Очередная любопытная история со "случайным" сбором данных пользователей со стороны популярного Интернет-сервиса.
Вчера пользователь Twitter DonCubed обратил внимание на то, что LinkedIn считывает содержимое буфера обмена после каждого нажатия клавиши на виртуальной клавиатуре iPad. Более того, приложение также лезло в буфер привязанного MacBook.
Выяснилось это с помощью установленной беты iOS 14, которая позволяет узнать, когда приложение обращается к буферу обмена.
Ранее за таким же поведением было замечено приложение TikTok для iOS.
Представители TikTok назвали это фичей для борьбы с мошенничеством, а LinkedIn заявили, что это вообще баг и они ничего плохого в виду не имели. Обе компании пообещали в ближайшем времени убрать эту функцию из своих приложений.
Что китайские коммунисты, что американские империалисты - все хотят получить немного пользовательской информации. Следи за собой, будь осторожен (с).
Вчера пользователь Twitter DonCubed обратил внимание на то, что LinkedIn считывает содержимое буфера обмена после каждого нажатия клавиши на виртуальной клавиатуре iPad. Более того, приложение также лезло в буфер привязанного MacBook.
Выяснилось это с помощью установленной беты iOS 14, которая позволяет узнать, когда приложение обращается к буферу обмена.
Ранее за таким же поведением было замечено приложение TikTok для iOS.
Представители TikTok назвали это фичей для борьбы с мошенничеством, а LinkedIn заявили, что это вообще баг и они ничего плохого в виду не имели. Обе компании пообещали в ближайшем времени убрать эту функцию из своих приложений.
Что китайские коммунисты, что американские империалисты - все хотят получить немного пользовательской информации. Следи за собой, будь осторожен (с).
Twitter
Don 𝘧𝘳𝘰𝘮 urspace.io
LinkedIn is copying the contents of my clipboard every keystroke. IOS 14 allows users to see each paste notification. I’m on an IPad Pro and it’s copying from the clipboard of my MacBook Pro. Tik tok just got called out for this exact reason. https://t.co/l6NIT8ixEF
Немного пятничного вечернего.
Наткнулись на интересное объяснение логотипа VAIO одноименной линейки от компании Sony.
Логотип, действительно, необычный и вы наверняка хоть раз задумывались, что он означает. Ну, что же - объяснение на приложенной картинке.
Теперь у вас в голове еще на один забавный, но бестолковый, факт больше.
Наткнулись на интересное объяснение логотипа VAIO одноименной линейки от компании Sony.
Логотип, действительно, необычный и вы наверняка хоть раз задумывались, что он означает. Ну, что же - объяснение на приложенной картинке.
Теперь у вас в голове еще на один забавный, но бестолковый, факт больше.
Когда мы рассматривали северокорейскую APT Lazarus мы говорили, что в условиях недостатка финансирования со стороны государства хакерские группы из КНДР вынуждены часть своей активности посвящать коммерческому взлому. У Lazarus, например, для этого есть целое подразделение под названием Bluenoroff.
Вчера появилась очередная новость про деятельность как раз этой группы.
Исследователи инфосек компании Sansec обнаружили, что Lazarus как минимум с мая 2019 года получали данные платежных карт клиентов ряда крупных американских Интернет-магазинов. Среди скомпрометированных ресурсов - сайты международной сети по продаже аксессуаров Claire's, компаний Wongs Jewellers, Focus Camera и других.
В качестве основного доказательства причастности Lazarus к этой киберкампании ресерчеры называют использование вредоносной инфраструктуры, которая ранее была замечена в фишинговых атаках северокорейских хакеров.
Вчера появилась очередная новость про деятельность как раз этой группы.
Исследователи инфосек компании Sansec обнаружили, что Lazarus как минимум с мая 2019 года получали данные платежных карт клиентов ряда крупных американских Интернет-магазинов. Среди скомпрометированных ресурсов - сайты международной сети по продаже аксессуаров Claire's, компаний Wongs Jewellers, Focus Camera и других.
В качестве основного доказательства причастности Lazarus к этой киберкампании ресерчеры называют использование вредоносной инфраструктуры, которая ранее была замечена в фишинговых атаках северокорейских хакеров.
Sansec
North Korean hackers are skimming US and European shoppers
North Korean state sponsored hackers are implicated in the interception of online payments from American and European shoppers, Sansec research shows. Hacker...
В отрасли инфосек, кажется, назревает роутергейт.
Общеизвестно, что с информационной безопасностью домашних маршрутизаторов имеются определенные проблемы. И мы про них неоднократно писали - вот, например, последний пост.
Однако, перефразируя незабвенного особиста-контрразведчика из фильма ДМБ - дела оказались не просто плохие, а еще хуже.
Немецкий Институт связи Фраунхофера провел исследование 127 моделей маршрутизаторов от 7 ведущих брендов, подавляющее большинство которых (больше 90%) работает на Linux. Результаты обескураживают.
Ресерчеры не нашли ни одного (!) роутера не имеющего проблемы с информационной безопасностью:
- 46 маршрутизаторов из 127 за последний год не получили ни одного обновления безопасности;
- в тех маршрутизаторах, которые все-таки обновлялись, зачастую не исправлены известные уязвимости;
- некоторые из маршрутизаторов имеют легко подбираемые вшитые пароли, которые не может изменить пользователь;
- из большинства образцов прошивок можно вытащить закрытый криптографический ключ, что делает шифрование уязвимым.
Больше всего поразил исследователей тот факт, что большинство устройств работают с ядром Linux 2.6, которое было актуально в период с 2003 по 2011 год.
По степени безопасности производители расположились так - на первом месте AVM, дальше ASUS и Netgear, и в конце списка - D-Link, Linksys, TP-Link и Zyxel.
Самый худший результат показал маршрутизатор Linksys WRT54GL, работающий на Linux 2.4.20 выпуска 2002 года и подверженный 570 известным уязвимостям.
На этом фоне совершенно неудивительно, что периодически хакеры взламывают маршрутизаторы для создания бот-сетей и проникновения в домашние сети.
Общеизвестно, что с информационной безопасностью домашних маршрутизаторов имеются определенные проблемы. И мы про них неоднократно писали - вот, например, последний пост.
Однако, перефразируя незабвенного особиста-контрразведчика из фильма ДМБ - дела оказались не просто плохие, а еще хуже.
Немецкий Институт связи Фраунхофера провел исследование 127 моделей маршрутизаторов от 7 ведущих брендов, подавляющее большинство которых (больше 90%) работает на Linux. Результаты обескураживают.
Ресерчеры не нашли ни одного (!) роутера не имеющего проблемы с информационной безопасностью:
- 46 маршрутизаторов из 127 за последний год не получили ни одного обновления безопасности;
- в тех маршрутизаторах, которые все-таки обновлялись, зачастую не исправлены известные уязвимости;
- некоторые из маршрутизаторов имеют легко подбираемые вшитые пароли, которые не может изменить пользователь;
- из большинства образцов прошивок можно вытащить закрытый криптографический ключ, что делает шифрование уязвимым.
Больше всего поразил исследователей тот факт, что большинство устройств работают с ядром Linux 2.6, которое было актуально в период с 2003 по 2011 год.
По степени безопасности производители расположились так - на первом месте AVM, дальше ASUS и Netgear, и в конце списка - D-Link, Linksys, TP-Link и Zyxel.
Самый худший результат показал маршрутизатор Linksys WRT54GL, работающий на Linux 2.4.20 выпуска 2002 года и подверженный 570 известным уязвимостям.
На этом фоне совершенно неудивительно, что периодически хакеры взламывают маршрутизаторы для создания бот-сетей и проникновения в домашние сети.
Telegram
SecAtor
Два независимых исследователя Адам Николсон и d4rkn3ss обнаружили уязвимость, которая затрагивает 758 версий прошивки в 79 различных моделях маршрутизаторов Netgear.
Уязвимость существует с 2007 года и находится во вшитом web-сервере, она позволяет злоумышленнику…
Уязвимость существует с 2007 года и находится во вшитом web-сервере, она позволяет злоумышленнику…
Разработчики Signal тролят Telegram.
Ранее в воскресенье представитель Telegram Майк Равдоникас заявил в интервью Hong Kong Free Press, что мессенджер временно отклоняет запросы от властей Гонконга из-за принятия нового спорного Закона о национальной безопасности.
Правда Равдоникас заметил, что ранее Telegram не передавал никаких данных гонконгским органам. Как это согласуется с выражением "временно отклоняет" не совсем понятно.
На это разработчики Signal написали, что они бы тоже приостановили исполнение запросов гонконгской полиции, но дело в том, что они и не начинали раскрывать данные пользователей. И вообще у них этих данных и нет, так что и раскрывать нечего.
На этом фоне Signal занял первое место в чартах Android-приложений в Гонконге.
Ранее в воскресенье представитель Telegram Майк Равдоникас заявил в интервью Hong Kong Free Press, что мессенджер временно отклоняет запросы от властей Гонконга из-за принятия нового спорного Закона о национальной безопасности.
Правда Равдоникас заметил, что ранее Telegram не передавал никаких данных гонконгским органам. Как это согласуется с выражением "временно отклоняет" не совсем понятно.
На это разработчики Signal написали, что они бы тоже приостановили исполнение запросов гонконгской полиции, но дело в том, что они и не начинали раскрывать данные пользователей. И вообще у них этих данных и нет, так что и раскрывать нечего.
На этом фоне Signal занял первое место в чартах Android-приложений в Гонконге.
Twitter
Signal
We'd announce that we're stopping too, but we never started turning over user data to HK police. Also, we don't have user data to turn over. twitter.com/hkfp/status/12…
По поводу появившегося вчера анонса назначения Алексея Телкова из Теле2 на должность замглавы Минкомсвязи (по слухам, будет курировать телекоммуникационную отрасль) вместо товарища Иванова, не разделяем оптимизма профильных телекоммуникационных каналов.
И все из-за нашей любимой информационной безопасности.
Как нам подсказывают, при всех несомненных достоинствах кандидата у него есть два серьезных недостатка. Во-первых, Телков - человек весьма упертый, склонный сливать неинтересные ему проблемы в треш. А во-вторых, на вопросы инфосека он плевал с высокой колокольни.
С учетом и так имеющихся на сегодняшний день проблем с информационной безопасностью в телекоме, всякими безумными инициативами типа ЕИС ПСА, данное назначение выглядит не слишком обнадеживающим.
И все из-за нашей любимой информационной безопасности.
Как нам подсказывают, при всех несомненных достоинствах кандидата у него есть два серьезных недостатка. Во-первых, Телков - человек весьма упертый, склонный сливать неинтересные ему проблемы в треш. А во-вторых, на вопросы инфосека он плевал с высокой колокольни.
С учетом и так имеющихся на сегодняшний день проблем с информационной безопасностью в телекоме, всякими безумными инициативами типа ЕИС ПСА, данное назначение выглядит не слишком обнадеживающим.
Новости об очередных инцидентах с ransomware появляются так часто, что уже не в первый раз нам приходится объединять их в блок.
5 июля крупная американская компания DXC Technology, осуществляющая поставку ИТ-решений по всему миру, объявила, что в прошедшие выходные на сеть ее дочерней компании Xchanging была проведена атака со стороны неназванного оператора вымогателя. Xchanging является поставщиком ИТ-услуг для организаций страховой, финансовой, оборонной и других отраслей.
DXC Technology уверяет, что в результате кибератаки данные затронуты не были, однако тот факт, что часть клиентов потеряла доступ у предоставляемым услугам, свидетельствует о шифровке некоторой части информации. А шифровка данных со стороны ransomware в наше время означает их предварительную кражу. Ждем анонсов о продаже или публикации украденных сведений.
Вторая новость - продолжение апрельской истории об успешной кибератаке оператора вымогателя RagnarLocker, недавно присоединившегося к Maze Cartel.
Напомним, что тогда была взломана сеть португальского энергетического гиганта Energias de Portugal (EDP).
Теперь факт компрометации ресурсов EDP подтвердило руководство дочерней компании EDP Renewables Notrh America, которое, вместе с тем, заявило, что никакие данные клиентов не утекли.
Но, мы-то с вами понимаем, что если после успешной атаки ransomware "данные не утекли", то это означает только одно - жертва заплатила выкуп. Большой и щедрый выкуп размером в 10,9 млн. долларов.
5 июля крупная американская компания DXC Technology, осуществляющая поставку ИТ-решений по всему миру, объявила, что в прошедшие выходные на сеть ее дочерней компании Xchanging была проведена атака со стороны неназванного оператора вымогателя. Xchanging является поставщиком ИТ-услуг для организаций страховой, финансовой, оборонной и других отраслей.
DXC Technology уверяет, что в результате кибератаки данные затронуты не были, однако тот факт, что часть клиентов потеряла доступ у предоставляемым услугам, свидетельствует о шифровке некоторой части информации. А шифровка данных со стороны ransomware в наше время означает их предварительную кражу. Ждем анонсов о продаже или публикации украденных сведений.
Вторая новость - продолжение апрельской истории об успешной кибератаке оператора вымогателя RagnarLocker, недавно присоединившегося к Maze Cartel.
Напомним, что тогда была взломана сеть португальского энергетического гиганта Energias de Portugal (EDP).
Теперь факт компрометации ресурсов EDP подтвердило руководство дочерней компании EDP Renewables Notrh America, которое, вместе с тем, заявило, что никакие данные клиентов не утекли.
Но, мы-то с вами понимаем, что если после успешной атаки ransomware "данные не утекли", то это означает только одно - жертва заплатила выкуп. Большой и щедрый выкуп размером в 10,9 млн. долларов.
Telegram
SecAtor
Неделю назад мы писали о том, что оператор ransomware Maze, который, судя по всему, является русскоязычной командой, начал размещать на своем сайте краденную информацию от другого ransomware LockBit. Более того, Maze сообщили, что через несколько дней к…
Товарищи, а у нас тут прямо ЧП нарисовалось.
По сообщению ресерчеров Shadow Intelligence некий хакер Zpoint продает в дарквебе доступ системе муниципального видеонаблюдения Москвы.
В число доступных камер входят находящиеся:
- в подъездах;
- в парках;
- в поликлиниках;
- в школах (включая внутренние).
Предлагается доступ к онлайн картинке, а также к 5-дневному архиву записей. Некоторыми из камер можно управлять. В довесок предлагается мобильное приложение для доступа ко взломанной системе видеонаблюдения.
Кто-нибудь, постучите в ДИТ, скажите, что у них дно протекает.
По сообщению ресерчеров Shadow Intelligence некий хакер Zpoint продает в дарквебе доступ системе муниципального видеонаблюдения Москвы.
В число доступных камер входят находящиеся:
- в подъездах;
- в парках;
- в поликлиниках;
- в школах (включая внутренние).
Предлагается доступ к онлайн картинке, а также к 5-дневному архиву записей. Некоторыми из камер можно управлять. В довесок предлагается мобильное приложение для доступа ко взломанной системе видеонаблюдения.
Кто-нибудь, постучите в ДИТ, скажите, что у них дно протекает.
Помнится, не далее как зимой активно обсуждалась 0-day уязвимость CVE-2019-19781 в Citrix ADC и Citrix Gateway, которая оставалась незамеченной не менее месяца и которая использовалась различными хакерскими группами, в том числе прогосударственными, для проникновения в интересующие их сети.
Так тут новых дырок подвезли.
Сегодня Citrix выпустила обновления безопасности для Citrix ADC, Citrix Gateway а также Citrix SD-WAN WANOP, в которых обнаружилось целых 11 новых уязвимостей, позволяющих обходить механизмы аутентификации, повышать локальные привилегии, удаленно выполнять код, осуществить отказ в обслуживании и многое другое. В общем, делать все, чтобы максимально комфортно проникать в корпоративные сети.
Производитель, как и принято в подобных случаях, заявляет, что о какой-либо "активной эксплуатации этих проблем" со стороны хакеров ему неизвестно. Видимо, эксплуатация идет неактивная, вялая такая эксплуатация идет.
Как-бы там ни было, обновление выпущено, поэтому все причастные должны немедленно провести апдейт.
Так тут новых дырок подвезли.
Сегодня Citrix выпустила обновления безопасности для Citrix ADC, Citrix Gateway а также Citrix SD-WAN WANOP, в которых обнаружилось целых 11 новых уязвимостей, позволяющих обходить механизмы аутентификации, повышать локальные привилегии, удаленно выполнять код, осуществить отказ в обслуживании и многое другое. В общем, делать все, чтобы максимально комфортно проникать в корпоративные сети.
Производитель, как и принято в подобных случаях, заявляет, что о какой-либо "активной эксплуатации этих проблем" со стороны хакеров ему неизвестно. Видимо, эксплуатация идет неактивная, вялая такая эксплуатация идет.
Как-бы там ни было, обновление выпущено, поэтому все причастные должны немедленно провести апдейт.
Несколько дней назад мы писали про новый вредонос EvilQuest для MacOS, который, маскируясь под ransomware, крадет данные с зараженных машин. Проблема усугубляется тем, что он действительно шифрует пользовательские файлы и не предоставляет никаких реальных механизмов для их расшифровки, даже после выплаты жертвой денежных средств.
Теперь хорошая новость.
Инфосек компания SentinelOne выпустила бесплатный декриптор для зашифрованных EvilQuest файлов, который можно скачать по ссылке в конце приведенного отчета. Видеоинструкция по его использованию доступна здесь.
Разработать декриптор удалось благодаря тому, что вредонос использует достаточно простой алгоритм шифрования на основе RC2 и хранит криптоключ внутри каждого зашифрованного файла.
Пользуйтесь на здоровье.
Теперь хорошая новость.
Инфосек компания SentinelOne выпустила бесплатный декриптор для зашифрованных EvilQuest файлов, который можно скачать по ссылке в конце приведенного отчета. Видеоинструкция по его использованию доступна здесь.
Разработать декриптор удалось благодаря тому, что вредонос использует достаточно простой алгоритм шифрования на основе RC2 и хранит криптоключ внутри каждого зашифрованного файла.
Пользуйтесь на здоровье.
SentinelOne
Breaking EvilQuest | Reversing A Custom macOS Ransomware File Encryption Routine - SentinelLabs
A new macOS ransomware threat uses a custom file encryption routine not based on public key encryption. Jason Reaves shows how we broke it.
Вчера Министерство юстиции США (DOJ) выдвинуло обвинение против гражданина Казахстана Андрея Турчина, который известен в хакерской среде как fxmsp.
Товарища обвиняют в том, что он в составе группы взламывал корпоративные сети и в дальнейшем продавал доступ к ним на специализированных форумах - Exploit[.]in, Club2Card и др. В 2019 году киберразведывательная компания Advanced Intel утверждала, что группа fxmsp вскрыла и похитила информацию из сетей антивирусных компаний Trend Micro, Symantec и McAfee, причем у японцев из Tend Micro было украдено целых 30 терабайт данных.
DOJ утверждает, что fxmsp причастен к взлому по крайней мере 300 корпоративных сетей по всему миру, в том числе более 30 - в США.
Странно, но BleepingComputer сообщает, что, по данным источников, по американскому обвинению Турчин арестован казахскими правоохранительными органами. Частично это подтверждается тем, что прокурор Западного округа штата Вашингтон Брайан Моран поблагодарил казахские власти за помощь в расследовании.
Зная то, что американские органы ВСЕГДА стараются добиться осуждения хакеров, причастных к взлому американских организаций, на территории США и сотрудничают с другими странами только на таких условиях, задаемся вопросом - не решил ли Казахстан поступиться частью своего суверенитета и экстрадировать своего гражданина в США для дальнейшего судебного преследования. А то ведь так скоро каяться придется - например, за американский газ, случайно оказавшийся на казахской территории.
Товарища обвиняют в том, что он в составе группы взламывал корпоративные сети и в дальнейшем продавал доступ к ним на специализированных форумах - Exploit[.]in, Club2Card и др. В 2019 году киберразведывательная компания Advanced Intel утверждала, что группа fxmsp вскрыла и похитила информацию из сетей антивирусных компаний Trend Micro, Symantec и McAfee, причем у японцев из Tend Micro было украдено целых 30 терабайт данных.
DOJ утверждает, что fxmsp причастен к взлому по крайней мере 300 корпоративных сетей по всему миру, в том числе более 30 - в США.
Странно, но BleepingComputer сообщает, что, по данным источников, по американскому обвинению Турчин арестован казахскими правоохранительными органами. Частично это подтверждается тем, что прокурор Западного округа штата Вашингтон Брайан Моран поблагодарил казахские власти за помощь в расследовании.
Зная то, что американские органы ВСЕГДА стараются добиться осуждения хакеров, причастных к взлому американских организаций, на территории США и сотрудничают с другими странами только на таких условиях, задаемся вопросом - не решил ли Казахстан поступиться частью своего суверенитета и экстрадировать своего гражданина в США для дальнейшего судебного преследования. А то ведь так скоро каяться придется - например, за американский газ, случайно оказавшийся на казахской территории.
PRIVACY Affairs провели расследование и составили индекс актуальных цен на различные услуги, предлагаемые в дарквебе.
К примеру, клонирование карты VISA с PIN-кодом стоит 25$, паспорт США, Канады или ЕС - 1500$, американские водительские права хорошего качества - 550$.
Взлом аккаунта Facebook стоит 74,5$, почтового аккаунта Gmail - 155,73$, а взлом Instagram - 55,45$.
Также продаются услуги по проведению DDoS-атак, установки вредоносов и многое другое.
Полный список можно посмотреть в оригинальной статье.
К примеру, клонирование карты VISA с PIN-кодом стоит 25$, паспорт США, Канады или ЕС - 1500$, американские водительские права хорошего качества - 550$.
Взлом аккаунта Facebook стоит 74,5$, почтового аккаунта Gmail - 155,73$, а взлом Instagram - 55,45$.
Также продаются услуги по проведению DDoS-атак, установки вредоносов и многое другое.
Полный список можно посмотреть в оригинальной статье.
Privacy Affairs
Dark Web Price Index 2020. Check all 2020 Dark Web Prices
To see just how prevalent items of personal data are being listed on the dark web, and at what price, we sent our researchers on a data-gathering mission.
ZeroDay публикует статью с продолжением истории о предустановленном malware в бюджетных телефонах в США.
Есть в Америке такая государственная программа - Lifeline Assistance, которая действует с 1985 года, в рамках которой операторы предоставляют скидки на телефонные услуги для неимущих американцев. А в рамках этой программы компания Assurance Wireless, которая является дочкой оператора Virgin Mobile, распространяет бесплатно (или с большой скидкой) Android-смартфоны.
Само собой, что в погоне за дешевизной продукции Assurance Wireless заказывает смартфоны у не самых авторитетных производителей - в данном случае у китайской компании Unimax. И, казалось бы, все довольны - бедные слои американского населения имеют субсидируемую сотовую связь, дочка Virgin делает на господдержке свой маленький гешефт, а китайцы загружают производство.
Но, как часто бывает, малину подпортили эксперты по информационной безопасности. В январе 2020 года Malwarebytes выяснили, что в смартфоне UMX U686CL, распространяемом Assurance Wireless, прошит вредонос Adups, который может устанавливать после активации устройства дополнительные вредоносные компоненты. Самым неприятным было то, что Adups оказался неустранимым. После скандала Unimax исправили прошивку своей продукции.
А вчера Malwarebytes обнаружили новую модель дешевого смартфона от Assurance Wireless, в которой также содержится предустановленное malware. В этот раз речь идет о ANS UL40 от American Network Solutions, мутной компании, которая, похоже, ребрендит дешевые китайские смартфоны. Только исследователи нашли не один, а два разных вредоноса.
Первый - троян Download Wotby - сидит в приложении Настройки, а приложение WirelessUpdate после подключения к Wi-Fi подкачивает и устанавливает троян HiddenAds.
Кто виноват - производитель или заражение произошло где-то в цепочке поставок, пока не ясно.
"Солидный Господь для солидных господ" (с). В постиндустриальном обществе информационная безопасность только для богатых. Забудьте о каких-то там смешных законах, нет бабок - нет безопасности.
Есть в Америке такая государственная программа - Lifeline Assistance, которая действует с 1985 года, в рамках которой операторы предоставляют скидки на телефонные услуги для неимущих американцев. А в рамках этой программы компания Assurance Wireless, которая является дочкой оператора Virgin Mobile, распространяет бесплатно (или с большой скидкой) Android-смартфоны.
Само собой, что в погоне за дешевизной продукции Assurance Wireless заказывает смартфоны у не самых авторитетных производителей - в данном случае у китайской компании Unimax. И, казалось бы, все довольны - бедные слои американского населения имеют субсидируемую сотовую связь, дочка Virgin делает на господдержке свой маленький гешефт, а китайцы загружают производство.
Но, как часто бывает, малину подпортили эксперты по информационной безопасности. В январе 2020 года Malwarebytes выяснили, что в смартфоне UMX U686CL, распространяемом Assurance Wireless, прошит вредонос Adups, который может устанавливать после активации устройства дополнительные вредоносные компоненты. Самым неприятным было то, что Adups оказался неустранимым. После скандала Unimax исправили прошивку своей продукции.
А вчера Malwarebytes обнаружили новую модель дешевого смартфона от Assurance Wireless, в которой также содержится предустановленное malware. В этот раз речь идет о ANS UL40 от American Network Solutions, мутной компании, которая, похоже, ребрендит дешевые китайские смартфоны. Только исследователи нашли не один, а два разных вредоноса.
Первый - троян Download Wotby - сидит в приложении Настройки, а приложение WirelessUpdate после подключения к Wi-Fi подкачивает и устанавливает троян HiddenAds.
Кто виноват - производитель или заражение произошло где-то в цепочке поставок, пока не ясно.
"Солидный Господь для солидных господ" (с). В постиндустриальном обществе информационная безопасность только для богатых. Забудьте о каких-то там смешных законах, нет бабок - нет безопасности.
ZDNet
More pre-installed malware has been found in budget US smartphones | ZDNet
Cheap phones often have tradeoffs but researchers say this should never compromise user safety.
Все уже обсуждают и мы не можем пройти мимо.
Медуза сообщила, что при проведении голосования по поправкам в Конституцию РФ нерадивые организаторы выложили на Госуслуги архив degvoter .zip, который был доступен в течение нескольких часов 1 июля.
В архиве же лежала программа для проверки факта голосования по Интернет жителей Москвы и Нижегородской области. Как всегда, защита была сделана через одно место, в результате чего архив забрутфорсили, а базу, в которой хранились хеши паспортов, расшифровали. В итоге данные серии и номера паспорта почти 1,2 млн. россиян оказались практически в открытом доступе.
Абсолютно не споря с тем, что вопросы информационной безопасности у организаторов голосования были прикрыты очень плохо, заметим, что сами по себе серия и номер паспорта без привязки к остальным данным особого интереса не представляют.
И уж тем более это не "персональные данные", как пишут многие ТГ-каналы.
Ну то есть это, конечно, ужас, но не ужас-ужас-ужас.
P.S. Архив, само собой, сохранился в Wayback Machine.
Медуза сообщила, что при проведении голосования по поправкам в Конституцию РФ нерадивые организаторы выложили на Госуслуги архив degvoter .zip, который был доступен в течение нескольких часов 1 июля.
В архиве же лежала программа для проверки факта голосования по Интернет жителей Москвы и Нижегородской области. Как всегда, защита была сделана через одно место, в результате чего архив забрутфорсили, а базу, в которой хранились хеши паспортов, расшифровали. В итоге данные серии и номера паспорта почти 1,2 млн. россиян оказались практически в открытом доступе.
Абсолютно не споря с тем, что вопросы информационной безопасности у организаторов голосования были прикрыты очень плохо, заметим, что сами по себе серия и номер паспорта без привязки к остальным данным особого интереса не представляют.
И уж тем более это не "персональные данные", как пишут многие ТГ-каналы.
Ну то есть это, конечно, ужас, но не ужас-ужас-ужас.
P.S. Архив, само собой, сохранился в Wayback Machine.
Meduza
Власти фактически выложили в открытый доступ персональные данные всех интернет-избирателей В голосовании по поправкам участвовали…
Более миллиона жителей Москвы и Нижегородской области проголосовали за поправки к Конституции или против них через интернет. «Медуза» выяснила, что паспортные данные этих избирателей лежали практически в открытом доступе. Более того, оказалось, что некоторые…
Не грози Южному Централу попивая сок у себя в квартале!
Разработчики мессенджера Signal забыли эту великую мудрость, когда начали тролить Telegram, заявляя, что у них, в отличие от детища Дурова, данные пользователей не хранятся. О чем им сразу и напомнили.
Напомнил ни кто иной как Thaddeus Grugq, ранее известный как торговец 0-day эксплойтами.
Grugq указал, что Signal вводит новый функционал своего PIN-кода, который будет позволять переносить мессенджер с устройства на устройство и, в перспективе, позволит отвязать аккаунт от телефонного номера. При этом пользовательские данные, которые раньше просто не хранились, теперь будут находиться на серверах мессенджера.
Пора возвращаться к голубиной почте...
Разработчики мессенджера Signal забыли эту великую мудрость, когда начали тролить Telegram, заявляя, что у них, в отличие от детища Дурова, данные пользователей не хранятся. О чем им сразу и напомнили.
Напомнил ни кто иной как Thaddeus Grugq, ранее известный как торговец 0-day эксплойтами.
Grugq указал, что Signal вводит новый функционал своего PIN-кода, который будет позволять переносить мессенджер с устройства на устройство и, в перспективе, позволит отвязать аккаунт от телефонного номера. При этом пользовательские данные, которые раньше просто не хранились, теперь будут находиться на серверах мессенджера.
Пора возвращаться к голубиной почте...
Twitter
thaddeus e. grugq
Explanation: For years @signalapp has been adding features while retaining the core commitment to a secure communications protocol with a functioning client and no more. Now, Signal will backup your data to their computers, protected by that PIN they’ve been…
Давненько у нас ничего про ZOOM не было. И вот - очередная 0-day уязвимость.
Вчера команда 0patch Team инфосек компании ACROS Security опубликовала в своем блоге данные о выявленной уязвимости в клиенте ZOOM под Windows 7 и Windows Server 2008 R2, которая позволяет хакеру удаленно выполнить на атакуемой машине произвольный код, склонив пользователя к осуществлению определенных действий - например, к открытию документа. При этом никаких предупреждений безопасности атакованный пользователь не получает.
В подтверждение исследователи разместили в своем блоге видео с демонстрацией эксплойта выявленной ошибки.
Клиенты на Windows 8 и Windows 10 этой уязвимости не подвержены.
Пока ZOOM не устранили ошибку в своем клиенте 0patch Team выпустили бесплатный микропатч, который ее устраняет. Правда, для этого необходимо зарегистрироваться в 0patch Central и установить 0patch Agent.
Вчера команда 0patch Team инфосек компании ACROS Security опубликовала в своем блоге данные о выявленной уязвимости в клиенте ZOOM под Windows 7 и Windows Server 2008 R2, которая позволяет хакеру удаленно выполнить на атакуемой машине произвольный код, склонив пользователя к осуществлению определенных действий - например, к открытию документа. При этом никаких предупреждений безопасности атакованный пользователь не получает.
В подтверждение исследователи разместили в своем блоге видео с демонстрацией эксплойта выявленной ошибки.
Клиенты на Windows 8 и Windows 10 этой уязвимости не подвержены.
Пока ZOOM не устранили ошибку в своем клиенте 0patch Team выпустили бесплатный микропатч, который ее устраняет. Правда, для этого необходимо зарегистрироваться в 0patch Central и установить 0patch Agent.
0Patch
Remote Code Execution Vulnerability in Zoom Client for Windows (0day)
by Mitja Kolsek, the 0patch Team [Update 7/13/2020: Zoom only took one (!) day to issue a new version of Client for Windows that fixes this...
Исследователи компании Cyble, специализирующейся на расследовании деятельности операторов ransomware, сообщают, что оператор вымогателя Maze объявил об успешных атаках на ресурсы множества компаний, прибыль которых составляет от 4 до 600 млн. долларов.
Среди пострадавших - немецкий производитель микросхем и полупроводниковых приборов X-FAB Silicon Foundries, с годовой прибылью в 300 млн. долларов, а также американская компания Voxx International, специализирующаяся на производстве аудиооборудования и зарабатывающая более 450 млн. долларов в год.
Очередной повод руководителям крупных компаний задуматься о надежности своей системы информационной безопасности.
Среди пострадавших - немецкий производитель микросхем и полупроводниковых приборов X-FAB Silicon Foundries, с годовой прибылью в 300 млн. долларов, а также американская компания Voxx International, специализирующаяся на производстве аудиооборудования и зарабатывающая более 450 млн. долларов в год.
Очередной повод руководителям крупных компаний задуматься о надежности своей системы информационной безопасности.
Twitter
Cyble
**Breach Alert** #Maze #Ransomware Operators claimed to have breached multiple organizations ranging from $4 million to $600 million in revenue. Top names -: - X-FAB Silicon Foundries - Voxx International - Burton Lumber #infosec #cyber #leaks #cybersecurity
Веселая история четырехлетней давности.
В конце 2016 года некий оператор ransomware взломал и зашифровал сеть тюрьмы американского города Де-Мойн, а ее представители обратились в Секретную Службу США (USSS) с просьбой о помощи.
После этого USSS попытались подломать хакера, с целью чего выслали ему замаскированный вредонос, который должен был сообщить спецслужбе IP-адрес и другую информацию об используемой злоумышленником системе.
Взлом не удался, что было зафиксировано в соответствующем формуляре.
Вот такой вот государственный хакинг. Если нельзя, но очень хочется - то можно.
Примечательны две вещи. Во-первых, все это было задокументировано. А во-вторых, название "lavandos" контактного ящика оператора ransomware однозначно свидетельствует о том, носителем какого языка он является.
В конце 2016 года некий оператор ransomware взломал и зашифровал сеть тюрьмы американского города Де-Мойн, а ее представители обратились в Секретную Службу США (USSS) с просьбой о помощи.
После этого USSS попытались подломать хакера, с целью чего выслали ему замаскированный вредонос, который должен был сообщить спецслужбе IP-адрес и другую информацию об используемой злоумышленником системе.
Взлом не удался, что было зафиксировано в соответствующем формуляре.
Вот такой вот государственный хакинг. Если нельзя, но очень хочется - то можно.
Примечательны две вещи. Во-первых, все это было задокументировано. А во-вторых, название "lavandos" контактного ящика оператора ransomware однозначно свидетельствует о том, носителем какого языка он является.