🔒 Атаки по слоям
Нашёл тут интересную схему с кибератаками, расписанными по слоям модели OSI.
Думаю, что многим может пригодиться для структурирования и визуализации модели атак в работе и на собеседованиях. Ловите.
#Полезное
Пакет Безопасности
Нашёл тут интересную схему с кибератаками, расписанными по слоям модели OSI.
Думаю, что многим может пригодиться для структурирования и визуализации модели атак в работе и на собеседованиях. Ловите.
#Полезное
Пакет Безопасности
🔥10👍5❤🔥2❤2⚡1👎1🤯1
📱 Угон аккаунта в подарок
Новая волна взломов обрушилась на пользователей Telegram. На этот раз угон аккаунта осуществляется через рассылку личных сообщений от знакомых контактов в мессенджере. Схема достаточно примитивная, но в этот раз обёрнута в привлекательное предложение.
Итак, в личные сообщения от знакомого человека приходит подарок с Telegram Premium (скрин ниже) с активной кнопкой “Получить Premium”. Если вы нажмёте на эту кнопку, то вас перебросит в чат-бота, который и угонит ваш аккаунт.
Внимание!
Настроенная двухфакторная аутентификация не поможет и вы точно также потеряете доступ к вашему личному профилю. Поэтому, если вдруг вам придёт подобный подарок, ни в коем случае не нажимайте на эту кнопку и никак не отвечайте на сообщение. Для вашего же спокойствия, вы можете связаться с этим человеком (не через телеграм), чтобы убедиться в том, что вам ничего не отправляли и это был обычный фишинг.
Берегите себя и будьте на чеку.
#Кибергигиена
Пакет Безопасности
Новая волна взломов обрушилась на пользователей Telegram. На этот раз угон аккаунта осуществляется через рассылку личных сообщений от знакомых контактов в мессенджере. Схема достаточно примитивная, но в этот раз обёрнута в привлекательное предложение.
Итак, в личные сообщения от знакомого человека приходит подарок с Telegram Premium (скрин ниже) с активной кнопкой “Получить Premium”. Если вы нажмёте на эту кнопку, то вас перебросит в чат-бота, который и угонит ваш аккаунт.
Внимание!
Настроенная двухфакторная аутентификация не поможет и вы точно также потеряете доступ к вашему личному профилю. Поэтому, если вдруг вам придёт подобный подарок, ни в коем случае не нажимайте на эту кнопку и никак не отвечайте на сообщение. Для вашего же спокойствия, вы можете связаться с этим человеком (не через телеграм), чтобы убедиться в том, что вам ничего не отправляли и это был обычный фишинг.
Берегите себя и будьте на чеку.
#Кибергигиена
Пакет Безопасности
👍16😱6❤3❤🔥3🤯2⚡1🔥1🤝1
👨🏫 Работа над ошибками репутацией
У Сережи Мезенцова вышло откровенное интервью с хэдами из Яндекса. Выпуск всецело посвящен данным, их безопасности и тому самому сливу из Яндекс Еды. Интервьюер максимально старался заставить технических специалистов говорить на понятном для всех языке, и кажется, что у него это неплохо получилось.
Ребята из Яндекса подтвердили, что это была не просто утечка по вине сотрудника или системной ошибке, а полноценный взлом серверов компании. Само собой, специалисты из ИБ утверждают, что это были внешние сервера вне основного периметра безопасности компании. Хочется надеяться на то, что это правда, и инфраструктура Яндекса не была скомпрометирована). Очень странно конечно, что за такой большой промежуток времени (с момента покупки родоначальника сервиса доставки еды от Яндекса) компания не успела перевезти все сервисы с чувствительной информацией в свой контур.
Само собой, представители компании несколько раз оправдывались тем, что данные утекают не только у них, ссылаясь на глобальную кибервойну. Сути того, что утечка произошла у такой именитой организации с высоким уровнем зрелости ИТ и ИБ, это не меняет. Напомню, что это был не простой слив информации, ведь там были комплексные данные о клиентах с указанием ФИО, номеров телефонов, адресов доставки и стоимости заказов.
Очень хорошо, что на интервью была затронута тема действий при возникновении подобного инцидента информационной безопасности. Лично я уже несколько раз участвовал в подобных процедурах расследования и приятным его назвать нельзя. Нужно сделать много целевых действий и не совершить лишних ошибок при верификации слитых данных, ведь они также могут быть заражены. Также нужно убедиться в том, что злоумышленника всё еще нет в периметре безопасности и найти следы его деятельности, пока не утекло еще больше данных, например.
Лучше заранее озаботиться проработкой всего сценария действий на случай подобного происшествия, потому что во время горячки будет точно не до этого. Нужно заранее выстроить алгоритм взаимодействия как с ИТ, бизнесом, так и со СМИ.
Ах да, возвращаясь к инциденту Яндекса и тому, что компания признала это взломом в результате хакерской атаки. Примерно в то же время, когда и было опубликовано интервью, в Интерфаксе вышла новость о том, что Яндекс.Еда признана потерпевшей стороной по делу об утечке данных клиентов. Что тут еще сказать – очень удобно. Думаю, что в одном из следующих постов мы обсудим те штрафы и последствия, которые грозят компаниям в РФ за утечку клиентских данных, и почему они этого не так сильно боятся.
#НовостьДня
Твой Пакет Безопасности
У Сережи Мезенцова вышло откровенное интервью с хэдами из Яндекса. Выпуск всецело посвящен данным, их безопасности и тому самому сливу из Яндекс Еды. Интервьюер максимально старался заставить технических специалистов говорить на понятном для всех языке, и кажется, что у него это неплохо получилось.
Ребята из Яндекса подтвердили, что это была не просто утечка по вине сотрудника или системной ошибке, а полноценный взлом серверов компании. Само собой, специалисты из ИБ утверждают, что это были внешние сервера вне основного периметра безопасности компании. Хочется надеяться на то, что это правда, и инфраструктура Яндекса не была скомпрометирована). Очень странно конечно, что за такой большой промежуток времени (с момента покупки родоначальника сервиса доставки еды от Яндекса) компания не успела перевезти все сервисы с чувствительной информацией в свой контур.
Само собой, представители компании несколько раз оправдывались тем, что данные утекают не только у них, ссылаясь на глобальную кибервойну. Сути того, что утечка произошла у такой именитой организации с высоким уровнем зрелости ИТ и ИБ, это не меняет. Напомню, что это был не простой слив информации, ведь там были комплексные данные о клиентах с указанием ФИО, номеров телефонов, адресов доставки и стоимости заказов.
Очень хорошо, что на интервью была затронута тема действий при возникновении подобного инцидента информационной безопасности. Лично я уже несколько раз участвовал в подобных процедурах расследования и приятным его назвать нельзя. Нужно сделать много целевых действий и не совершить лишних ошибок при верификации слитых данных, ведь они также могут быть заражены. Также нужно убедиться в том, что злоумышленника всё еще нет в периметре безопасности и найти следы его деятельности, пока не утекло еще больше данных, например.
Лучше заранее озаботиться проработкой всего сценария действий на случай подобного происшествия, потому что во время горячки будет точно не до этого. Нужно заранее выстроить алгоритм взаимодействия как с ИТ, бизнесом, так и со СМИ.
Ах да, возвращаясь к инциденту Яндекса и тому, что компания признала это взломом в результате хакерской атаки. Примерно в то же время, когда и было опубликовано интервью, в Интерфаксе вышла новость о том, что Яндекс.Еда признана потерпевшей стороной по делу об утечке данных клиентов. Что тут еще сказать – очень удобно. Думаю, что в одном из следующих постов мы обсудим те штрафы и последствия, которые грозят компаниям в РФ за утечку клиентских данных, и почему они этого не так сильно боятся.
#НовостьДня
Твой Пакет Безопасности
👍9⚡6❤🔥4🔥3🤯1
🤜 Битва титанов 🤛
В большинстве современных компаний с достаточно развитым уровнем зрелости IT существует парадигма, согласно которой ИТ постоянно борется с ИБ, а ИБ борется с ИТ. Этому зачастую подвержены компании, в которых эти домены развиваются независимо друг от друга и стоят на одной иерархической параллели. То есть никто из них друг другу не подчиняется.
Со стороны ИТ всё банально просто – разработчики пилят фичи, которые делают жизнь пользователей лучше, за счет чего бизнес генерирует больше денег. Но тут приходят “друзья” из ИБ и начинают вставлять палки в колёса, тормозя релизы, усложняя жизнь всем вокруг и увеличивают t2m. И, к сожалению, делают это зачастую без какой либо аргументации и объяснения причины того, зачем нужно встраивать тот или иной сканер безопасности. В итоге создаётся впечатление того, что все требования этих “друзей” формируются и выполняются сугубо для галочки.
Со стороны же ИБ всё иначе. Эта функция экономит бизнесу колоссальное количество денег, устраняя на ранней стадии как технологические риски (отказ инфраструктуры, утеря критически важных данных, некорректная работа сервисов), так и репутационных (слив данных пользователей, некачественная работа сервисов, публикация лозунгов прямо на лендингах и в приложениях). При этом, есть разработчики, которым абсолютно нет дела до безопасности, так как в их обязанности это не входит и им платят деньги за новые фичи и отсутствие багов.
Как итог мы имеем конфликт интересов, которого легко можно избежать, если кибербезопасность будет формулировать свои требования исходя из реальных угроз и бизнес-контекста продуктов, а разработчики будут понимать ценность тех приседаний, которые их заставляют повторять безопасники. Улучшить ситуацию способен и бизнес, который сможет собрать всех вместе и донести до каждой из сторон ценность друг друга. Ведь именно бизнес является тем самым главным потребителем всех безопасных и функциональных ИТ-продуктов.
На самом деле, проблема намного глубже и в ней сильно больше нюансов и контекста. Мы с моим коллегой однажды подробно расписали всю эту тему, да так, что аж на целую статью хватило. Поэтому велкам, если тема интересна – ссылка на лучшую статью тут и тут.
#Мнение
Пакет Безопасности
В большинстве современных компаний с достаточно развитым уровнем зрелости IT существует парадигма, согласно которой ИТ постоянно борется с ИБ, а ИБ борется с ИТ. Этому зачастую подвержены компании, в которых эти домены развиваются независимо друг от друга и стоят на одной иерархической параллели. То есть никто из них друг другу не подчиняется.
Со стороны ИТ всё банально просто – разработчики пилят фичи, которые делают жизнь пользователей лучше, за счет чего бизнес генерирует больше денег. Но тут приходят “друзья” из ИБ и начинают вставлять палки в колёса, тормозя релизы, усложняя жизнь всем вокруг и увеличивают t2m. И, к сожалению, делают это зачастую без какой либо аргументации и объяснения причины того, зачем нужно встраивать тот или иной сканер безопасности. В итоге создаётся впечатление того, что все требования этих “друзей” формируются и выполняются сугубо для галочки.
Со стороны же ИБ всё иначе. Эта функция экономит бизнесу колоссальное количество денег, устраняя на ранней стадии как технологические риски (отказ инфраструктуры, утеря критически важных данных, некорректная работа сервисов), так и репутационных (слив данных пользователей, некачественная работа сервисов, публикация лозунгов прямо на лендингах и в приложениях). При этом, есть разработчики, которым абсолютно нет дела до безопасности, так как в их обязанности это не входит и им платят деньги за новые фичи и отсутствие багов.
Как итог мы имеем конфликт интересов, которого легко можно избежать, если кибербезопасность будет формулировать свои требования исходя из реальных угроз и бизнес-контекста продуктов, а разработчики будут понимать ценность тех приседаний, которые их заставляют повторять безопасники. Улучшить ситуацию способен и бизнес, который сможет собрать всех вместе и донести до каждой из сторон ценность друг друга. Ведь именно бизнес является тем самым главным потребителем всех безопасных и функциональных ИТ-продуктов.
На самом деле, проблема намного глубже и в ней сильно больше нюансов и контекста. Мы с моим коллегой однажды подробно расписали всю эту тему, да так, что аж на целую статью хватило. Поэтому велкам, если тема интересна – ссылка на лучшую статью тут и тут.
#Мнение
Пакет Безопасности
❤🔥5👍5❤2🔥2🤔2⚡1🤯1
🚰 Цена утечки
На днях вышел анонс законопроекта от Минцфиры, в котором предлагается ввести штраф за утечку персональных данных. Размер штрафа при этом зафиксирован в виде 3% от оборота компании (судя по всему, годового).
Это огромный шаг в правильную сторону, так как в РФ на данный момент максимальный штраф за утечку составляет 500 000 руб., что абсолютно никак не пугает компании, на которые этот штраф накладывается. Компании зачастую теряют больше денег из-за репутационных издержек после публикации информации о сливах персональных данных клиентов.
Так вот, возьмем в пример инцидент со сливом данных клиентов сервиса Яндекс.Еда, о котором сама компания сообщила 1-го марта 2022 года. Именно на основе этой утечки была создана та самая интерактивная карта с адресами пользователей сервиса и данными об их заказах еды. Событие было крайне неприятным и повлекло за собой некоторые последствия. Позже эту карту начали обогащать информацией из других утечек (ГИБДД, Вайлдбериз, Авито), что по итогу полностью раскрывает данные о жизни людей и их привычках, а также даёт злоумышленникам целое напаханное поле для социальной инженерии или точечных взломов.
21 апреля сервис доставки еды был оштрафован на сумму 60 000 руб. за утечку персональных данных 58 тыс. пользователей. Думаю всем очевидно, что бизнес не почувствовал этого комариного укуса справедливости. Но, с введением в действие нового законопроекта, Яндекс заплатил бы порядка 10 680 000 000 руб. (с учетом оборота компании в 356 млрд. руб. за 2021 год). Хочется сразу сказать, что ни у меня, ни у Минцфиры (надеюсь) нет цели злостно наказать компании, которые и так пострадали от взлома и утечки. Напротив, хочется жить в мире, в котором компании будут осознавать весь груз ответственности за нарушение закона и прав своих клиентов. Именно тогда бизнес начнет выделять бОльшие бюджеты на обеспечение безопасности данных, закупку самых современных средств защиты и найм квалифицированных специалистов.
К слову, в мире такая практика с большими штрафами является нормой. Так, например, одну социальную сеть обязали выплатить штраф в размере 5 000 000 000 долларов за утечку персональных данных своих пользователей.
#НовостьДня
Пакет Безопасности
На днях вышел анонс законопроекта от Минцфиры, в котором предлагается ввести штраф за утечку персональных данных. Размер штрафа при этом зафиксирован в виде 3% от оборота компании (судя по всему, годового).
Это огромный шаг в правильную сторону, так как в РФ на данный момент максимальный штраф за утечку составляет 500 000 руб., что абсолютно никак не пугает компании, на которые этот штраф накладывается. Компании зачастую теряют больше денег из-за репутационных издержек после публикации информации о сливах персональных данных клиентов.
Так вот, возьмем в пример инцидент со сливом данных клиентов сервиса Яндекс.Еда, о котором сама компания сообщила 1-го марта 2022 года. Именно на основе этой утечки была создана та самая интерактивная карта с адресами пользователей сервиса и данными об их заказах еды. Событие было крайне неприятным и повлекло за собой некоторые последствия. Позже эту карту начали обогащать информацией из других утечек (ГИБДД, Вайлдбериз, Авито), что по итогу полностью раскрывает данные о жизни людей и их привычках, а также даёт злоумышленникам целое напаханное поле для социальной инженерии или точечных взломов.
21 апреля сервис доставки еды был оштрафован на сумму 60 000 руб. за утечку персональных данных 58 тыс. пользователей. Думаю всем очевидно, что бизнес не почувствовал этого комариного укуса справедливости. Но, с введением в действие нового законопроекта, Яндекс заплатил бы порядка 10 680 000 000 руб. (с учетом оборота компании в 356 млрд. руб. за 2021 год). Хочется сразу сказать, что ни у меня, ни у Минцфиры (надеюсь) нет цели злостно наказать компании, которые и так пострадали от взлома и утечки. Напротив, хочется жить в мире, в котором компании будут осознавать весь груз ответственности за нарушение закона и прав своих клиентов. Именно тогда бизнес начнет выделять бОльшие бюджеты на обеспечение безопасности данных, закупку самых современных средств защиты и найм квалифицированных специалистов.
К слову, в мире такая практика с большими штрафами является нормой. Так, например, одну социальную сеть обязали выплатить штраф в размере 5 000 000 000 долларов за утечку персональных данных своих пользователей.
#НовостьДня
Пакет Безопасности
👍11❤4🤯2😱2❤🔥1⚡1🌚1
🤔 Современные утечки требуют современных высказываний
Мы с вами всё еще живём в той эпохе, где все пользуются паролями, поэтому и новость сегодня соответствующая.
Только мы переварили признание от Яндекс Еды о том, что утечка данных клиентов произошла по причине хакерского взлома, как СЕО сервиса LastPass сделал публичное заявление. Оно касается последней атаки и утечки информации, которые, как оказалось, были реализованы при помощи получения доступа к облачному хранилищу, украденому (доступу) у одного из сотрудников компании.
Напомню, что менеджер паролей LastPass был неоднократно взломан за последние несколько месяцев. Так вот, это заявление главы компании подтвердило то, что злоумышленники действительно получили доступ и смогли вынести зашифрованные хранилища паролей пользователей сервиса. И отсюда мы можем сделать два вывода – хороший и плохой.
Хороший заключается в том, что хранилища данных пользователей спроектированы безопасно, а пароли хранятся в зашифрованном виде. Это означает, что для получения доступа к этим паролям, злоумышленникам необходим мастер-ключ, который есть только у пользователя.
Плохой вывод состоит в том, что этот мастер-ключ теперь можно подобрать при помощи брутфорса. Вопрос стоит только в том, что для перебора понадобится дополнительное время и ресурсы. Но кажется, что результат всё таки оправдает приложенные усилия. Рано или поздно все хранилища будут вскрыты и пароли пользователей станут доступны злоумышленникам.
Откровением лично для меня стал другой комментарий руководителя компании, касающийся того, какие именно данные были слиты, а именно – имена, адреса электронной почты, номера телефонов и некоторая платёжная информация. Что это за платёжная информация и что она делала в одном бэкапе вместе с другими данными – остаётся загадкой.
И да, если вы пользовались сервисом LastPass, то крайне рекомендую вам сменить все ваши пароли (как минимум ).
#НовостьДня
Твой Пакет Безопасности
Мы с вами всё еще живём в той эпохе, где все пользуются паролями, поэтому и новость сегодня соответствующая.
Только мы переварили признание от Яндекс Еды о том, что утечка данных клиентов произошла по причине хакерского взлома, как СЕО сервиса LastPass сделал публичное заявление. Оно касается последней атаки и утечки информации, которые, как оказалось, были реализованы при помощи получения доступа к облачному хранилищу, украденому (доступу) у одного из сотрудников компании.
Напомню, что менеджер паролей LastPass был неоднократно взломан за последние несколько месяцев. Так вот, это заявление главы компании подтвердило то, что злоумышленники действительно получили доступ и смогли вынести зашифрованные хранилища паролей пользователей сервиса. И отсюда мы можем сделать два вывода – хороший и плохой.
Хороший заключается в том, что хранилища данных пользователей спроектированы безопасно, а пароли хранятся в зашифрованном виде. Это означает, что для получения доступа к этим паролям, злоумышленникам необходим мастер-ключ, который есть только у пользователя.
Плохой вывод состоит в том, что этот мастер-ключ теперь можно подобрать при помощи брутфорса. Вопрос стоит только в том, что для перебора понадобится дополнительное время и ресурсы. Но кажется, что результат всё таки оправдает приложенные усилия. Рано или поздно все хранилища будут вскрыты и пароли пользователей станут доступны злоумышленникам.
Откровением лично для меня стал другой комментарий руководителя компании, касающийся того, какие именно данные были слиты, а именно – имена, адреса электронной почты, номера телефонов и некоторая платёжная информация. Что это за платёжная информация и что она делала в одном бэкапе вместе с другими данными – остаётся загадкой.
И да, если вы пользовались сервисом LastPass, то крайне рекомендую вам сменить все ваши пароли (
#НовостьДня
Твой Пакет Безопасности
❤🔥7👍6😁2🌚2⚡1🔥1🤯1
photo_2022-12-15_22-17-01.jpg
86.1 KB
Настало время поделиться одной полезной схемкой.
Очень годная шпаргалка по основным контролям для обеспечения безопасности всего и вся, начиная с данных и заканчивая периметром сети.
По сути, подсматривая в эту картинку, можно выстроить полноценный DevSecOps или довести безопасность в вашей компании до хорошего уровня зрелости.
#Полезное
Пакет Безопасности
Очень годная шпаргалка по основным контролям для обеспечения безопасности всего и вся, начиная с данных и заканчивая периметром сети.
По сути, подсматривая в эту картинку, можно выстроить полноценный DevSecOps или довести безопасность в вашей компании до хорошего уровня зрелости.
#Полезное
Пакет Безопасности
👍10❤3👏3❤🔥2⚡1🤯1
🤖 Альтрон или Скайнет?
Наверняка многие из вас уже слышали о том, как ChatGPT освоил новое ремесло и теперь умеет еще и собеседования за вас проходить.
Если коротко, то это создание принадлежит компании OpenAI, занимающейся разработкой и лицензированием технологий на основе машинного обучения. Изначально OpenAI была создана как некоммерческая организация с открытым исходным кодом. Но сейчас это не совсем так, что вызывает некоторые опасения.
К компании OpenAI имеют отношение многие громкие личности и организации, такие как Илон Макс и Microsoft. Первый был соучредителем компании, но позже вышел из состава директоров (по крайней мере, официально), а вот Майкрософт до сих пор поддерживает компанию огромными инвестициями.
На данный момент ChatGPT умеет писать сложные эссе, решать алгоритмы, искать баги и даже писать код. С последним пунктом есть некоторые проблемы, но разработчики явно нацелены на развитие продукта, особенно с учетом привлечения немалых инвестиций. С каждым днём чат-бот обрастает новыми функциями, а старые продолжают улучшаться, так как нейронка обучается.
Выглядит вся эта история, как косплей фильма про Мстителей, в котором Альтрона подключили к интернету. Кажется, что это следующая ступень эволюции и вектор развития задан правильный, но не нужно забывать про Скайнет. Этим озабочены уже и в Google, но у них есть и свой личный интерес по устранению конкурента.
Если посмотреть на всю эту историю со стороны кибербезопасности, то возникают опасения – как бы эту нейронку не научили еще и взламывать ресурсы в корыстных целях, ведь уже есть подробные гайды по тому, как это делать.
Изначально этот чат-бот создавался как искусственный интеллект, который должен принести пользу человечеству. Очень хочется надеяться, что эта идея живёт и по сей день. Если вы сами хотите попробовать ChatGPT в деле, то велкам.
#НовостьДня
Пакет Безопасности
Наверняка многие из вас уже слышали о том, как ChatGPT освоил новое ремесло и теперь умеет еще и собеседования за вас проходить.
Если коротко, то это создание принадлежит компании OpenAI, занимающейся разработкой и лицензированием технологий на основе машинного обучения. Изначально OpenAI была создана как некоммерческая организация с открытым исходным кодом. Но сейчас это не совсем так, что вызывает некоторые опасения.
К компании OpenAI имеют отношение многие громкие личности и организации, такие как Илон Макс и Microsoft. Первый был соучредителем компании, но позже вышел из состава директоров (по крайней мере, официально), а вот Майкрософт до сих пор поддерживает компанию огромными инвестициями.
На данный момент ChatGPT умеет писать сложные эссе, решать алгоритмы, искать баги и даже писать код. С последним пунктом есть некоторые проблемы, но разработчики явно нацелены на развитие продукта, особенно с учетом привлечения немалых инвестиций. С каждым днём чат-бот обрастает новыми функциями, а старые продолжают улучшаться, так как нейронка обучается.
Выглядит вся эта история, как косплей фильма про Мстителей, в котором Альтрона подключили к интернету. Кажется, что это следующая ступень эволюции и вектор развития задан правильный, но не нужно забывать про Скайнет. Этим озабочены уже и в Google, но у них есть и свой личный интерес по устранению конкурента.
Если посмотреть на всю эту историю со стороны кибербезопасности, то возникают опасения – как бы эту нейронку не научили еще и взламывать ресурсы в корыстных целях, ведь уже есть подробные гайды по тому, как это делать.
Изначально этот чат-бот создавался как искусственный интеллект, который должен принести пользу человечеству. Очень хочется надеяться, что эта идея живёт и по сей день. Если вы сами хотите попробовать ChatGPT в деле, то велкам.
#НовостьДня
Пакет Безопасности
👍7❤🔥4❤2🤯2⚡1
😱 И вот снова настало время страшных историй сливов
На этот раз речь пойдет о недавнем сливе данных водителей сервиса такси Сити Мобил. И да, это очередная утечка, опубликованная в сети от имени проукраинской группировки NLB. Эти ребята всё чаще начинают светиться в медиаполе (раз, два, три).
Сити Мобил уже подтвердил этот инцидент в СМИ, и, по его словам, сейчас ведётся внутреннее расследование. Между тем, в сеть были слиты не просто номера телефонов и ФИО водителей, а тысячи фотографий их паспортов. Само собой, компания выплатит символический штраф, после чего дальше продолжить осуществлять свою деятельность.
Есть одна очень хорошая практика – отстаивать свои права. А еще есть 152-ФЗ, который регламентирует правила обращения с персональными данными. Так вот, если соединить две эти вещи, то можно взыскать с компании компенсацию за причинённый ущерб. Обычно все истцы (владельцы слитых персональных данных) требуют возмещения в размере 100 тыс. руб. На деле, по итогам решения суда, сумма может оказаться меньше, но, можно подать коллективный иск и взыскать сразу большую сумму денег с компании. На месте пострадавших водителей я бы действительно задумался.
В конце концов, бесплатные юридические консультации никто не отменял, да и гуглить думаю все вы умеете. На всякий случай – вот тут есть пара полезных мыслей на эту тему. Еще рекомендую изучить краткое содержание того самого 152-ФЗ, лишним точно не будет. А с учетом участившихся сливов, можно вообще организовать себе пассивный доход.
#НовостьДня
Твой Пакет Безопасности
На этот раз речь пойдет о недавнем сливе данных водителей сервиса такси Сити Мобил. И да, это очередная утечка, опубликованная в сети от имени проукраинской группировки NLB. Эти ребята всё чаще начинают светиться в медиаполе (раз, два, три).
Сити Мобил уже подтвердил этот инцидент в СМИ, и, по его словам, сейчас ведётся внутреннее расследование. Между тем, в сеть были слиты не просто номера телефонов и ФИО водителей, а тысячи фотографий их паспортов. Само собой, компания выплатит символический штраф, после чего дальше продолжить осуществлять свою деятельность.
Есть одна очень хорошая практика – отстаивать свои права. А еще есть 152-ФЗ, который регламентирует правила обращения с персональными данными. Так вот, если соединить две эти вещи, то можно взыскать с компании компенсацию за причинённый ущерб. Обычно все истцы (владельцы слитых персональных данных) требуют возмещения в размере 100 тыс. руб. На деле, по итогам решения суда, сумма может оказаться меньше, но, можно подать коллективный иск и взыскать сразу большую сумму денег с компании. На месте пострадавших водителей я бы действительно задумался.
В конце концов, бесплатные юридические консультации никто не отменял, да и гуглить думаю все вы умеете. На всякий случай – вот тут есть пара полезных мыслей на эту тему. Еще рекомендую изучить краткое содержание того самого 152-ФЗ, лишним точно не будет. А с учетом участившихся сливов, можно вообще организовать себе пассивный доход.
#НовостьДня
Твой Пакет Безопасности
👍7❤5❤🔥3🤯3😁2⚡1🔥1
💆♂️ Корпоративная культура
За свою карьеру я успел сменить много мест работы и насмотреться на то, как относятся к сотрудникам в разных компаниях. Речь про корпоративную культуру в компании, организацией которой занимается HR отдел/департамент.
Есть в моей трудовой книжке такие компании, которые абсолютно никак не следят за комфортом и развитием сотрудников, но есть и другие, которые выстраивают целые процессы и отделы для поддержки и удовлетворения основных нужд своих коллег. К слову, это никак не зависит от размера и сферы деятельности компании.
Предлагаю рассмотреть обе крайности и сразу хочу сказать, что это не вымышленные организации, они реально существуют. Начнем с грустного опыта. Я не могу назвать его негативным, так как, в любом случае, я получил много положительных эмоций от работы в этой компании, подтянул свои технические навыки и обрел очень ценные знакомства.
Так вот, назовем эту компанию Б1. Стоит сделать поблажку на то, что я работал не в бизнес-сегменте, а в департаменте ИБ. У нас не было крутых корпоративов, компенсации спортзала и питания, выстроенных процессов контроля состояния сотрудников, кухни и свежих фруктов на ней (да, это правда важно). Но, зато это дало мне некую точку отсчета и понимание того, сколько я могу проработать на такой работе без выгорания и мыслей о смене компании.
А теперь перейдем в другую организацию, которую назовем Б2. Она будет сочетать в себе бенефиты сразу из двух компаний, в которых я побывал (чтобы усилить эффект наглядности). Здесь есть своя столовая со шведским столом, которая бесплатна. Здесь есть свой функциональный спортзал с сауной, доступный безлимитно (в том числе в рабочее время) для всех сотрудников. Здесь есть регулярные 1-2-1 встречи с твоим руководителем, чтобы держать руку на пульсе и контролировать твое состояние и потребности. Здесь есть корпоративы под каждый праздник, регулярные тимбилдинги с настолками и клубы по интересам. Здесь есть комфортный опенспейс с пуфиками, плойкой и кухней, на которой каждый день лежат свежие фрукты (и не только). Здесь есть бесплатный массаж, психолог и юрист, которые нацелены сугубо на то, чтобы решить любую твою проблему.
Сюда люди ходят не для того, чтобы отстоять свою смену на заводе, а чтобы делать своё любимое дело, осознавая ту ценность, которую они же и приносят этой компании. Корпоративная культура и бенефиты не просто создают благоприятную среду для роста, развития и продуктивной работы сотрудников. Всё это очень сильно привязывает к компании, ведь от такого комфорта тяжело отказаться, даже когда перед тобой лежит оффер на бОльшие деньги, но без всего вышеперечисленного.
Если у вас есть что сказать на эту тему или поделиться своим положительным/отрицательным опытом, то велкам в комментарии, буду рад обсудить.
#Мнение
Пакет Безопасности
За свою карьеру я успел сменить много мест работы и насмотреться на то, как относятся к сотрудникам в разных компаниях. Речь про корпоративную культуру в компании, организацией которой занимается HR отдел/департамент.
Есть в моей трудовой книжке такие компании, которые абсолютно никак не следят за комфортом и развитием сотрудников, но есть и другие, которые выстраивают целые процессы и отделы для поддержки и удовлетворения основных нужд своих коллег. К слову, это никак не зависит от размера и сферы деятельности компании.
Предлагаю рассмотреть обе крайности и сразу хочу сказать, что это не вымышленные организации, они реально существуют. Начнем с грустного опыта. Я не могу назвать его негативным, так как, в любом случае, я получил много положительных эмоций от работы в этой компании, подтянул свои технические навыки и обрел очень ценные знакомства.
Так вот, назовем эту компанию Б1. Стоит сделать поблажку на то, что я работал не в бизнес-сегменте, а в департаменте ИБ. У нас не было крутых корпоративов, компенсации спортзала и питания, выстроенных процессов контроля состояния сотрудников, кухни и свежих фруктов на ней (да, это правда важно). Но, зато это дало мне некую точку отсчета и понимание того, сколько я могу проработать на такой работе без выгорания и мыслей о смене компании.
А теперь перейдем в другую организацию, которую назовем Б2. Она будет сочетать в себе бенефиты сразу из двух компаний, в которых я побывал (чтобы усилить эффект наглядности). Здесь есть своя столовая со шведским столом, которая бесплатна. Здесь есть свой функциональный спортзал с сауной, доступный безлимитно (в том числе в рабочее время) для всех сотрудников. Здесь есть регулярные 1-2-1 встречи с твоим руководителем, чтобы держать руку на пульсе и контролировать твое состояние и потребности. Здесь есть корпоративы под каждый праздник, регулярные тимбилдинги с настолками и клубы по интересам. Здесь есть комфортный опенспейс с пуфиками, плойкой и кухней, на которой каждый день лежат свежие фрукты (и не только). Здесь есть бесплатный массаж, психолог и юрист, которые нацелены сугубо на то, чтобы решить любую твою проблему.
Сюда люди ходят не для того, чтобы отстоять свою смену на заводе, а чтобы делать своё любимое дело, осознавая ту ценность, которую они же и приносят этой компании. Корпоративная культура и бенефиты не просто создают благоприятную среду для роста, развития и продуктивной работы сотрудников. Всё это очень сильно привязывает к компании, ведь от такого комфорта тяжело отказаться, даже когда перед тобой лежит оффер на бОльшие деньги, но без всего вышеперечисленного.
Если у вас есть что сказать на эту тему или поделиться своим положительным/отрицательным опытом, то велкам в комментарии, буду рад обсудить.
#Мнение
Пакет Безопасности
👍14❤🔥6🤯2❤1⚡1😢1
🪲 Application Security Quiz
Ловите забавную мини-игру от Digital Security – ссылка.
Полагаю, что игра рассчитана на ответственных разрабов, архитекторов и аппсеков. Но, если это не вы, то я бы всё равно советовал попробовать свои силы, лишним точно не будет.
#Полезное
Пакет Безопасности
Ловите забавную мини-игру от Digital Security – ссылка.
Полагаю, что игра рассчитана на ответственных разрабов, архитекторов и аппсеков. Но, если это не вы, то я бы всё равно советовал попробовать свои силы, лишним точно не будет.
#Полезное
Пакет Безопасности
👍7❤🔥4🤯2🌚2⚡1
🌓 Переход на тёмную сторону
Недавно вышло очередное добротное исследование от Касперского на тему того, как айтишников хантят в даркнете.
Не все об этом догадываются, но есть не только обычная биржа труда, но и теневая. Базируется она, что логично, на даркнетовских форумах. Там точно также публикуются объявления, а некоторые пользователи даже выкладывают туда свои резюме/CV. Новых сотрудников там ищут преимущественно хакерские и APT-группировки. По сути, это такие же продуктовые компании, просто меньшего размера и без явной корпоративной структуры.
Вредоносное ПО тоже надо кому-то проектировать, разрабатывать, тестировать, разворачивать и поддерживать. Именно поэтому на теневом рынке труда востребованы все те же профессии, что и на обычном – легальном. Разница заключается в том, что создаваемые продукты нацелены не на то, чтобы принести пользу конечному клиенту, а в том, чтобы нанести ему вред, за счет чего и обогащается теневой бизнес, который платит зарплату сотрудникам.
С учётом того, что эта работа нелегальна и идёт вразрез со всеми морально-этическими принципами людей, зарплаты здесь выше. Но за эти деньги работники подобных организаций расплачиваются огромными рисками в виде уголовного преследования и заключения под стражу.
Поэтому лично я крайне не рекомендую вообще связываться с подобными биржами труда и предложениями оттуда. Но исследование почитать можно, сделано оно достаточно качественно.
#НовостьДня
Пакет Безопасности
Недавно вышло очередное добротное исследование от Касперского на тему того, как айтишников хантят в даркнете.
Не все об этом догадываются, но есть не только обычная биржа труда, но и теневая. Базируется она, что логично, на даркнетовских форумах. Там точно также публикуются объявления, а некоторые пользователи даже выкладывают туда свои резюме/CV. Новых сотрудников там ищут преимущественно хакерские и APT-группировки. По сути, это такие же продуктовые компании, просто меньшего размера и без явной корпоративной структуры.
Вредоносное ПО тоже надо кому-то проектировать, разрабатывать, тестировать, разворачивать и поддерживать. Именно поэтому на теневом рынке труда востребованы все те же профессии, что и на обычном – легальном. Разница заключается в том, что создаваемые продукты нацелены не на то, чтобы принести пользу конечному клиенту, а в том, чтобы нанести ему вред, за счет чего и обогащается теневой бизнес, который платит зарплату сотрудникам.
С учётом того, что эта работа нелегальна и идёт вразрез со всеми морально-этическими принципами людей, зарплаты здесь выше. Но за эти деньги работники подобных организаций расплачиваются огромными рисками в виде уголовного преследования и заключения под стражу.
Поэтому лично я крайне не рекомендую вообще связываться с подобными биржами труда и предложениями оттуда. Но исследование почитать можно, сделано оно достаточно качественно.
#НовостьДня
Пакет Безопасности
❤🔥4🌚4👍3🤯3❤2⚡1
🤔 Большая ложь рекрутеров
В одном из прошлых постов, я упоминал о том, как регулярно пингую HR из разных компаний на тему актуальных вакансий. Так вот, большинство из них, если открытой релевантной вакансии на данный момент нет, отвечает стандартной фразой в стиле «На данный момент актуальных вакансий нет. Но я сохраню твоё резюме и обязательно вернусь, если что-то появится. Давай оставаться на связи!». Примеры таких ответов приложу ниже для наглядности.
Весьма обнадёживающий ответ. Кажется даже, что у некоторых из них реально есть база резюме по разным профилям, по которым они в первую очередь ищут людей при появлении новых вакансий. Вот только жаль, что это не так. По крайней мере ко мне еще никто ни разу не возвращался. При том, что новые релевантные вакансии в этих компаниях появлялись.
Почему-то рекрутеры готовы по несколько раз за день писать «в холодную», закидывая полурелевантные вакансии, вместо того, чтобы просто прогнать те же самые вакансии уже по своей «тёплой» базе CV.
В идеале было бы вообще создать такую CRM, которая будет эти залётные CV парсить и хранить. И при появлении любой новой вакансии просто прогонять их по этой базе, дёргая из неё нужные контакты кандидатов. Я думаю, что такую CRMку можно будет спокойно задорого загнать любой продуктовой компании со зрелыми HR-процессами.
За стартап идею можете не благодарить, согласен на 1% от выручки 😉
#Мнение
Пакет Безопасности
В одном из прошлых постов, я упоминал о том, как регулярно пингую HR из разных компаний на тему актуальных вакансий. Так вот, большинство из них, если открытой релевантной вакансии на данный момент нет, отвечает стандартной фразой в стиле «На данный момент актуальных вакансий нет. Но я сохраню твоё резюме и обязательно вернусь, если что-то появится. Давай оставаться на связи!». Примеры таких ответов приложу ниже для наглядности.
Весьма обнадёживающий ответ. Кажется даже, что у некоторых из них реально есть база резюме по разным профилям, по которым они в первую очередь ищут людей при появлении новых вакансий. Вот только жаль, что это не так. По крайней мере ко мне еще никто ни разу не возвращался. При том, что новые релевантные вакансии в этих компаниях появлялись.
Почему-то рекрутеры готовы по несколько раз за день писать «в холодную», закидывая полурелевантные вакансии, вместо того, чтобы просто прогнать те же самые вакансии уже по своей «тёплой» базе CV.
В идеале было бы вообще создать такую CRM, которая будет эти залётные CV парсить и хранить. И при появлении любой новой вакансии просто прогонять их по этой базе, дёргая из неё нужные контакты кандидатов. Я думаю, что такую CRMку можно будет спокойно задорого загнать любой продуктовой компании со зрелыми HR-процессами.
За стартап идею можете не благодарить, согласен на 1% от выручки 😉
#Мнение
Пакет Безопасности
👍6😁4❤3❤🔥2⚡1🤯1
🍝 Ты заражаешь моё устройство, но делаешь это без уважения
Знаете, что такое криптокошелек и блокчейн? Разбираетесь в криптовалютах, токенах и у вас Android-смартфон?
Тогда знакомьтесь – вирус с громким именем Godfather. Вы наверняка с ним не сталкивались, так как вирус весьма избирателен при выборе своих жертв. Судя по исследованию от ребят из Group-IB, вирус явно обходит стороной пользователей из СНГ (пока что).
Зато этот вирус точно нацелен на тех, кто увлекается или работает с криптой. Дело в том, что поставляется он в комплекте с крипто-приложениями (например, криптокалькулятором), после чего он незаметно распаковывается, собирает все необходимые разрешения при помощи AccessibilityService (запись экрана, логирование клавиатуры и прочее) и мирно ждёт. Ждать он будет до тех пор, пока вы не зайдете в мобильное приложение своего банка, свой криптокошелёк или любой другой сервис, где необходим ввод авторизационных данных.
Иронично то, что распаковка этого вируса скрывается за вымышленной проверкой смартфона на безопасность. Если помните, то такая когда-то была у приложения Сбербанка.
Казалось бы, хорошим советом было бы отказаться от загрузок приложений в обход официального маркетплейса Google Play, вот только Godfather распространялся именно через него. Поэтому, в первую очередь, советую устанавливать только проверенные и действительно нужные приложения от верифицированных разработчиков, а также следить за теми правами, которые запрашивают эти приложения.
Берегите себя и делайте это с уважением.
#НовостьДня
Твой Пакет Безопасности
Знаете, что такое криптокошелек и блокчейн? Разбираетесь в криптовалютах, токенах и у вас Android-смартфон?
Тогда знакомьтесь – вирус с громким именем Godfather. Вы наверняка с ним не сталкивались, так как вирус весьма избирателен при выборе своих жертв. Судя по исследованию от ребят из Group-IB, вирус явно обходит стороной пользователей из СНГ (пока что).
Зато этот вирус точно нацелен на тех, кто увлекается или работает с криптой. Дело в том, что поставляется он в комплекте с крипто-приложениями (например, криптокалькулятором), после чего он незаметно распаковывается, собирает все необходимые разрешения при помощи AccessibilityService (запись экрана, логирование клавиатуры и прочее) и мирно ждёт. Ждать он будет до тех пор, пока вы не зайдете в мобильное приложение своего банка, свой криптокошелёк или любой другой сервис, где необходим ввод авторизационных данных.
Иронично то, что распаковка этого вируса скрывается за вымышленной проверкой смартфона на безопасность. Если помните, то такая когда-то была у приложения Сбербанка.
Казалось бы, хорошим советом было бы отказаться от загрузок приложений в обход официального маркетплейса Google Play, вот только Godfather распространялся именно через него. Поэтому, в первую очередь, советую устанавливать только проверенные и действительно нужные приложения от верифицированных разработчиков, а также следить за теми правами, которые запрашивают эти приложения.
Берегите себя и делайте это с уважением.
#НовостьДня
Твой Пакет Безопасности
👍9🤓4❤🔥3🤯2⚡1❤1
🎁 Подтвердите свой аккаунт
Вас смущает ссылка, которую вам прислали в личных сообщениях или по почте? Или это вообще файл, который вы нашли в папке, рядом со скачанным с торррентов фильмом(да, я понимаю, что все уже давно смотрят кино на стриминговых площадках, но вдруг) ?
В любом случае, вне зависимости от того, кто вам прислал файл или ссылку, под каким это было предлогом и в каких обстоятельствах – если у вас закрались хоть малейшие сомнения в том, что это может быть обман/взлом/злой умысел, это стоит проверить.
Для этого уже давно существует отличный сервис (не реклама) – VirusTotal. Этот сервис когда-то родился в Испании, после чего его выкупил сам Google. Думаю, что это уже хороший показатель. Второй хороший показатель – сервис абсолютно бесплатный(ведь его выкупил не Adobe) .
Так вот, о самом сервисе – он в режиме реального времени просканирует то, что вы ему скормите, будь то файл или ссылка. Сделают это более 70 антивирусов и внутренний аналитический движок, который выдаст вам подробную аналитику обо всех угрозах, содержащихся в указанном объекте.
Ах да, наши ребята сделали свой аналог – Национальный мультисканер. Правда он уже полтора года работает в тестовом режиме и лично у меня не получилось загрузить в него малварь. Но безопасные файлы он точно сканирует нормально 😄. К слову, в его разработке принимала участие даже ФСБ.
Берегите себя и будьте на чеку(но без паранойи) .
#Кибергигиена
Твой Пакет Безопасности
Вас смущает ссылка, которую вам прислали в личных сообщениях или по почте? Или это вообще файл, который вы нашли в папке, рядом со скачанным с торррентов фильмом
В любом случае, вне зависимости от того, кто вам прислал файл или ссылку, под каким это было предлогом и в каких обстоятельствах – если у вас закрались хоть малейшие сомнения в том, что это может быть обман/взлом/злой умысел, это стоит проверить.
Для этого уже давно существует отличный сервис (не реклама) – VirusTotal. Этот сервис когда-то родился в Испании, после чего его выкупил сам Google. Думаю, что это уже хороший показатель. Второй хороший показатель – сервис абсолютно бесплатный
Так вот, о самом сервисе – он в режиме реального времени просканирует то, что вы ему скормите, будь то файл или ссылка. Сделают это более 70 антивирусов и внутренний аналитический движок, который выдаст вам подробную аналитику обо всех угрозах, содержащихся в указанном объекте.
Ах да, наши ребята сделали свой аналог – Национальный мультисканер. Правда он уже полтора года работает в тестовом режиме и лично у меня не получилось загрузить в него малварь. Но безопасные файлы он точно сканирует нормально 😄. К слову, в его разработке принимала участие даже ФСБ.
Берегите себя и будьте на чеку
#Кибергигиена
Твой Пакет Безопасности
👍8🤯4❤🔥3⚡2👎1
🎄 С новым годом!
Вот и подошёл к концу этот непростой год. Уверен, что помимо трудностей, он принёс вам еще и много новых возможностей.
Желаю вам в новом году прожить его в первую очередь осознанно и безопасно. Цените то, что у вас есть и стремительно двигайтесь к своей четко поставленной цели.
С праздником, друзья! 🎉🎉🎉
Твой Пакет Безопасности
Вот и подошёл к концу этот непростой год. Уверен, что помимо трудностей, он принёс вам еще и много новых возможностей.
Желаю вам в новом году прожить его в первую очередь осознанно и безопасно. Цените то, что у вас есть и стремительно двигайтесь к своей четко поставленной цели.
С праздником, друзья! 🎉🎉🎉
Твой Пакет Безопасности
❤5❤🔥4🎉4👍2⚡1🔥1🤯1
🧙♀️ Повернись к лесу задом, ко мне передом
Вот и наступил новый, 2023 год, но, как бы грустно это не было, зарубежные вендоры всё еще продолжают уходить и разрывать контракты с российскими компаниями. Уже на протяжении года подавляющее большинство российских IT-компаний боятся того, что Jira и Confluence станут недоступны. А ведь на этих продуктах от Atlassian держится и документация, и контроль всего процесса разработки ПО, а также работы команд.
Какой-то стоящей альтернативы этим продуктам нет не только на РФ рынке, но и на мировом. Поэтому, на арену импортозамещения попытается выйти Ростелеком со своей платформой “Яга” (обожаю наших креативщиков). Пока мало что известно об этом решении, но сам Ростелеком планирует инвестировать в него более 1 млрд рублей. Если в этом поможет еще и Яндекс, у которого есть свои наработки в этой сфере, то в успех верится еще больше.
Думаю, что Минцифры также не останется в стороне и поможет продуктовым компаниям двинуть IT-индустрию еще дальше. Наша страна, в конце то концов, уже сделала лучший ФинТех и одни из лучших Госуслуг.
Главное, чтобы ребята из Ростелекома озаботились правильной миграцией данных из Jira/Confluence и безопасностью новых продуктов. Напомню, что на подобные системы очень часто производятся атаки, так как они зачастую доступны вне корпоративной сети. Уязвимости в продуктах Atlassian стоят недёшево и сразу же массово начинают эксплуатироваться после того, как их публикуют в дарксторах.
#НовостьДня
Твой Пакет Безопасности
Вот и наступил новый, 2023 год, но, как бы грустно это не было, зарубежные вендоры всё еще продолжают уходить и разрывать контракты с российскими компаниями. Уже на протяжении года подавляющее большинство российских IT-компаний боятся того, что Jira и Confluence станут недоступны. А ведь на этих продуктах от Atlassian держится и документация, и контроль всего процесса разработки ПО, а также работы команд.
Какой-то стоящей альтернативы этим продуктам нет не только на РФ рынке, но и на мировом. Поэтому, на арену импортозамещения попытается выйти Ростелеком со своей платформой “Яга” (обожаю наших креативщиков). Пока мало что известно об этом решении, но сам Ростелеком планирует инвестировать в него более 1 млрд рублей. Если в этом поможет еще и Яндекс, у которого есть свои наработки в этой сфере, то в успех верится еще больше.
Думаю, что Минцифры также не останется в стороне и поможет продуктовым компаниям двинуть IT-индустрию еще дальше. Наша страна, в конце то концов, уже сделала лучший ФинТех и одни из лучших Госуслуг.
Главное, чтобы ребята из Ростелекома озаботились правильной миграцией данных из Jira/Confluence и безопасностью новых продуктов. Напомню, что на подобные системы очень часто производятся атаки, так как они зачастую доступны вне корпоративной сети. Уязвимости в продуктах Atlassian стоят недёшево и сразу же массово начинают эксплуатироваться после того, как их публикуют в дарксторах.
#НовостьДня
Твой Пакет Безопасности
❤🔥5⚡3🕊3❤2👍2🤯1
Безопасность в Apple
Наткнулся тут на ролик от Droider про безопасность в продуктах и экосистеме Apple, где они разбирают мифы, которыми окутана эта компания. Материал неплохой, подан на достаточно понятном для всех языке, смотреть действительно интересно. Поэтому смело могу рекомендовать к просмотру.
Apple достаточно хорошо и качественно работает со своей репутацией, умеет красиво упаковывать любой продукт, чувствует тренды и задаёт их. Уже давно эта компания начала заботиться о вопросах информационной безопасности, подкрепляя это интересными и полезными фичами (раз, два, три. Более того, она разработала целый альманах по безопасности своих продуктов, приложений и систем, в котором подробно описаны все контроли и технологии.
Компания также регулярно покупает стартапы и целые компании для обогащения их наработками и продуктами. Так, например, всем известный сканер и технология FaceID была создана не без помощи выкупленной израильской PrimeSense, которая когда-то, судя по инсайдерской информации, участвовала в проектировании систем наведения вооружения на сложной местности (после этого становится, понятно, почему FaceID так качественно умеет считывать рельеф лица).
В видео также упомянули интересный инцидент, произошедший с Apple в 2021 году, когда по гос-заказу было создано и распространено (через iOS) шпионское ПО – Pegasus). В этом громком деле была замешана NSO Group, которая очень любит выполнять государственные заказы за большие деньги и делает это достаточно качественно.
Подытожу благодарностью ребятам из Дроидера, которые уже давно популяризируют ИТ-контент в русском ютубе. Надеюсь, что это не последний их ролик про информационную безопасность.
#Мнение
Твой Пакет Безопасности
Наткнулся тут на ролик от Droider про безопасность в продуктах и экосистеме Apple, где они разбирают мифы, которыми окутана эта компания. Материал неплохой, подан на достаточно понятном для всех языке, смотреть действительно интересно. Поэтому смело могу рекомендовать к просмотру.
Apple достаточно хорошо и качественно работает со своей репутацией, умеет красиво упаковывать любой продукт, чувствует тренды и задаёт их. Уже давно эта компания начала заботиться о вопросах информационной безопасности, подкрепляя это интересными и полезными фичами (раз, два, три. Более того, она разработала целый альманах по безопасности своих продуктов, приложений и систем, в котором подробно описаны все контроли и технологии.
Компания также регулярно покупает стартапы и целые компании для обогащения их наработками и продуктами. Так, например, всем известный сканер и технология FaceID была создана не без помощи выкупленной израильской PrimeSense, которая когда-то, судя по инсайдерской информации, участвовала в проектировании систем наведения вооружения на сложной местности (после этого становится, понятно, почему FaceID так качественно умеет считывать рельеф лица).
В видео также упомянули интересный инцидент, произошедший с Apple в 2021 году, когда по гос-заказу было создано и распространено (через iOS) шпионское ПО – Pegasus). В этом громком деле была замешана NSO Group, которая очень любит выполнять государственные заказы за большие деньги и делает это достаточно качественно.
Подытожу благодарностью ребятам из Дроидера, которые уже давно популяризируют ИТ-контент в русском ютубе. Надеюсь, что это не последний их ролик про информационную безопасность.
#Мнение
Твой Пакет Безопасности
YouTube
БЕЗОПАСНОСТЬ APPLE - МИФ? | РАЗБОР
Освой новую IT-профессию – регистрируйся на бесплатный марафон от университета Зерокодинга: https://zerocoder.ru/marafon-mobile?utm_source=youtube&utm_medium=droider&utm_campaign=dec&utm_content=20.12.22
Инвестируйте с Финам! Откройте счет с тарифом «FreeTrade»…
Инвестируйте с Финам! Откройте счет с тарифом «FreeTrade»…
👍6❤🔥4⚡2🤯2🕊2❤1🤩1
Скажи мне, кто твой продакт, и я скажу, кто ты
Наткнулся тут на одно исследование IT-рынка в разрезе позиции продакт-менеджера. Свёрстано оно отлично и удобно смотреть даже с телефона. Вопросы задаются интересные и действительно полезные для тех, кто это исследование будет потом читать.
Советую глянуть не только продактам, а всем, кто связан с IT, так как можно накладывать некоторые вопросы с ответами и на свою специальность/сферу. Исследование также будет полезно тем, кто сейчас пытается сменить работу в РФ-компании на зарубежную. Более того, так как продакты неразрывно связаны с бизнесом, это будет полезно вообще всем тем, кто занимается управлением, развитием и масштабированием любых процессов.
Насколько я понял, ребята из devcrowd регулярно собирают аналитику и делают рисерчи по разным областям/профессиям в IT, публикуя их потом на своем сайте. Так что вэлкам.
#Полезное
Твой Пакет Безопасности
Наткнулся тут на одно исследование IT-рынка в разрезе позиции продакт-менеджера. Свёрстано оно отлично и удобно смотреть даже с телефона. Вопросы задаются интересные и действительно полезные для тех, кто это исследование будет потом читать.
Советую глянуть не только продактам, а всем, кто связан с IT, так как можно накладывать некоторые вопросы с ответами и на свою специальность/сферу. Исследование также будет полезно тем, кто сейчас пытается сменить работу в РФ-компании на зарубежную. Более того, так как продакты неразрывно связаны с бизнесом, это будет полезно вообще всем тем, кто занимается управлением, развитием и масштабированием любых процессов.
Насколько я понял, ребята из devcrowd регулярно собирают аналитику и делают рисерчи по разным областям/профессиям в IT, публикуя их потом на своем сайте. Так что вэлкам.
#Полезное
Твой Пакет Безопасности
👍5🕊4❤🔥3❤1🔥1🤯1
Кибергигиена на художественном конкурсе
А мы продолжаем нашу рубрику с социальной инженерией в Телеграме. На этот раз злоумышленники заходят через уже взломанные аккаунты из вашего списка контактов. Они массово рассылают сообщение с наивной просьбой «проголосовать за рисунок ребёнка» на местном художественном конкурсе (скрин прикреплю к посту).
В сообщении будет ссылка для голосования, после перехода по которой вас попросят ввести номер телефона. Затем нужно будет подтвердить его одноразовым кодом. По итогу вас выкинет из вашего телеграм-аккаунта, который уже будет под контролем злоумышленников.
Будьте осторожны, особенно со встроенными кнопками или внешними ссылками.
#Кибергигиена
Твой Пакет Безопасности
А мы продолжаем нашу рубрику с социальной инженерией в Телеграме. На этот раз злоумышленники заходят через уже взломанные аккаунты из вашего списка контактов. Они массово рассылают сообщение с наивной просьбой «проголосовать за рисунок ребёнка» на местном художественном конкурсе (скрин прикреплю к посту).
В сообщении будет ссылка для голосования, после перехода по которой вас попросят ввести номер телефона. Затем нужно будет подтвердить его одноразовым кодом. По итогу вас выкинет из вашего телеграм-аккаунта, который уже будет под контролем злоумышленников.
Будьте осторожны, особенно со встроенными кнопками или внешними ссылками.
#Кибергигиена
Твой Пакет Безопасности
🔥6❤🔥5⚡3🤯2👍1😁1