Спецслужбы Австралии собирали данные из приложения COVIDSafe
Эта заокеанская новость не была бы примечательна, если бы не одно “но”: Минцифры на днях тоже запустили приложение для отслеживания контактов с COVID больными и обещало, что данные будут обезличенными.
С началом пандемии короны многие страны начали создавать свои приложения для отслеживания контактов, чтобы предотвратить распространение инфекции. Но везде эти приложения отличаются по функционалу и конфиденциальности. Большинство используют Bluetooth(Россия в том числе). Этот метод лучше подходит для конфиденциальности. Но, к примеру, Пакистан и Израиль используют в приложениях отслеживание местоположения, которое может использоваться властями.
В Австралии приложение тоже использует Bluetooth, и служба наблюдения за разведкой не сказала, какую конкретно информацию собирали шпионские агенства через приложение. Данных о местоположении там нет, но зато есть имя, возраст, почтовый индекс и номер телефона, чтобы правительственный департамент здравоохранения мог связаться с теми, кто мог контактировать с зараженным человеком.
Пока это первый прецедент в мире, связанный с Covid-приложением, но уверены, что с российской версией тоже все не так гладко.
Эта заокеанская новость не была бы примечательна, если бы не одно “но”: Минцифры на днях тоже запустили приложение для отслеживания контактов с COVID больными и обещало, что данные будут обезличенными.
С началом пандемии короны многие страны начали создавать свои приложения для отслеживания контактов, чтобы предотвратить распространение инфекции. Но везде эти приложения отличаются по функционалу и конфиденциальности. Большинство используют Bluetooth(Россия в том числе). Этот метод лучше подходит для конфиденциальности. Но, к примеру, Пакистан и Израиль используют в приложениях отслеживание местоположения, которое может использоваться властями.
В Австралии приложение тоже использует Bluetooth, и служба наблюдения за разведкой не сказала, какую конкретно информацию собирали шпионские агенства через приложение. Данных о местоположении там нет, но зато есть имя, возраст, почтовый индекс и номер телефона, чтобы правительственный департамент здравоохранения мог связаться с теми, кто мог контактировать с зараженным человеком.
Пока это первый прецедент в мире, связанный с Covid-приложением, но уверены, что с российской версией тоже все не так гладко.
Facebook заплатил 4 000 000 рублей за отказ хранить данные пользователей в России.
По новым правилам, вступившим в силу в конце 2019 года, компании должны хранить персональные данные россиян на территории РФ. Twitter пока что отказался платить штраф.
По новым правилам, вступившим в силу в конце 2019 года, компании должны хранить персональные данные россиян на территории РФ. Twitter пока что отказался платить штраф.
Мы знаем, кто получит премию за самый глупый поступок
Сотрудник больницы в Сан-Пауло загрузил на GitHub таблицу с ключами доступа к гос.информационным системам, среди которых были E-SUS-VE и Sivep-Gripe. В них содержится информация о всех бразильских пациентах, болевших COVID-19. Там есть имена, адреса, ID и сведения медицинского характера.
В утечке есть даже данные президента Бразилии, всей его семьи, министров и 17 губернаторов.
Таблицу нашёл пользователь, который рассказал об этом журналистам. И только после публикации в СМИ Бразильский минздрав принял меры, удалив таблицу и изменив учетные данные и ключи.
Что это, если не глупость?
Сотрудник больницы в Сан-Пауло загрузил на GitHub таблицу с ключами доступа к гос.информационным системам, среди которых были E-SUS-VE и Sivep-Gripe. В них содержится информация о всех бразильских пациентах, болевших COVID-19. Там есть имена, адреса, ID и сведения медицинского характера.
В утечке есть даже данные президента Бразилии, всей его семьи, министров и 17 губернаторов.
Таблицу нашёл пользователь, который рассказал об этом журналистам. И только после публикации в СМИ Бразильский минздрав принял меры, удалив таблицу и изменив учетные данные и ключи.
Что это, если не глупость?
Страховые компании получат доступ к системе распознавания лиц
Собянин говорит, что камеры нужны для безопасности людей, а не для того, чтобы за кем-то подглядывать. Но, как стало известно, страховые компании и центробанк ведут переговоры о доступе к системе распознавания лиц с ДИТ.
Система распознавания - это, в первую очередь, данные. У нас пока что даже нет четкой законодательной основы для того, чтобы эти биометрические данные использовались госорганами, но ЦОДД и ДИТ уже ведут переговоры о монетизации этих данных. Кто готов платить? Страховщики!
Они претендуют на беспрепятственный доступ к видеокамерам, аргументируя своё желание тем, что это нужно для борьбы с мошенничеством и урегулирования спорных страховых случаев.
Но есть один момент: страховые компании уже могут получить доступ к системе наблюдения. Для этого необходимо оформить запрос в мэрию и подождать три дня. Однако этого им мало. За «премиум-подписку» без ограничений страховщики готовы отвалить 9 млрд.
Идиоту ясно, что чем больше партнеров, имеющих доступ к системе, тем выше риск утечек данных.
Собянин говорит, что камеры нужны для безопасности людей, а не для того, чтобы за кем-то подглядывать. Но, как стало известно, страховые компании и центробанк ведут переговоры о доступе к системе распознавания лиц с ДИТ.
Система распознавания - это, в первую очередь, данные. У нас пока что даже нет четкой законодательной основы для того, чтобы эти биометрические данные использовались госорганами, но ЦОДД и ДИТ уже ведут переговоры о монетизации этих данных. Кто готов платить? Страховщики!
Они претендуют на беспрепятственный доступ к видеокамерам, аргументируя своё желание тем, что это нужно для борьбы с мошенничеством и урегулирования спорных страховых случаев.
Но есть один момент: страховые компании уже могут получить доступ к системе наблюдения. Для этого необходимо оформить запрос в мэрию и подождать три дня. Однако этого им мало. За «премиум-подписку» без ограничений страховщики готовы отвалить 9 млрд.
Идиоту ясно, что чем больше партнеров, имеющих доступ к системе, тем выше риск утечек данных.
❗️Минцифры назвали занокопроект о блокировке YouTube за цензуру вынужденным
Разработчики Docker не заботятся о безопасности
Облачные технологии за последние три года стали еще популярнее. Киберпреступники хорошо чувствуют новые ниши для атак. Почувствовав запах свежего мяса, они начали атаковать системы Docker и Kubernetes.
Большая часть этих атак следовала очень простой схеме: злоумышленники сканировали неправильно настроенные системы, в которых были доступны интерфейсы администатора. Это было необходимо для захвата сервера и разворачивания вредоносного ПО для майнинга крипты.
Новые штаммы вредоносного ПО обнаруживаются регулярно. По большей части они нацелены на Docker. Но разработчики и инженеры инфраструктуры все еще не поняли, что наступает пиздец, поэтому по-прежнему оставляют серверы Docker уязвимыми для атак.
Самая распространенная ошибка: оставлять конечные точки API удаленного администрирования Docker доступными в сети без аутентификации.
Docker становится более влиятельным в настройке современной инфраструктуры, поэтому количество атак растет с каждым месяцем. Компаниям, веб-разработчикам и инженерам советуем проверять оф.документацию Docker, чтобы убедиться, что они защищают возможности удаленного управления с помощью механизмов аутентификации, например систем аутентификации на основе сертификатов.
Облачные технологии за последние три года стали еще популярнее. Киберпреступники хорошо чувствуют новые ниши для атак. Почувствовав запах свежего мяса, они начали атаковать системы Docker и Kubernetes.
Большая часть этих атак следовала очень простой схеме: злоумышленники сканировали неправильно настроенные системы, в которых были доступны интерфейсы администатора. Это было необходимо для захвата сервера и разворачивания вредоносного ПО для майнинга крипты.
Новые штаммы вредоносного ПО обнаруживаются регулярно. По большей части они нацелены на Docker. Но разработчики и инженеры инфраструктуры все еще не поняли, что наступает пиздец, поэтому по-прежнему оставляют серверы Docker уязвимыми для атак.
Самая распространенная ошибка: оставлять конечные точки API удаленного администрирования Docker доступными в сети без аутентификации.
Docker становится более влиятельным в настройке современной инфраструктуры, поэтому количество атак растет с каждым месяцем. Компаниям, веб-разработчикам и инженерам советуем проверять оф.документацию Docker, чтобы убедиться, что они защищают возможности удаленного управления с помощью механизмов аутентификации, например систем аутентификации на основе сертификатов.
Исследователь кибербезопасности из Google Project Zero нашёл уязвимость в iPhone. Благодаря ей он мог получить доступ к личным данным пользователя, включая почту, фотографии, сообщения, пароли и ключи без взаимодействия с пользователем.
Для атаки Иэну Биру понадобились Raspberry Pi и несколько готовых адаптеров Wi-Fi. Уязвимость была в драйвере AWDL(с помощью него работает Airdrop). Используя этот протокол беспроводной связи, он мог перезагрузить айфон, а дальше получить доступ ко всему.
На исследование уязвимости ушло 6 месяцев. Apple уже устранили её. Доказательств, что дыру эксплуатировали в дикой природе нет.
Взлом, если честно, впечатляющий. Он основан всего лишь на одной ошибке и позволяет получить беспроводной доступ к устройству. Если ваш iPhone находится в пределах досягаемости человека с этой возможностью, то ему даже не понадобится работающий интернет на вашем телефоне или переход по ссылке. А самое крутое тут то, что эксплойт Бира может работать с эффектом червя, автоматически распространяясь на близлежащие айфоны.
Просто представьте, что если один человек за полгода смог сделать все это, то на что способны обеспеченные хакерские команды? К примеру, из тех же служб безопасности. Этот эскплойт может использоваться для разблокировки 90% телефонов, находящихся в полицейских участках США, учитывая то, что на них ещё стоят не обновлённые версии iOS.
Подробное описание уязвимости:
https://googleprojectzero.blogspot.com/2020/12/an-ios-zero-click-radio-proximity.html?m=1
Для атаки Иэну Биру понадобились Raspberry Pi и несколько готовых адаптеров Wi-Fi. Уязвимость была в драйвере AWDL(с помощью него работает Airdrop). Используя этот протокол беспроводной связи, он мог перезагрузить айфон, а дальше получить доступ ко всему.
На исследование уязвимости ушло 6 месяцев. Apple уже устранили её. Доказательств, что дыру эксплуатировали в дикой природе нет.
Взлом, если честно, впечатляющий. Он основан всего лишь на одной ошибке и позволяет получить беспроводной доступ к устройству. Если ваш iPhone находится в пределах досягаемости человека с этой возможностью, то ему даже не понадобится работающий интернет на вашем телефоне или переход по ссылке. А самое крутое тут то, что эксплойт Бира может работать с эффектом червя, автоматически распространяясь на близлежащие айфоны.
Просто представьте, что если один человек за полгода смог сделать все это, то на что способны обеспеченные хакерские команды? К примеру, из тех же служб безопасности. Этот эскплойт может использоваться для разблокировки 90% телефонов, находящихся в полицейских участках США, учитывая то, что на них ещё стоят не обновлённые версии iOS.
Подробное описание уязвимости:
https://googleprojectzero.blogspot.com/2020/12/an-ios-zero-click-radio-proximity.html?m=1
Blogspot
An iOS zero-click radio proximity exploit odyssey
Posted by Ian Beer, Project Zero NOTE: This specific issue was fixed before the launch of Privacy-Preserving Contact Tracing in iOS 13.5 in...
This media is not supported in your browser
VIEW IN TELEGRAM
Вот видео эксплойта в действии
⚡️Путин заявил, что надо исключить любые риски утечки персональных данных россиян
«Пробива» данных может стать меньше
«Пробив» может сильно подорожать, в следствии чего позволить себе эту услугу сможет меньшее количество людей. Рост цены может произойти, если предложение банков воплотят в реальность. Банки предлагают увеличить срок наказания за кражу данных о клиентах до 20 лет.
Как мы и писали, чем труднее достать данные, тем дороже это будет стоить. Повышение срока наказания может просто повысить цены на эти услуги.
Но для того, чтобы ситуация с утечками и сливами улучшилась, нужно не добавлять срок(сейчас это максимум 7 лет), а повысить ответственность самих компаний, чтобы они больше денег вкладывали в защиту, как от фишинга и атак, так и от человеческого фактора, то есть корыстных сотрудников.
Сейчас пробив информации(будь это банковский пробив или телеком) происходит почти непрерывно. Бороться с физ.лицами и ужесточать наказание для них - это значит бороться со следствием, а не с причиной. А причина - в плохой защите данных.
«Пробив» может сильно подорожать, в следствии чего позволить себе эту услугу сможет меньшее количество людей. Рост цены может произойти, если предложение банков воплотят в реальность. Банки предлагают увеличить срок наказания за кражу данных о клиентах до 20 лет.
Как мы и писали, чем труднее достать данные, тем дороже это будет стоить. Повышение срока наказания может просто повысить цены на эти услуги.
Но для того, чтобы ситуация с утечками и сливами улучшилась, нужно не добавлять срок(сейчас это максимум 7 лет), а повысить ответственность самих компаний, чтобы они больше денег вкладывали в защиту, как от фишинга и атак, так и от человеческого фактора, то есть корыстных сотрудников.
Сейчас пробив информации(будь это банковский пробив или телеком) происходит почти непрерывно. Бороться с физ.лицами и ужесточать наказание для них - это значит бороться со следствием, а не с причиной. А причина - в плохой защите данных.
This media is not supported in your browser
VIEW IN TELEGRAM
В Москве на PickPoint совершена кибератака. Она затронула 2732 постамата, что составляет 25% сети: дверцы открылись сами собой.
Смотрите, какой интересный обзор мирового телеком-сегмента сделала компания Ericsson
Трафик в России в течении 6 лет вырастет в 3,8 раза: с 18,4 Гб на абонента, до 70 Гб
К концу 2020 года в сетях 5G будет уже 220 млн подключений
В 2026 году подключения 5G достигнут 3,5 млрд
Растёт скорость=растёт трафик=растёт объём данных=растёт количество кибератак и утечек.
https://www.ericsson.com/en/mobility-report/reports/november-2020
Трафик в России в течении 6 лет вырастет в 3,8 раза: с 18,4 Гб на абонента, до 70 Гб
К концу 2020 года в сетях 5G будет уже 220 млн подключений
В 2026 году подключения 5G достигнут 3,5 млрд
Растёт скорость=растёт трафик=растёт объём данных=растёт количество кибератак и утечек.
https://www.ericsson.com/en/mobility-report/reports/november-2020
Nokia будет развивать 6G
Евросоюз выделил деньги Nokia на развитие сетей 6G. Предполагается, что они будут работать на терагерцевых частотах. Сама технология должна появиться к 2030 году.
5G все ещё находятся в зачаточном состоянии, но некоторые государства, такие как США, Китай уже работают над развитием нового поколения связи.
Евросоюз выделил деньги Nokia на развитие сетей 6G. Предполагается, что они будут работать на терагерцевых частотах. Сама технология должна появиться к 2030 году.
5G все ещё находятся в зачаточном состоянии, но некоторые государства, такие как США, Китай уже работают над развитием нового поколения связи.
Нас всех ждёт полная аська
Появился рейтинг приложений для обязательной предустановки. В рейтинг вошло 29 приложений по разным категорям: от браузеров до новостных агрегаторов.
Из отобранных минцифры приложений 5 принадлежат Яндексу, 13 - Mail.ru Group. Интересно, что рейтинг формировали на основании заявок правообладателей. В заявках указывалось число пользователей за последний год.
В список попали наш любимый самый безопасный мессенджер ICQ, Яндекс браузер, приложение платежной системы”Мир” и ВНИМАНИЕ приложение газеты “Ведомости”, у которой в этом году скандально сменился главный редактор.
Не знаем, что думаете вы, но у нас, глядя на список, возникают сомнения насчет того, что его формировали с учетом предпочтений пользователей.
Кстати, из производителей смартфонов согласились предустанавливать российский софт Samsung и Xiaomi. Интересно будет узнать, что они думают после публикации списка. Насчет Apple, у которой ограничен список приложений для предустановки, сказать нечего. Тут все понятно итак.
Появился рейтинг приложений для обязательной предустановки. В рейтинг вошло 29 приложений по разным категорям: от браузеров до новостных агрегаторов.
Из отобранных минцифры приложений 5 принадлежат Яндексу, 13 - Mail.ru Group. Интересно, что рейтинг формировали на основании заявок правообладателей. В заявках указывалось число пользователей за последний год.
В список попали наш любимый самый безопасный мессенджер ICQ, Яндекс браузер, приложение платежной системы”Мир” и ВНИМАНИЕ приложение газеты “Ведомости”, у которой в этом году скандально сменился главный редактор.
Не знаем, что думаете вы, но у нас, глядя на список, возникают сомнения насчет того, что его формировали с учетом предпочтений пользователей.
Кстати, из производителей смартфонов согласились предустанавливать российский софт Samsung и Xiaomi. Интересно будет узнать, что они думают после публикации списка. Насчет Apple, у которой ограничен список приложений для предустановки, сказать нечего. Тут все понятно итак.
"Лаборатория Касперского” выпустит антихакерский смартфон
Лаборатория Касперского хочет выпустить российский смартфон с операционной системой, у которой будет “защищенный” режим. Компания хочет, чтобы смартфон был неуязвимым перед киберугрозами. Он может быть востребованным у госслужащих, корпораций и служб управления инфраструктурой.
Мечта Касперского, чтобы смартфон использовали для управления инфраструктурой: “Представьте: движением пальца пользователь переключает телефон на нашу безопасную ОС для управления турбиной электростанций или чего-то еще”.
Отдельного AppStore на нем пока не будет, но в дальнейшем для развития собственной экосистемы магазины приложений могут появиться на устройстве. Производством смартфонов и установкой на них ОС будет заниматься китайская компания. Какая - пока не известно.
Лаборатория Касперского хочет выпустить российский смартфон с операционной системой, у которой будет “защищенный” режим. Компания хочет, чтобы смартфон был неуязвимым перед киберугрозами. Он может быть востребованным у госслужащих, корпораций и служб управления инфраструктурой.
Мечта Касперского, чтобы смартфон использовали для управления инфраструктурой: “Представьте: движением пальца пользователь переключает телефон на нашу безопасную ОС для управления турбиной электростанций или чего-то еще”.
Отдельного AppStore на нем пока не будет, но в дальнейшем для развития собственной экосистемы магазины приложений могут появиться на устройстве. Производством смартфонов и установкой на них ОС будет заниматься китайская компания. Какая - пока не известно.
Данные COVID-больных Москвы слиты
Все данные больных хранили в google-таблицах с открытым доступом.
В архиве весом около 1 Гб находится 362 файла форматов Word, Excel, PDF, JPG. Перс. данные содержат ФИО, место проживания, номера телефона, полиса ОМС, дату рождения, диагноз. Архив содержит данные переболевших с апреля по июнь, а также информацию, составляющую мед.тайну.
Ждите звонков с рекламой и предложением пройти обследование. И это самое лучшее, что может произойти.
Все данные больных хранили в google-таблицах с открытым доступом.
В архиве весом около 1 Гб находится 362 файла форматов Word, Excel, PDF, JPG. Перс. данные содержат ФИО, место проживания, номера телефона, полиса ОМС, дату рождения, диагноз. Архив содержит данные переболевших с апреля по июнь, а также информацию, составляющую мед.тайну.
Ждите звонков с рекламой и предложением пройти обследование. И это самое лучшее, что может произойти.
Власти Москвы подтвердили, что данные больных COVID были слиты
Руководитель ДИТ Эдуард Лысенко сказал, что взломов и несанкционированного вмешательства не было. Все дело в «человеческом факторе». Сотрудники, которые имели доступ к персональных данным, слили их. Или, как выражается Лысенко: «Допустили передачу этих файлов третьим лицам».
Руководитель ДИТ Эдуард Лысенко сказал, что взломов и несанкционированного вмешательства не было. Все дело в «человеческом факторе». Сотрудники, которые имели доступ к персональных данным, слили их. Или, как выражается Лысенко: «Допустили передачу этих файлов третьим лицам».
Любителей Starbucks спасла программа Bug Bounty
У бренда кофе была уязвимость на мобильной платформе для пользователей из Сингапура. Её обнаружил исследователь из программы Bug Bounty. Он косвенно намекнул на то, что уязвимость, которая могла привести к удаленному выполнению кода (RCE) распространяется и на другие локальные мобильные платформы.
За информацию об уязвимости Starbucks выплатили ему $5600.
За последние 10 лет настало время, когда IT-системы используются компаниями и сервисами от доставки еды до учебных заведений. И эта история - тот самый случай, когда $5600, выплаченных исследователю безопасности, потенциально сохранили компании гораздо большие суммы и репутацию перед клиентами в мире.
У бренда кофе была уязвимость на мобильной платформе для пользователей из Сингапура. Её обнаружил исследователь из программы Bug Bounty. Он косвенно намекнул на то, что уязвимость, которая могла привести к удаленному выполнению кода (RCE) распространяется и на другие локальные мобильные платформы.
За информацию об уязвимости Starbucks выплатили ему $5600.
За последние 10 лет настало время, когда IT-системы используются компаниями и сервисами от доставки еды до учебных заведений. И эта история - тот самый случай, когда $5600, выплаченных исследователю безопасности, потенциально сохранили компании гораздо большие суммы и репутацию перед клиентами в мире.
Хакеры получили документы о вакцине против коронавируса от Pfizer
Хакеры атаковали европейское агентство по лекарственным средствам. В результате атаки они получили доступ к документам, касающимся регистрации вакцины.
Пока неизвестно, какая группировка стоит за атакой и получили ли они доступ к персональным данным добровольцев, участвовавших в испытании вакцины.
Эффективность вакцины от Pfizer и BioNTech оценивается в 95%. Компании недавно говорили о завершении третьего этапа испытаний, а тут неожиданно произошла атака. Версии разные: промышленный шпионаж, окологосударственные хакерские группировки. Возможно, сейчас кто-то в авральном режиме апгрейдит свою вакцину после этой атаки и обгонит Pfizer. Вы люди неглупые, догадаетесь сами🙂
Хакеры атаковали европейское агентство по лекарственным средствам. В результате атаки они получили доступ к документам, касающимся регистрации вакцины.
Пока неизвестно, какая группировка стоит за атакой и получили ли они доступ к персональным данным добровольцев, участвовавших в испытании вакцины.
Эффективность вакцины от Pfizer и BioNTech оценивается в 95%. Компании недавно говорили о завершении третьего этапа испытаний, а тут неожиданно произошла атака. Версии разные: промышленный шпионаж, окологосударственные хакерские группировки. Возможно, сейчас кто-то в авральном режиме апгрейдит свою вакцину после этой атаки и обгонит Pfizer. Вы люди неглупые, догадаетесь сами🙂