Forwarded from Brodetskyi. Tech, VC, Startups
Как некомпетентные разработчики приложений открывают доступ к вашим данным
Исследователи компании CheckPoint проанализировали популярные Android-приложения и нашли популярные ошибки в конфигурации сторонних сервисов, из-за которых пострадала безопасность пользовательских данных: это незапароленные базы данных, сторонние сервисы для рассылки пуш-уведомлений и облачные хранилища, ключи от которых хранятся в самом приложении или плохо зашифрованы.
While investigating the content on the publicly available database, we were able to recover a lot of sensitive information including email addresses, passwords, private chats, device location, user identifiers, and more. If a malicious actor gains access these data it could potentially result in service-swipes (ie. trying to use the same username-password combination on other services), fraud, and identity theft.
Среди дырявых приложений: астрологический прогноз с незапароленной базой данных (10 млн скачиваний), приложение такси с данными пользователей в открытом доступе (50 тысяч скачиваний), скрин рекордер с незащищенным облачным хранилищем (10 миллионов скачиваний), приложение для отправки факсов с открытым доступом к облаку с документами пользователей (500 тысяч скачиваний).
Всего 23 приложения поставили под угрозу данные более 100 миллионов пользователей. Просто из-за криворукости разработчиков.
Исследователи компании CheckPoint проанализировали популярные Android-приложения и нашли популярные ошибки в конфигурации сторонних сервисов, из-за которых пострадала безопасность пользовательских данных: это незапароленные базы данных, сторонние сервисы для рассылки пуш-уведомлений и облачные хранилища, ключи от которых хранятся в самом приложении или плохо зашифрованы.
While investigating the content on the publicly available database, we were able to recover a lot of sensitive information including email addresses, passwords, private chats, device location, user identifiers, and more. If a malicious actor gains access these data it could potentially result in service-swipes (ie. trying to use the same username-password combination on other services), fraud, and identity theft.
Среди дырявых приложений: астрологический прогноз с незапароленной базой данных (10 млн скачиваний), приложение такси с данными пользователей в открытом доступе (50 тысяч скачиваний), скрин рекордер с незащищенным облачным хранилищем (10 миллионов скачиваний), приложение для отправки факсов с открытым доступом к облаку с документами пользователей (500 тысяч скачиваний).
Всего 23 приложения поставили под угрозу данные более 100 миллионов пользователей. Просто из-за криворукости разработчиков.
Check Point Research
Mobile app developers’ misconfiguration of third party services leave personal data of over 100 million exposed - Check Point Research
Research by: Aviran Hazum, Aviad Danin, Bogdan Melnykov, Dana Tsymberg and Israel Wernik, Intro Modern cloud-based solutions have become a standard in the mobile application development world. Services such as cloud-based storage, real-time databases, notification…
Forwarded from Журнал «Код»
🧐 Что случилось: придумали новое ПО для фишинга — LogoKit. Он меняет текст и логотипы на фишинговой странице в реальном времени для быстрой адаптации к запросам жертв. Кроме того, он автоматически подтягивает электронную почту жертвы в поле адреса электронной почты или логина, чтобы жертва подумала, что уже заходила на этот сайт раньше. LogoKit представляет собой набор файлов JavaScript, он очень мал, может спокойно распространяться на общедоступных сервисах и не требует сложных настроек сервера.
Звучит как реклама, но на самом деле это страшный вредоносный софт, из-за которого сотни тысяч человек могут стать жертвами мошенников.
За последний месяц этой штукой оказалось заражено более 700 сайтов, среди них страницы входа Adobe Document Cloud, OneDrive, Office 365 и несколько криптовалютных обменников.
Почитать и посмотреть образцы фиш-ссылок: https://community.riskiq.com/article/a068810a
Звучит как реклама, но на самом деле это страшный вредоносный софт, из-за которого сотни тысяч человек могут стать жертвами мошенников.
За последний месяц этой штукой оказалось заражено более 700 сайтов, среди них страницы входа Adobe Document Cloud, OneDrive, Office 365 и несколько криптовалютных обменников.
Почитать и посмотреть образцы фиш-ссылок: https://community.riskiq.com/article/a068810a
Forwarded from Журнал «Код»
🤔 Что случилось: у администраторов сообществ появился фильтр для борьбы с агрессивными пользователями — блокирует комментарии с угрозами или обещаниями физической расправы. Фильтр по умолчанию отключён и срабатывает после ручного изменения настройки сообщества.
🙃 Как: в основе фильтра лежит обученная нейросеть, способная с 80%-й точностью оценивать контекст разговорной речи. Вместе с нейросетью работают алгоритмы, которые в фоновом режиме мониторят сообщество и мгновенно реагируют на нежелательные высказывания.
🙃 Зачем: чтобы уменьшить травлю в соцсетях и усложнить жизнь троллям.
❌ Проблема: фильтр появился только у половины администраторов соцсети. Остальным придётся подождать, пока разработчики закончат тестирование.
💪 Перспектива: разработчики планируют повысить точность нейросети и расширить её возможности — сделать так, чтобы она защищала от оскорблений на основе национальной принадлежности или по иным признакам нетерпимости.
👉 Подробности: https://vk.com/press/communities-hate-speech
🙃 Как: в основе фильтра лежит обученная нейросеть, способная с 80%-й точностью оценивать контекст разговорной речи. Вместе с нейросетью работают алгоритмы, которые в фоновом режиме мониторят сообщество и мгновенно реагируют на нежелательные высказывания.
🙃 Зачем: чтобы уменьшить травлю в соцсетях и усложнить жизнь троллям.
❌ Проблема: фильтр появился только у половины администраторов соцсети. Остальным придётся подождать, пока разработчики закончат тестирование.
💪 Перспектива: разработчики планируют повысить точность нейросети и расширить её возможности — сделать так, чтобы она защищала от оскорблений на основе национальной принадлежности или по иным признакам нетерпимости.
👉 Подробности: https://vk.com/press/communities-hate-speech
Forwarded from Журнал «Код»
This media is not supported in your browser
VIEW IN TELEGRAM
Нашли новый способ кражи денег с бесконтактных карт.
Хорошо, что это исследователи балуются, а не настоящие хакеры.
😱 Что случилось: нашли ещё один способ угонять деньги с бесконтактных кредитных карт в обход пин-кода. Летом прошлого года смогли хакнуть карты Visa. В этом году добрались до Maestro и Mastercard.
🙂 Но: информацию уже передали в Мастеркард.
👩💻 Кто: инженеры Швейцарской высшей технической школы Цюриха.
#новости_код
Хорошо, что это исследователи балуются, а не настоящие хакеры.
😱 Что случилось: нашли ещё один способ угонять деньги с бесконтактных кредитных карт в обход пин-кода. Летом прошлого года смогли хакнуть карты Visa. В этом году добрались до Maestro и Mastercard.
🙂 Но: информацию уже передали в Мастеркард.
👩💻 Кто: инженеры Швейцарской высшей технической школы Цюриха.
#новости_код
Forwarded from Aleksey
Программные патчи для автомобилей станут обязательными и регулярными
https://habr.com/ru/post/559054/?utm_source=habrahabr&utm_medium=rss&utm_campaign=559054
https://habr.com/ru/post/559054/?utm_source=habrahabr&utm_medium=rss&utm_campaign=559054
Хабр
Программные патчи для автомобилей станут обязательными и регулярными
Автомобиль Tesla Model 3 взломали с мультикоптера (для зрелищности), источник Автомобили Tesla по умолчанию подключаются к любой точке WiFi с идентификатором S...
Forwarded from Aleksey
Исследователи получили доступ к чужому Wi-Fi, взломав «умные» розетки
https://tproger.ru/news/issledovateli-poluchili-dostup-k-chuzhomu-wi-fi-vzlomav-umnye-rozetki/
https://tproger.ru/news/issledovateli-poluchili-dostup-k-chuzhomu-wi-fi-vzlomav-umnye-rozetki/
Tproger
Исследователи получили доступ к чужому Wi-Fi, взломав «умные» розетки
При этом виной всему использование небезопасного протокола HTTP при передаче данных и ненадёжных заводских паролей, установленных производителями.
Forwarded from Aleksey
Произошла крупнейшая в истории утечка паролей. Под ударом все пользователи интернета - CNews
https://www.cnews.ru/news/top/2021-06-08_proizoshla_krupnejshaya_v_istorii
https://www.cnews.ru/news/top/2021-06-08_proizoshla_krupnejshaya_v_istorii
CNews.ru
Произошла крупнейшая в истории утечка паролей. Под ударом все пользователи интернета - CNews
В свободном доступе в Интернете оказался файл с 8,2 млрд паролей. Это больше всего населения Земли и почти вдвое больше суммарного количества пользователей интернета. Вероятность взлома при помощи...
Бежим участвовать в летней школе CTF для прокачки своих скиллов по инфобезу:
https://ctfnews.ru/news/1740
https://ctfnews.ru/news/1740
Наберём человек 15 введу голосовалку по тематике канала:) чтоб и правда было полезно, а пока так 👽💫👽
Кто не любит читать,любит смотреть, нашла раритетные видео, делала видеоподкасты в PwC , по кибербезу естессно)
https://youtube.com/playlist?list=PLkYGN9S9a9RbI_KeDW5Q3pZolyMNDsmWr
Кому интересно мысли вслух от таких компаний как Тинькофф, GroupIB, Страховая компания по киберрискам и прочее, go!).
https://youtube.com/playlist?list=PLkYGN9S9a9RbI_KeDW5Q3pZolyMNDsmWr
Кому интересно мысли вслух от таких компаний как Тинькофф, GroupIB, Страховая компания по киберрискам и прочее, go!).
Forwarded from Журнал «Код»
😱 Что случилось: инженерный совет интернета IETF принял в качестве стандарта транспортный протокол связи QUIC, который был создан в качестве эксперимента в Google. В ближайшие годы QUIC может заменить TCP — один из основных протоколов передачи данных с 1974 года.
🤨 И что: для простых пользователей — ничего особенного, просто любимый сериал будет грузиться немного быстрее. Согласно исследованиям, QUIC ускоряет поиск на 8% на компьютерах и на 4% — на смартфонах.
🤨 И что: для простых пользователей — ничего особенного, просто любимый сериал будет грузиться немного быстрее. Согласно исследованиям, QUIC ускоряет поиск на 8% на компьютерах и на 4% — на смартфонах.