook, которые относились к функциональности «просмотреть свой аккаунт как будто ты другой человек». Эта функциональность существует для того, например, чтобы вы, создавая пост, который надо спрятать от кого-то, могли посмотреть как будто вы этот «кто-то», чтобы убедиться, что пост ему не виден. (Например, вы пишите пост о своей новой девушке, и хотите убедиться, что ваша бывшая девушка этого поста не увидит) Это не давало вам доступа к аккаунту этого «кого-то», просто позволяло просматривать ваши записи, как будто это он. Короче, комбинация этой функциональности и трёх багов в загрузчике видео приводили к тому, что загрузчик генерил токен для того пользователя, которым надо было прикинуться, таким образом давая возможность войти этим аккаунтом. УПС

Технически, говорят, у злоумышленников с токенами могла быть возможность использовать их для доступа к сторонним приложениям и сайтам, где вы использовали аккаунт Facebook для создания учетной записи. Хотя Facebook утверждает, что у них нет свидетельств того, что это произошло.

Возникает вопрос о том, что же именно хотели злоумышленники (и кто они), и на это ответов пока что нет. Теоретически, получив доступ к аккаунту, можно разослать по контактам информацию с просьбой прислать денег, или разослать вредоносные ссылки. Может быть, они хотели собрать скрытую/приватную информацию, которая есть у этих пользователей, начиная от информации в профиле и заканчивая перепиской. Геоинформация, номера телефонов, информация о всех ваших друзьях (а на уровне доступа к 50 млн аккаунтов это означает, что могли выкачать списки вообще всех миллиардов пользователей Facebook). Короче, чем больше об этом думаю, тем это все выглядит неприятней.

И традиционный вопрос - что с этим делать. Если вы не готовы полностью удалить аккаунт Facebook, то стоит сделать следующее:
1. Это хороший повод сменить пароль, особенно если он у вас не сильно сложный, или повторяется на других сайтах (кстати, на этих сайтах, если там использует со тот же логин, тоже лучше поменять)
2. используйте это как знак для того, чтобы настроить двухфакторную аутентификацию (даже если в этом случае она не могла защитить, она поможет в другом каком-нибудь случае)
3. Изучите историю доступа к вашему аккаунту в Facebook (надо зайти на страницу Security and Login и там найти раздел локаций для логина) Я там вчера вечером обнаружил какой-то странный логин из Нью-Йорка за несколько часов до аудита, хотя я живу совсем не в НЙ, и у меня включена 2ФА
4. Изучите список подключённых к вашему аккаунту приложений и сервисов. Подумайте над тем, чтобы отключить те, которыми вы уже не пользуетесь. Если там есть что-то критичное из сервисов, то подумайте над тем, чтобы изменить в этом сервисе вход с «через фейсбук» на вход со своим логином. Вся эта история с single sign on через Facebook или Google удобная, конечно, но в случае со взломом таких сервисов может привести к нереальной катастрофе.
И, главное, никакого интернета! От него все зло!

Недавно в мой адрес высказал претензии известный журналист Юрий Синодов. И еще мы немного поспорили (ну как поспорили, скорее я неумело потроллил) с журналисткой Ксенией Болецкой. Речь шла о том, не слишком ли некоторые, вроде меня, ругают ВКонтакте . И я решил продолжить этот разговор в эфире. Вот тут можно поглядеть
https://youtu.be/SP5qDq1UJko

Информация про якобы вариант обмена Сенцова на Бута, Ярошенко и Бутину делает удобными объяснения в случае со смертью Сенцова (мы хотели, но американцы пожадничали) и подкручивает вентилятор "Своих не бросаем" ("Даже Сенцова готовы были отдать"), ну и бонусом освежает антиамериканскую риторику ("Пиндосы вписываются за Украину, значит, есть у них интерес"). Уверен, переговоров таких нет. Разве что, заявление о возможных намерениях. Требования завышенные, но это как раз никогда никого не удивляет, на то и торг.

Вспоминал недавно фильм АССА, и он тоже актуален сегодня. Как напомнил мне сегодня один из читателей, чем Баширов не Боширов, например
https://www.youtube.com/watch?v=_UbEUDWO1E4&ab_channel=YuraTay

Кроме отдельных, очень точечных и персональных позитивных моментов, вроде того, о чем пишет Павел Чиков, не вижу особых поводов для радости от частичного смягчения 282-й статьи. Да, по ней будет труднее посадить быстро, поэтому переориентируются на другие - 280, 148 итд. Зато можно будет выполнять план по административкам. А нарисовать одному и тому же человеку по одной картинке административку, а по другой - уже уголовку - не такое уж сильное увеличение трудозатрат.
Так что сущностно мало что изменится - как сажали за слова или даже картинки, так и будут сажать. Зато Владимир Владимирович, который и раньше-то говорил, что у нас "не 37-й год, воронок не приедет", теперь по этой теме вообще весь в белом.
Тут две проблемы: карательная система, которая заточена на посадки как результат своей деятельности и законодательная нацеленность государства на посадки за мыслепреступления. Пока оба эти обстоятельства не будут коренным образом изменены, говорить о какой-либо либерализации - бессмысленно, это все незначительные оттенки. Вам закрутили 88 гаек, и на полоборота открутили одну.

Только дошли руки ответить Олегу Кашину, который в своем резонансном и уже вызвавшем много откликов тексте, комментируя деанон 12 сотрудников ГРУ, один из которых, возможно, Петров, пишет:

"В противостоянии российского государства с другими государствами никаких моральных оснований для выбора в пользу иностранцев нет. Ни одно государство на свете не заинтересовано в том, чтобы обычным русским людям было хорошо, и вставая на сторону чужой разведки и чужого государства, российский гражданин делает сознательный выбор не в пользу российских граждан."

Надо учесть, что в следующем после "списка 12-ти" абзаце Канев пишет:
"Настоящие фамилии этих «студентов РГГУ» не фигурируют ни в каких базах данных, а в сети удалены не только их аккаунты, но даже профайлы их жен и детей. Вероятно, в настоящее время у них новые ФИО". То есть, так себе угроза, прямо скажем. Но, возможно, я недооцениваю, оставим этот пункт нулевым, которым можно пренебречь.

История с отравлением Скрипалей - это вовсе не противостояние с другими государствами. Это либо месть предателю, либо, во что я верю больше - устранение свидетеля. Другого государства тут нет, есть гражданин России Сергей Скрипаль, против кторого проводится спецоперация. В результате которой серьезно пострадавшей оказывается гражданка России, несколько граждан Великобритании, одна из которых - умирает. Ни один из этих людей не имеет отношения к "другому государству", то есть, к структурам с которым по Кашину противодействует наше государство. Кстати, это точно оно противодействует? Точно спецоперация - это спецоперация государства, а не инициатива внутри одной структуры? Вот бойцы батальона "Север" убивали Немцова от имени государства или как? Ну так и здесь, мне кажется, рассматривать историю со Скрипалями как элемент противостояния двух государств - слишком большое допущение, чтобы не позволить себе расследования и обнародования его результатов. Более того, если мы исходим из того, что офицеры ГРУ под видом государственоой операции решают проблемы конкретных людей, которых Скрипаль, скажем, сдал как коррупционеров, и из-за этой спецоперации Россия попала под санкции, то деанон этих офицеров ГРУ - это работа не против российских интересов, а на благо.

Во втором предложении замените "русский" на "немецкий", а "российский" на "германский" и представьте, что это о сороковых годах прошлого века. Я не хочу назвать Путина Гитлером, я к тому, что описанная Олегом формула точно не универсальна.

Еще одна цитата Кашина, чисто из области моей любимой псевдонауки психологии: "Многие антипутински настроенные россияне погорели на этом в 2014 году, когда неприязнь к российской власти у них как-то сама собой конвертировалась в симпатии к батальону «Азов» и СБУ. "
Мне кажется, у Олега неприязнь к некоторой части российской ителлигенции тоже как-то автоматически конвертируется в симпатии к определенным кругам или персонам. Или, если хотите, к определенной политике.

"Международный публичный интерес к ГРУ ставит сегодня перед антипутински настроенными россиянами вопрос о допустимости государственной измены". По-моему, он вообще такого вопроса не ставит. Гораздо важнее вопрос, к каким конкретно результатам привела, какую пользу принесла деятельность этого ведомства и его сотрудников, которые с боевыми отравляющими веществами, официально не существующими в нашей стране, отправляются убивать российских и иностранных граждан. И не менее важен вопрос, почему они действуют настолько профессионально , что их вот так просто деанонимизируют журналисты. И такой деанон нельзя не приветствовать хотя бы и по этому признаку: непрофессиональные спецслужбы вредны и опасны.

Тем не менее, Олег - молодец. Тролль в самом лучшем смысле этого слова: умеет подсветить тему так, что всем тут же хочется ответить. Вот и я не удержался, извините за много букв.

Эфир про Петербург и отставку Полтавченко с поста губернатора — на питерском Эхе с 19.47 до 21.00. Слушайте!

Расшарьте, пож

Питерский эфир эха в Youtube https://m.youtube.com/watch?v=Bm0Tjt3lr-A

Полиция Смоленска начала проверять телефоны жителей города на наличие Telegram. https://mbk.sobchakprotivvseh.ru/news/policiya-smolenska-nachala/

В Москве патрули и оперативники уже давно применяют такой метод. Ещё любят последние вбитые координаты в Яндекс/Гугл/maps.me изучить.

Менты первым делом смотрят последние открытые приложения на телефоне. В Фото ищут сохранённые на телефон фото закладок, в телеге Контакты и переписку, в картах последние координаты. А если у вас ещё и TOR browser скачен - вам совсем пиздец.
А самое смешное, что айфон «подозреваемого» теперь можно просто сунуть ему же в рожу для разблокировки. 21-й век )

Что же выдало Штирлица? Ну не волочащийся же сзади парашют https://news.1rj.ru/str/rtvimain/2316

Вы, кстати, сами отчитывались за командировки? Мне вот много раз приходилось. Это же просто ад!

Все чеки нужно было хранить, посадочные талоны - тоже. Не дай Бог потеряешь! В бухгалтерии сожрут!

Уверена, что и в ГРУ бухгалтерши злобные. Поэтому с чеками обращаются бережно!

Потом, зарубежная командировка - это отдельное приключение. И ведь ещё нужно было творческий отчёт написать. Интересно, в ГРУ такие пишут?

В этом ролике - иллюстрация отношения власти к народишку в целом https://youtu.be/8VqXuPpnt8k
В кадре - чванство начальства и произвол с незаконным задержанием ни за что, а за кадром - карманный суд.

Привет

Сегодня публикую первое интервью,.для канала День Радио.
Его любезно согласился дать известный российский журналист, блогер и ведущий радиостанции «Эхо Москвы» - Александр Плющев.

Прочитать его можно по ссылке.

ВКонтакте сделало Transparency Report, который вовсе не Transparency Report tjournal.ru/77799
И над этим они трудились полтора месяца?

МБХ медиа вчера заблокировали и на ресурсе sobchakprotivvseh.ru. Сочувствую коллегам, которые делают этот ресурс, восемь месяцев назад их заблочили на mbk.media. Тогда их приютила кандидат в президенты Ксения Собчак, которой было можно даже про оккупацию Крыма по телику говорить, не то что зеркало одного из изданий Ходорковского на свой сайт поместить. Но после публикаций Канева про коллег Чепиги, видимо, и этот ресурс исчерпался.
Теперь, как я понимаю, в соцсетях расшаривают ссылку на канал в Яндекс.Дзен. Интересно понаблюдать за развитием событий, поскольку, если я правильно понимаю, отдельный канал не так-то просто заблокировать на уровне провайдеров - не все они это технически могут. И это попросят сделать сам Яндекс.Дзен.
Но вообще, вот эти кошки-мышки - какое-то бессмысленное занятие с постоянными потерями трафика. Впрочем, что это я, нравится терять читателей - так флаг в руки. Хотел только скромно заметить, что всем, кого блокируют, от Дурова до Ходорковского, неплохо бы объединить усилия на этой почве. Тем более, позитивные примеры цифрового сопротивления у всех перед глазами. Особенно, если вы читаете этот текст в России без использования средств обхода блокировок.

Глава Чечни Рамзан Кадыров в телеграм-канале сообщил, что в Грозном в честь дня рождения президента РФ Владимира Путина установлен самый высокий флагшток в России - 73,5 метра.

Я правильно понимаю, что это намек на то, что Путин будет у власти еще 7.5 лет?

​​Очень хорошо.
Мы с вами делаем лжецам и людоедам из руководства ВКонтакте и MRG больно.
Все эти кульбиты ужа на сковородке, даже позорные и нелепые, вроде недавнего «tansparency report» без единой цифры — это потому, что они начали терять бабло.

Напомню, что прямо сейчас — идеальный момент, чтобы удалить страницу ВК.
Если вы сделаете это сейчас, то вы не только сделаете людоедам ещё больнее, но и гарантированно выведете себя из-под угрозы уголовного дела.

Убеждайте друзей, знакомых и родных удалить страницу ВК.

Когда Влад Здольников или Леонид Волков пишут про сливающий своих пользователей ВКонтакте и призывают оттуда выпилиться, у меня наступает небольшой когнитивный диссонанс. Потому что потом я вижу у Алексея Навального призывы на акции, которые координируются через... группы ВКонтакте. И все понимают: аудитория Навального - она там, ВКонтакте, массово уходить оттуда особо не планирует даже под угрозой посадки за репост. В свою очередь и Навальный от такого медийного ресурса отказываться не собирается. Хотя вряд ли он не понимает, что именно для его сторонников пребывание во ВКонтакте наиболее опасно.

Вчера в Точке мы говорили о русской Википедии, где появилась уже полуторамиллионная статья. Правда, оснований для радости немного: в Википедию пишут все менее и менее охотно, новые авторы статей появляются реже, а пожертвования фонду Викимедиа, который содействует развитию Википедии практически прекратились. Прошлые годы Викимедиа поддерживал Яндекс, в этом году, как говорят в ВИкимедиа, без объяснения причин денег не дал.
Я вот думаю, Википедией каждый пользуется пратически ежедневно. Да, мы ее ругаем, мы ей бываем недовольны, статьи там не всегда точны или полны, но никто не мешает нам самим исправить это. Как редактированием и написанием статей, так и пожертвованиями. Если мы худо-бедно можем набрать Медиазоне, то почему бы не отправить сотню-другую Викимедиа? Википедия уже принесла вам пользы на гораздо большую сумму, чем от вас требуется.

Обращает на себя внимание количество подробностей и скорость, с которой Каневу стала известна информация о разгромном совещании в Минобороны. Это говорит (если, конечно, отбросить вариант, что Канев так красочно и убедительно фантазирует) о качестве источника, его высоком положении или уровне доступа и осведомленности. Если детали таких совещаний так быстро утекают, то и остальному удивляться не приходится. Ну и вопросы насчёт этичности работы по деанону грушников отпадают, при таком уровне конфиденциальности их данные защищены немногим больше, чем будучи в открытом доступе. Если Канев узнает о подробностях секретного совещания через сутки, иностранные разведки узнают об этом точно не позже.