Хорошо, что я летаю S7

Тут хакеры выложили в даркнет данные сотен тысяч пассажиров российской авиакомпании UTair. В дампе данные паспортов, номера телефонов, точные адреса.

Так поднасрали UTair участники иранской киберпреступной группировки Arvin Club.

В описании говорят, что в слитой базе даже есть данные о некоторых сенаторах из России.

Многие думают, что кнопочные телефоны более безопасны, чем смартфоны.

Пользователь Habr провёл своё независимое исследование кнопочных телефонов из российских магазинов и выяснил, что они содержат недокументированные функции.

Телефоны могут автоматически отправлять СМС-сообщения и выходить в интернет. Некоторые модели с троянами и бэкдорами.

В телеграме появился бот, который думает, что он президент России.

Если хотели пообщаться с Путиным, то вот ваш шанс @neural_chat_bot

Киберпреступники начали использовать пропускную способность жертв для получения прибыли.

Исследователи из Cisco Talos заметили, что киберпреступники начали использовать легитимный софт класса proxyware. Его использование наблюдалось в многоступенчатых атаках: безобидная программа в связке с инсталлятором(с вредоносным кодом). Пользователю достаточно было установить софт, чтобы автоматически инсталлировался троян.

Злоумышленники использовали разные способы: в одной кампании пытались установить Honeygain в системе пользователя и далее зарегистрировать софт под аккаунтом, принадлежащим им. В другой кампании пакет Honeygain снабдили вредоносными файлами, выключающими криптовалютный майнер XMRig, а пользователя перенаправляли на страницу с реферальными кодами Honeygain. После создания аккаунта пользователем, реферальная система приносила злоумышленнику прибыль.

Топ 5 компаний по тратам на лоббирование интересов в ЕС.

Bluetooth снова всех порадовал дырами. Исследователи кибербезопасности нашли 16 уязвимостей программного стека Bluetooth, который поставляется популярными вендорами. Все уязвимости объединили под названием BrakTooth.

От эксплуатации уязвимостей могут пострадать миллиарды ноутбуков, смартфонов, промышленного оборудования и IoT-устройств.

Самая опасная уязвимость - CVE-2021-28139. Она позволяет удаленно запустить вредоносный код.

Есть и хорошие новости. BrakTooth хоть и затрагивает миллиарды девайсов, но каждое в разной степени.

А вот общий список уязвимостей с идентификаторами. Выглядит внушительно.

Власти Москвы выделят деньги на доработку системы распознавания лиц

После доработки можно будет не только распознавать лица и вычислять, где человека засекли, но и определять маршруты передвижения людей.

В систему хотят добавить больше фильтров по полу, возрасту, наличию очков или бороды, расовой принадлежности.

Теперь можно будет автоматически за минуты вычислять, в какой кофейне вы завтракали, куда заезжали после работы и как часто посещали квартиру своей «коллеги».

-Дорогой, почему твоя футболка пахнет Шанель 5?
-Я просто заезжал в парфюмерный бутик
-Странно, но я купила доступ к доработанной системе распознавания, и там не было никакого бутика

Ну краш, не иначе

На Российские банки совершена масштабная DDoS-атака

Зампред правления Сбера Станислав Кузнецов рассказал о том, что на прошлой неделе получилось отразить самую мощную в мире атаку на финансовый сектор. Атака была произведена из-за рубежа с помощью нескольких тысяч взломанных веб-камер. Мощность превышала 50 Гбит/с.

Банк России подтвердил факт атаки в период с 13 по 16 августа. Распределённая атака DDoS была направлена на ряд крупных финансовых организаций. Запросы шли из Азии, Латинской америки и США.

Кстати, ЦБ говорит, что серьезных последствий не было, замечали только небольшие замедления, а в большинстве банков «атака была отражена штатными средствами обеспечения информационной безопасности».

Одна из причин увеличения мощностей атак - разрастание инфраструктуры IoT-устройств.

Ну вот - ещё 6 VPN в копилку Роскомнадзора.

Разговоры о продолжении блокировок были неспроста. В ближайшее время могут заблокировать ещё 17 сервисов.

Большой резонанс вызвала статья на Хабре о кнопочных телефонах с троянами и бэкдорами. Удивительно, но история не ограничилась массовой оглаской, а глава ритейлера DNS Дмитрий Алексеев, в котором продавались кирпичи с бэкдорами, даже признал наличие проблемы и начал кампанию по отзыву устройств, о чем и написал в своём телеграмм-канале.

Кстати, одним из устройств, которое тестировал автор статьи на Хабре, был DEXP SD2810(это собственная марка телефонов компании DNS).

Надеемся, что после этого скандала проверка устройств на бэкдоры станет частью сертификации «Ростеха», а отзыв продукции - нормой для ритейла.

В 79% случаев «Яндекс» выдавал всю информацию о пользователях по запросу от Госорганов. Это свежие данные из полугодового отчета компании.

Общее количество запросов в первой половине 2021 года составило 19, 6 тысяч. Это больше, чем в первой половине 2020(16, 8 тыс).

В компании говорят, что рассматривают только запросы по официальным каналам, соответствующие формальным требованиям. То есть через почту и мессенджеры информацию о пользователе не отправляют.

С 1 июня 2021 «Яндекс» разрешает пользователям скачать архив с информацией, которую накопили о них сервисы компании и удалить эти данные. Компания получила 54 885 запросов на удаление данных.

Ну надо же, ИИ алгоритм Facebook пометил видео с темнокожими мужчинами как ролик о приматах. Все из-за сбоя в работе алгоритма.

Как мы уже говорили, несмотря на то что мы работаем над улучшением искусственного интеллекта, мы знаем, что он не совершенен и нам предстоит много работы. Мы приносим извинения всем, кто мог видеть эти оскорбительные рекомендации, — говорит пресс-секретарь компании Facebook Дэни Левер.

Как ни популярны страшилки про захват мира искусственным интеллектом, пока что системы ИИ по-прежнему предвзяты к людям из-за их расовой принадлежности и не идеальны во многих других аспектах.

50 млн идиотов в России активно пользуются приложением GetContact.

Сервис для определения номеров теперь в реестре организаторов распространения информации, что обязывает его хранить данные российских пользователей и делиться ими с госструктурами и спецслужбами.

Деньги за взлом электронного голосования

В этом году у нас в стране в 7 регионах пройдёт дистанционное электронное голосование(ДЭГ) на базе двух систем: московская от ДИТ на базе блокчейна etherium и федеральная от Ростелекома. И хотя представители каждой из систем изначально говорили, что взломать их невозможно, случаи такие все же происходили. Взламывают и аккаунты Госуслуг, которые нужны для участия в электронном голосовании и алгоритмы обманывают.

Рано или поздно мы все перейдём на систему электронного голосования полностью. Цифровые услуги сильно упрощают жизнь, позволяя сидеть дома, питаться едой из доставки и не выходить никуда, кроме как на прогулку.

В системе ДЭГ повышенная безопасность - самое главное. Вот и Ростелеком поняли это и объявили о конкурсе для пентестеров.

4-5 сентября можно, избежав отвественности за взлом, доказать делом, что система дистанционного электронного голосования содержит уязвимости. За обнаруженную уязвимость багхантеру дадут 2 млн.

Nitrokey презентовала смартфон NitroPhone 1, который считается самым безопасным и защищённым от киберпреступников.

Он основан на базе Google Pixel 4a и стоит €630. Приложения на смартфоне не имеют доступа к серийному номеру телефона, номеру SIM-карты, IMEI и MAC-адресу.

NitroPhone 1 работает под управлением GragpheneOS, Google сервисы на нем отсутствуют.

На Youtube-канале МФТИ подробно рассказывают об отличии московской системы ДЭГ от федеральной(Ростелекомовской).

Там, кстати, говорят, что в последний раз деньги за обнаруженную уязвимость забрал пентестер из Страсбурга.

Сервис американских спецслужб, базирующийся в Швейцарии, выдал IP-адрес пользователя по запросу полиции. Речь о ProtonMail, созданном специально для людей, которые не доверяют гуглу, но любят покупать товар в магазинах кайфа.

Спустя полдня конфиденциальная почта дала ответ о случившемся, где заявила, что ничего кроме метаданных у сервиса нет, а необоснованные запросы компания будет оспаривать и бороться за конфиденциальность.