Как относить к намерению Apple и Google регулировать сбор данных пользователей?
Anonymous Poll
72%
Это правильное решение
15%
Слишком жёстко для разработчиков
13%
Не знаю
Google выплатил $6, 7 млн участникам Bug Bounty
Такая сумма - совокупность всех вознаграждений за 2020 год. Самая большая разовая выплата составила $132 тыс. Это, во-первых, заставляет задуматься о том, что «легальный» хакинг тоже может быть хорошим способом заработать деньги. Во-вторых, можно сделать вывод о том, что в продуктах гугла много дыр: всего награждено 622 участника. Наверняка, кто-то работал командами, но все же 622 человека - достаточно большие цифры. Google всегда была одной из самых щедрых компаний в рамках Bug Bounty. Не малую роль в этом играет понимание того, сколько денег можно сэкономить. Что лучше: выплатить $6,7 млн участникам, обнаружившим уязвимости или потерять миллиарды, когда уже будет поздно? Вопрос риторический.
https://www.xda-developers.com/google-paid-over-6-7-million-bug-bounty-rewards-2020/
Такая сумма - совокупность всех вознаграждений за 2020 год. Самая большая разовая выплата составила $132 тыс. Это, во-первых, заставляет задуматься о том, что «легальный» хакинг тоже может быть хорошим способом заработать деньги. Во-вторых, можно сделать вывод о том, что в продуктах гугла много дыр: всего награждено 622 участника. Наверняка, кто-то работал командами, но все же 622 человека - достаточно большие цифры. Google всегда была одной из самых щедрых компаний в рамках Bug Bounty. Не малую роль в этом играет понимание того, сколько денег можно сэкономить. Что лучше: выплатить $6,7 млн участникам, обнаружившим уязвимости или потерять миллиарды, когда уже будет поздно? Вопрос риторический.
https://www.xda-developers.com/google-paid-over-6-7-million-bug-bounty-rewards-2020/
XDA Developers
Google paid out over $6.7 million in bug bounty rewards last year
In 2020, Google paid over $6.7 million to security researchers around the world for reporting security vulnerabilities in Google products.
Данные об эскортницах и их клиентах утекли в сеть
Киберугрозы медленно, но верно доходят до секс-индустрии. То у Tinder с Grindr проблемы, то PornHub, чувствуя время, усложняет правила верификации и добавляет биометрию, а про мужской пояс верности, блокирующийся через приложение, не слышал только ленивый. Теперь и бедные мексиканские эскортницы пострадали от большой дыры. Естественно, на их сайте.
На сервисе была информация о
472 695 участников. Это как 50% жителей Воронежа. Информация включала отображаемое имя, адрес электронной почты, хэшированные пароли MD5, необязательные имена учетных записей Skype, дату рождения и IP-адрес.
Работницы индустрии делились там фотографиями, контактной информацией и биографией с потенциальными клиентами. Клиенты же публиковали отзывы и оценивали девушек, основываясь на своём опыте. Стандартно, как и везде.
Утечка большая и грозит серьезными проблемами пострадавшим: тут вам и шантаж и даже самоубийство, если у кого-то особо сложная ситуация и слабая психика.
Киберугрозы медленно, но верно доходят до секс-индустрии. То у Tinder с Grindr проблемы, то PornHub, чувствуя время, усложняет правила верификации и добавляет биометрию, а про мужской пояс верности, блокирующийся через приложение, не слышал только ленивый. Теперь и бедные мексиканские эскортницы пострадали от большой дыры. Естественно, на их сайте.
На сервисе была информация о
472 695 участников. Это как 50% жителей Воронежа. Информация включала отображаемое имя, адрес электронной почты, хэшированные пароли MD5, необязательные имена учетных записей Skype, дату рождения и IP-адрес.
Работницы индустрии делились там фотографиями, контактной информацией и биографией с потенциальными клиентами. Клиенты же публиковали отзывы и оценивали девушек, основываясь на своём опыте. Стандартно, как и везде.
Утечка большая и грозит серьезными проблемами пострадавшим: тут вам и шантаж и даже самоубийство, если у кого-то особо сложная ситуация и слабая психика.
Cybrary до конца февраля сделали бесплатными свои самые лучшие курсы по кибербезопасности. Там сертификат CISSP, внутренние угрозы, основы облачной архитектуры, управление доступом к идентификаторам AWS и много всего ещё.
Ссылка на Reddit:
https://www.reddit.com/r/cybersecurity/comments/le0pt9/free_training_month_of_february_cybrary_select/
Ссылка на Reddit:
https://www.reddit.com/r/cybersecurity/comments/le0pt9/free_training_month_of_february_cybrary_select/
«Свободный» мессенджер Signal оказался не таким
Снова вспоминаем WhatsApp, который своей PR-ошибкой заварил кашу с ростом аудитории у Signal и Telegram. Мессенджер всего лишь неправильно преподнёс пользователям обновление политики конфиденциальности, а рок-звезды IT - Дуров и Илон Маск прорекламировали более безопасные и «свободные» мессенджеры на волне всеобщей паники.
Ну так вот в чем соль: иранские власти заблокировали Signal на своей территории. Ответка от мессенджера была такая: Давайте поддержим цифровую демократию и создадим TLS-прокси для обхода блокировки.
Исследователь DuckSoft обнаружил в прокси уязвимость и написал об этом статью на GitHub. Админы Signal выразили недовольство, назвав исследователя не этичным и безответственным, а статью с GitHub удалили. По их мнению, надо было по тихому нашептать об обнаруженной уязвимости специалистам по безопасности, а не выкатывать статью на GitHub. Исследователи перезалили статью на GitHub после удаления, а потом и BleepingComputer написал об обнаруженной уязвимости.
Под давлением админов Signal статью с BleepingComputer удалили. Цензура от «свободного» мессенджера? Везде двойные стандарты(
Снова вспоминаем WhatsApp, который своей PR-ошибкой заварил кашу с ростом аудитории у Signal и Telegram. Мессенджер всего лишь неправильно преподнёс пользователям обновление политики конфиденциальности, а рок-звезды IT - Дуров и Илон Маск прорекламировали более безопасные и «свободные» мессенджеры на волне всеобщей паники.
Ну так вот в чем соль: иранские власти заблокировали Signal на своей территории. Ответка от мессенджера была такая: Давайте поддержим цифровую демократию и создадим TLS-прокси для обхода блокировки.
Исследователь DuckSoft обнаружил в прокси уязвимость и написал об этом статью на GitHub. Админы Signal выразили недовольство, назвав исследователя не этичным и безответственным, а статью с GitHub удалили. По их мнению, надо было по тихому нашептать об обнаруженной уязвимости специалистам по безопасности, а не выкатывать статью на GitHub. Исследователи перезалили статью на GitHub после удаления, а потом и BleepingComputer написал об обнаруженной уязвимости.
Под давлением админов Signal статью с BleepingComputer удалили. Цензура от «свободного» мессенджера? Везде двойные стандарты(
Google сдались полиции
Полиция города Миннеаполис, где в 2020 проходили погромы после смерти Джорджа Флойда, надавила на Google. Компании пришлось раскрыть данные участников погромов.
Конкретизируем: полиция получила доступ к учетным записям, привязанным к устройствам, которые согласно метаданным были рядом с местами погромов. Google сдалась. Сначала компания уведомила каждого, кого сдала копам, а потом их обыскали сами полицейские.
Но это не первый раз, когда правоохранители США отправляют подобные запросы. В 2019 году только за одну неделю они направили 190 таких запросов. Ай-ай-ай!
Эти действия, оказывается, противоречат конституции США, так как Google передаёт данные тех, кто был рядом, а не тех, кто точно был виновен.
Но не нам в России этому удивляться)
Полиция города Миннеаполис, где в 2020 проходили погромы после смерти Джорджа Флойда, надавила на Google. Компании пришлось раскрыть данные участников погромов.
Конкретизируем: полиция получила доступ к учетным записям, привязанным к устройствам, которые согласно метаданным были рядом с местами погромов. Google сдалась. Сначала компания уведомила каждого, кого сдала копам, а потом их обыскали сами полицейские.
Но это не первый раз, когда правоохранители США отправляют подобные запросы. В 2019 году только за одну неделю они направили 190 таких запросов. Ай-ай-ай!
Эти действия, оказывается, противоречат конституции США, так как Google передаёт данные тех, кто был рядом, а не тех, кто точно был виновен.
Но не нам в России этому удивляться)
НАТО против 5G в России
Без нормальной связи могут остаться 11 субъектов. Все дело в недоступности частот. Хорошие частоты (3,4-3,8 ГГц) не хотят отдавать военные, а 4,8-4,99, которые хочет Минцифры, могут быть недоступны из-за военных НАТО.
В общем, балтийские страны высказались против того, чтобы базовые станции для 5G располагались в 350 км от границ, так как они могут мешать радиолокационным системам. В Финляндии, Латвии и тд все средства радиолокации унифицированы с ЕС, поэтому для размещения нашего оборудования требуется дополнительное согласование.
Первым может огрести МТС, так как оператор сейчас тестирует свою зону 5G в Кронштадте, следом проблемы появятся на Кавказе(рядом Азербайджан и Грузия, которые закупают западное вооружение).
Российское оборудование для 5G делает «Ростех». На днях они презентовали первую российскую базовую станцию для 4G(на фото 👆)
Без нормальной связи могут остаться 11 субъектов. Все дело в недоступности частот. Хорошие частоты (3,4-3,8 ГГц) не хотят отдавать военные, а 4,8-4,99, которые хочет Минцифры, могут быть недоступны из-за военных НАТО.
В общем, балтийские страны высказались против того, чтобы базовые станции для 5G располагались в 350 км от границ, так как они могут мешать радиолокационным системам. В Финляндии, Латвии и тд все средства радиолокации унифицированы с ЕС, поэтому для размещения нашего оборудования требуется дополнительное согласование.
Первым может огрести МТС, так как оператор сейчас тестирует свою зону 5G в Кронштадте, следом проблемы появятся на Кавказе(рядом Азербайджан и Грузия, которые закупают западное вооружение).
Российское оборудование для 5G делает «Ростех». На днях они презентовали первую российскую базовую станцию для 4G(на фото 👆)
Новостей так много, что лучше коротко обо всем в одном посте:
-В Китае заблокировали голосовую социальную сеть ClubHous, так как жители страны могли обсуждать в ней политические темы без цензуры.
-ЕС хочет, чтобы Google платил СМИ за контент. Пример им подали Австралийские власти, где компания сначала отказалась платить медиа, но после объявления поисковика от Microsoft доминирующим резко передумала.
-Роскомнадзор сделал приложение, где любой Homo Sapiens сможет подать жалобу на любой сайт. Плюс там один: если ваш сайт заблокировали, вы получите извещение об этом.
-В приложении для сканирования QR-кодов обнаружили троян. После этого его удалили из Google Play. На момент удаления его скачали более 10 млн раз.
-В Китае заблокировали голосовую социальную сеть ClubHous, так как жители страны могли обсуждать в ней политические темы без цензуры.
-ЕС хочет, чтобы Google платил СМИ за контент. Пример им подали Австралийские власти, где компания сначала отказалась платить медиа, но после объявления поисковика от Microsoft доминирующим резко передумала.
-Роскомнадзор сделал приложение, где любой Homo Sapiens сможет подать жалобу на любой сайт. Плюс там один: если ваш сайт заблокировали, вы получите извещение об этом.
-В приложении для сканирования QR-кодов обнаружили троян. После этого его удалили из Google Play. На момент удаления его скачали более 10 млн раз.
В международный день безопасного интернета история о том, как небезопасен интернет:
Во Флориде хакеры атаковали систему водоочистки. Атака могла потенциально нанести вред здоровью и жизни людей, если бы её вовремя не заметили.
На объекте для очистки воды стоял компьютер с TeamViewer. Это нужно было для того, чтобы сотрудники могли удаленно контролировать ситуацию в системе. Хакер подобрал пароль к TeamViewer и повысил концентрацию едкого вещества, поступающего в воду для ее очистки, в 100 раз.
Жителям города Олдсмар очень повезло. Оператор станции заметил удалённую активность и прекратил вмешательство. Если бы его не предотвратили, то утром кто-нибудь мог умыться щелочью и остаться без глаз.
Максимально глупо подключать объект критической инфраструктуры к интернету и к тому же ставить TeamViewer.
Теперь делом займётся ФБР.
Во Флориде хакеры атаковали систему водоочистки. Атака могла потенциально нанести вред здоровью и жизни людей, если бы её вовремя не заметили.
На объекте для очистки воды стоял компьютер с TeamViewer. Это нужно было для того, чтобы сотрудники могли удаленно контролировать ситуацию в системе. Хакер подобрал пароль к TeamViewer и повысил концентрацию едкого вещества, поступающего в воду для ее очистки, в 100 раз.
Жителям города Олдсмар очень повезло. Оператор станции заметил удалённую активность и прекратил вмешательство. Если бы его не предотвратили, то утром кто-нибудь мог умыться щелочью и остаться без глаз.
Максимально глупо подключать объект критической инфраструктуры к интернету и к тому же ставить TeamViewer.
Теперь делом займётся ФБР.
Так выглядит интерфейс управления системой очистки воды. Хакер, который попал сюда через TeamViewer чуть не навредил здоровью 15 000 человек.
https://twitter.com/infracritical/status/1359231073964670985
https://twitter.com/infracritical/status/1359231073964670985
Новость об атаке на разработчика «Киберпанк 2077» оказалась правдой
Польский разработчик игр «CD Project Red» подвергся атаке вымогателя. Об этом компания сообщает в своём твиттере.
Вымогатель говорит, что если в течении 48-и часов не получит выкуп, компромат, исходные коды игр и все данные будут слиты в сеть, а все данные на серверах компании зашифрованы и будут удалены.
«Ваша репутация станет ещё дерьмовее, а люди увидят, насколько дерьмово работает ваша компания. Инвесторы потеряют доверие к вашей компании, а акции упадут в цене ещё сильнее», — говорится в письме.
Телеграм-канал «Утечки информации» говорит, что несколько часов назад на «4chan» была выложена ссылка на скачивание архива с исходным кодом игры «Gwent: The Witcher Card Game»
Польский разработчик игр «CD Project Red» подвергся атаке вымогателя. Об этом компания сообщает в своём твиттере.
Вымогатель говорит, что если в течении 48-и часов не получит выкуп, компромат, исходные коды игр и все данные будут слиты в сеть, а все данные на серверах компании зашифрованы и будут удалены.
«Ваша репутация станет ещё дерьмовее, а люди увидят, насколько дерьмово работает ваша компания. Инвесторы потеряют доверие к вашей компании, а акции упадут в цене ещё сильнее», — говорится в письме.
Телеграм-канал «Утечки информации» говорит, что несколько часов назад на «4chan» была выложена ссылка на скачивание архива с исходным кодом игры «Gwent: The Witcher Card Game»
Twitter
CD PROJEKT RED
Important Update
Цифра дня: ₽4,8 млн потратит МВД на разработку «Зеркало(Верблюд)». Так будет называться технология для распознавания дипфейков.
Это массовое обновление прошивки электромобилей Tesla. Кажется, киберпанк уже наша новая реальность.
https://youtu.be/_vILvEhCx9w
https://youtu.be/_vILvEhCx9w
YouTube
Tesla software update
Enjoy the videos and music you love, upload original content, and share it all with friends, family, and the world on YouTube.
Центробанк провёл антихакерские учения. 17 банков было оштрафовано за несоблюдение требований информационной безопасности.
Apple выпустила обновление для macOS. В нем пофиксили уязвимость sudo.
Microsoft исправила 0-day уязвимость и ещё 50 багов в своих продуктах.
Джек Дорси(основатель twitter) хочет создать магазин алгоритмов. Это будет магазин, как App Store или Google Play, но вместо приложений пользователи смогут выбирать в нем рекомендательные алгоритмы.
Мегафон объявил о создании совместного предприятия с крупнейшим оператором Узбекистана.
Apple выпустила обновление для macOS. В нем пофиксили уязвимость sudo.
Microsoft исправила 0-day уязвимость и ещё 50 багов в своих продуктах.
Джек Дорси(основатель twitter) хочет создать магазин алгоритмов. Это будет магазин, как App Store или Google Play, но вместо приложений пользователи смогут выбирать в нем рекомендательные алгоритмы.
Мегафон объявил о создании совместного предприятия с крупнейшим оператором Узбекистана.
Коммерсантъ
Враг будет разбит, победа будет за банком
ЦБ впервые провел дистанционные антихакерские учения
Исследователь безопасности обратил внимание на внутренние пакеты, упоминающиеся в статье сотрудника PayPal, среди них analytics-PayPal. Он решил провести эксперимент и добавил пакет с таким же названием в публичный репозиторий. Часть внутреннего софта компании собралась с использованием его пакета. Дальше исследователь провернул такую же атаку на другие IT-компании.
https://www.bleepingcomputer.com/news/security/researcher-hacks-microsoft-apple-more-in-novel-supply-chain-attack/
https://www.bleepingcomputer.com/news/security/researcher-hacks-microsoft-apple-more-in-novel-supply-chain-attack/
BleepingComputer
Researcher hacks over 35 tech firms in novel supply chain attack
A researcher managed to hack systems of over 35 major tech companies including Microsoft, Apple, PayPal, Shopify, Netflix, Tesla, Yelp, Tesla, and Uber in a novel software supply chain attack. For his ethical hacking research efforts, the researcher has been…
Цитата дня
«Единственная успешная попытка выйти за границы русскоязычного интернета - это Telegram» - Юрий Мильнер, основатель DST Global в интервью каналу «Русские норм».
Цифра дня
7000 км проехали роботы-курьеры «Яндекса», доставив 1500 заказов с конца 2020 года в Москве и Иннополисе
Новость дня
Минцифры доработало требования для включения в реестр отечественного ПО. Технические средства для выпуска ПО, исходный код и объектный код должны храниться на территории РФ.
«Единственная успешная попытка выйти за границы русскоязычного интернета - это Telegram» - Юрий Мильнер, основатель DST Global в интервью каналу «Русские норм».
Цифра дня
7000 км проехали роботы-курьеры «Яндекса», доставив 1500 заказов с конца 2020 года в Москве и Иннополисе
Новость дня
Минцифры доработало требования для включения в реестр отечественного ПО. Технические средства для выпуска ПО, исходный код и объектный код должны храниться на территории РФ.
Яндекс - найдётся все! И переписки Вашей почты - тоже 😅
Компания обнаружила внутреннюю утечку информации в ходе регулярной проверки. Сотрудник, один из трёх системных администраторов, обладавших правами доступа, которые нужны для технической поддержки сервиса, предоставлял несанкционированный доступ в почтовые ящики пользователей. Скомпрометировано 4887 почтовых ящиков.
Компания приняла решение первой объявить об этой проблеме и приступила к её устранению, чтобы избежать критики таких вот, как мы, например)
https://yandex.ru/company/press_releases/2021/2021-02-12
Компания обнаружила внутреннюю утечку информации в ходе регулярной проверки. Сотрудник, один из трёх системных администраторов, обладавших правами доступа, которые нужны для технической поддержки сервиса, предоставлял несанкционированный доступ в почтовые ящики пользователей. Скомпрометировано 4887 почтовых ящиков.
Компания приняла решение первой объявить об этой проблеме и приступила к её устранению, чтобы избежать критики таких вот, как мы, например)
https://yandex.ru/company/press_releases/2021/2021-02-12
Компания Яндекс
Служба безопасности Яндекса раскрыла факт внутренней утечки
В ходе регулярной проверки службой безопасности Яндекса был раскрыт факт внутренней утечки. Во время внутреннего расследования было обнаружено, что сотрудник предоставлял несанкционированный доступ в почтовые ящики пользователей.
This media is not supported in your browser
VIEW IN TELEGRAM
Лукашенко сказал, что умные люди давно ищут кнопочные телефоны, так как американцы через «двенадцатые айфоны» за всеми следят.
Цитата дня
«Если мы введём рекламу в каналах, она будет контекстной, основанной на теме канала, а не таргетированной на основе каких-либо пользовательских данных» - Павел Дуров о модели монетизации Telegram
Цифра дня
$111 млрд. Столько потратили пользователи в мобильных приложениях в 2020 году.
Новость дня
Mail.ru Group, USM, РФПИ и «Мегафон» создают два совместных предприятия для развития платежей и финансовых услуг
«Если мы введём рекламу в каналах, она будет контекстной, основанной на теме канала, а не таргетированной на основе каких-либо пользовательских данных» - Павел Дуров о модели монетизации Telegram
Цифра дня
$111 млрд. Столько потратили пользователи в мобильных приложениях в 2020 году.
Новость дня
Mail.ru Group, USM, РФПИ и «Мегафон» создают два совместных предприятия для развития платежей и финансовых услуг