Пока ведётся работа по выпуску CentOS 8 (активно ведётся, так как много кто ждет этого релиза) (en):

https://wiki.centos.org/About/Building_8

Тем временем уже анонсирован релиз EPEL 8 с набором пакетов из Fedora (en):

https://lists.fedoraproject.org/archives/list/epel-announce@lists.fedoraproject.org/thread/HXFHAPXPG2FX4NHP2WDNE3J3JXE53LML/

В Firefox можно было скопировать сохраненные пароли в обход мастер-пароля. Посвящается всем, кто хранит пароли в этом браузере (и возможно тем, кто через него проверяет утек его пароль или нет 😄)

https://nakedsecurity.sophos.com/2019/08/15/firefox-fixes-master-password-security-bypass-bug/

Недавно была шумиха по поводу взлома банка Capital One, сервера которого крутились в AWS....

Разбор полета, достаточно простыми словами:

https://m.habr.com/ru/post/463317/

Microsoft обновила (или обновило или обновили, кому, как удобнее) политику конфиденциальности... Где в разделе "How we use personal data" (конец данного раздела) указанно, что они в том числе в ручную слушают голосовые данные (они же Skype, Cortana)...

https://privacy.microsoft.com/en-US/privacystatement

Обход блокировок на основе IP в AWS при помощи AWS API Gateway + Burp Suite:

https://rhinosecuritylabs.com/aws/bypassing-ip-based-blocking-aws/

За ссылку спасибо @clevergod

Ну а мы продолжаем ждать CentOS 8

https://blogs.oracle.com/linux/announcing-oracle-linux-7-update-7

Мне как-то попалась целая библиотека фейковых страниц стилизованных под 100500 сервисов Microsoft...

Теперь вот фишинг 404 страницы)

https://www.anti-malware.ru/news/2019-08-19-111332/30483

Знаю многие используют, поэтому положу сюда:
http://www.opennet.ru/opennews/art.shtml?num=51315

Натолкнулся на статью про межсетевой экран Zyxel, давно не видел демонстрации решений от этого производителя, похоже ребята вышли на совершенно другой уровень:

https://habr.com/ru/company/zyxel/blog/461975/

Покопав тему, оказалось, что у Zyxel есть даже официальная группа поддержки @zyxelru

Слава FaceApp породила множество последователей.
Вот один из них.
Расчёт на молодёжь, но мы то с Вами знаем, "сколько стоит" наша биометрия. )

Selfie2Anime
https://selfie2anime.com/

Узнал о таком мероприятии, с бесплатным посещением и с таким количеством и качеством докладов, будут известные / грамотные докладчики (да что говорить, некоторых сам лично знаю), все судя по всему должно быть по феншую, сам фестиваль будет на днях в СПБ...

У кого есть возможность рекомендую заглянуть на сайт фестиваля за получением подробностей - https://c-c.ru

Кратко описание - Фестиваль ​Chaos Constructions 2019 — Санкт-Петербургский компьютерный фестиваль: DemoZone, HackZone, ретро-зона (выставка ретро-компьютеров), выставка IT-компаний и большая конференция для разработчиков и специалистов в 4 потока с самыми актуальными докладами

Теперь GitHub сканирует, понимает и алертит, если найдёт токены от Atlassian, Dropbox, Discord, Proctorio и Pulumi..

Ищет в пуш реквестах / коммитах / коде:
https://github.blog/2019-08-19-github-token-scanning-one-billion-tokens-identified-and-five-new-partners/

Очередной перл - как порно сайты могут быть опасны с точки зрения раскрытия конфиденциальных данных:
- Имя пользователя
- Адреса электронной почты
- Журналы активности пользователей (дата присоединения, последний вход)
- Страна проживания / местоположение
- Пол

Расписаны сценарии, как это можно использовать, понято, что авторы пытаются пропиарить свой сервис, но это не отменяет эпичной простоты исследования 😁

https://www.vpnmentor.com/blog/report-luscious-data-breach/

Фаталити:
https://security.googleblog.com/2019/08/protecting-chrome-users-in-kazakhstan.html?m=1

Интернет гиганты разрабатывают роботов убийц, которые смогут принимать решение (убивать или нет) самостоятельно, без участия человека:

https://www.paxforpeace.nl/newsroom/major-tech-companies-may-be-putting-world-at-risk-from-killer-robots

Многие используют *band устройства, в виде например, часов... для отслеживания своего здоровья...

Но что отслеживают производители этих часов и ПО работающего с ними?

Небольшая выдержка из политики конфиденциальности одного из производителей:

Автоматический сбор данных.
Мы можем собирать определенную информацию автоматически через наши веб-сайты, продукты, службы или другие методы анализа, в частности IP-адрес, идентификаторы файлов cookie, информацию о мобильном операторе, мобильные рекламные идентификаторы, MAC-адрес и другие идентификаторы устройства, автоматически присваиваемые вашему компьютеру или устройству при доступе в Интернет, тип и язык браузера, информацию о местоположении, типе оборудования, операционной системе, провайдере интернет-услуг, страницах, которые вы посещаете до и после использования служб, дате и времени вашего визита, количестве времени, которое вы проводите на каждой странице, ссылках и страницах, которые вы просматриваете, а также других действий, связанных с использованием услуг, в частности настройках.

....


Мы можем собирать и использовать такие функции, как вход в вашу учетную запись с помощью ваших учетных данных Mi, WeChat, Google или Facebook (с вашего согласия), аватары, пол, адрес электронной почты, статусы в социальных сетях, которыми вы делитесь, псевдонимы, семейные связи, часовые пояса, языки и регионы.

Персональная информация о теле. Активируя Mi   Fit, вы указываете дату рождения, рост и вес. См. ниже по поводу информации о несовершеннолетних.

....

Далее кому интересно, может найти и почитать как эти данные далее используются у своего производителя, своих часов (там тоже есть на что обратить внимание)

....

Следишь за здоровьем? Не забывай, что могут следить за тобой, собирая вообще все о тебе, включая кровяное давление (помимо кук и прочего) 😉

DLL хайджекинг в бесплатной версии антивируса bitdefender (возможно подгрузить произвольную dll), производители говорят, что устранили уязвимость, так что можно обновляться.

Кто не знает, bitdefender один из топовых облачных антивирусов, работает практически на любых платформах...

https://www.bitdefender.com/support/security-advisories/untrusted-search-path-vulnerability-serviceinstance-dll-bitdefender-antivirus-free-2020/

Про фришный релиз можно прочитать / скачать на офф сайте:

https://www.bitdefender.com/solutions/free.html

Уязвимости Kubernetes могут позволить неавторизованному злоумышленнику вызвать состояние отказа в обслуживании (DoS):

https://groups.google.com/forum/m/#!topic/kubernetes-security-announce/wlHLHit1BqA

В некоторых каналах гуляет информация о запуске GRAM (см адрес на скриншоте). Всем быть внимательными и не попадаться на удочки. Официальные новости о запуске будут в официальных каналах тг.

Хостинговая компания Hostinger стала похоже жертвой атаки, в результате которой через Restful API слили хеши паролей, платежные данные пользователей, имена, IP адреса и тп... Порядка 14 млн учётных записей было скомпрометировано (14 млн, Карл!)

Новость в офф блоге:
https://www.hostinger.com/blog/security-incident-what-you-need-to-know/