Нас уже целая тысяча!
Спасибо вам большое за доверие и внимание 🖤
А на одном из постов уже больше 1200 просмотров!
Дальше – больше 🎉
Твой Пакет Безопасности
Спасибо вам большое за доверие и внимание 🖤
А на одном из постов уже больше 1200 просмотров!
Дальше – больше 🎉
Твой Пакет Безопасности
🎉37⚡4🥰3❤🔥1🤯1
Модный приговор взлом
На днях хакеры взломали аккаунт (одной заблокированной в РФ социальной сети ) российского бренда одежды 2MOOD. Само собой, они уже потребовали выкуп в размере 1 млн. рублей у официальных владельцев за возврат их профиля. Интересно в этой истории то, что злоумышленники не просто забрали себе этот аккаунт, а устроили там "самую настоящую" распродажу одежды по выгодным ценам.
Само собой, продавать они никому ничего не будут, ведь оплату они теперь принимают только через директ переводами на карту. Но ведь у этого бренда одежды наверняка есть сайт, через который законные владельцы компании могут и дальше реализовывать свой товар, подумали вы. Но хакеры тоже об этом подумали, поэтому нагрузили сайт и тем самым положили его.
Под контролем у злоумышленников на данный момент находится еще и почта этой компании, через которую они активно рекламируют свою "распродажу". Более того, они грозятся взломать и остальные ресурсы, принадлежащие бренду (спойлер первый – если бы они могли это легко сделать, они бы это уже сделали ).
Владельцы компании собираются обратиться в правоохранительные органы (спойлер второй – им это едва ли поможет ). В любом случае, платить выкуп или соглашаться на любые условия злоумышленников будет фатальной ошибкой. Взломанный аккаунт надо просто банить, почту менять, а сайт переносить и переподнимать. Да, это повлечет за собой финансовые издержки, но такова цена несоблюдения кибергигиены.
#НовостьДня
Твой Пакет Безопасности
На днях хакеры взломали аккаунт (
Само собой, продавать они никому ничего не будут, ведь оплату они теперь принимают только через директ переводами на карту. Но ведь у этого бренда одежды наверняка есть сайт, через который законные владельцы компании могут и дальше реализовывать свой товар, подумали вы. Но хакеры тоже об этом подумали, поэтому нагрузили сайт и тем самым положили его.
Под контролем у злоумышленников на данный момент находится еще и почта этой компании, через которую они активно рекламируют свою "распродажу". Более того, они грозятся взломать и остальные ресурсы, принадлежащие бренду (
Владельцы компании собираются обратиться в правоохранительные органы (
#НовостьДня
Твой Пакет Безопасности
😱14👍10😁3🥴3❤🔥2⚡2❤1🔥1🤯1😍1
Тотальный контроль
Эту тенденцию уже не остановить, поэтому остаётся только комментировать и жить дальше. С сентября 2023 года все службы заказа такси в РФ будут обязаны дать ФСБ доступ ко всем своим системам и базам данных, в которых хранится и обрабатывается информация о заказах пользователей. Последствия, думаю, очевидны – теперь государство будет знать обо всех ваших передвижениях, преступник вы или нет.
ФСБ планирует сделать это автоматизированно, при помощи удалённого доступа к данным. Кажется, что в ближайшие годы, как и с данными от операторов связи (обсуждали это в одном из прошлых постов), никто так и не научится делать это “как надо”, правильно структурировать и использовать эту информацию. Но настанет тот день, когда спецслужбы справятся с этой задачей.
Если вы живете мирной жизнью и не нарушаете закон, то вам и не должно быть дела до того, как подобные службы оперируют этой информацией. Но помните, что законы меняются, и ранее безобидные действия граждан могут оказаться преступными.
#Мнение
Твой Пакет Безопасности
Эту тенденцию уже не остановить, поэтому остаётся только комментировать и жить дальше. С сентября 2023 года все службы заказа такси в РФ будут обязаны дать ФСБ доступ ко всем своим системам и базам данных, в которых хранится и обрабатывается информация о заказах пользователей. Последствия, думаю, очевидны – теперь государство будет знать обо всех ваших передвижениях, преступник вы или нет.
ФСБ планирует сделать это автоматизированно, при помощи удалённого доступа к данным. Кажется, что в ближайшие годы, как и с данными от операторов связи (обсуждали это в одном из прошлых постов), никто так и не научится делать это “как надо”, правильно структурировать и использовать эту информацию. Но настанет тот день, когда спецслужбы справятся с этой задачей.
Если вы живете мирной жизнью и не нарушаете закон, то вам и не должно быть дела до того, как подобные службы оперируют этой информацией. Но помните, что законы меняются, и ранее безобидные действия граждан могут оказаться преступными.
#Мнение
Твой Пакет Безопасности
⚡9🔥5😱4👍3🤬3🕊3❤🔥1🤯1🎉1😍1
Двойная порция сливов
Во всех источниках уже раструбили новость о сливе данных из mail.ru, который вчера в теневых форумах выложили проукраинские хакеры из NLB. Да, слив действительно стоит внимания, так как утечка была массовой (3,5 миллиона строк в первом дропе), но тут интересно другое.
Во-первых, не совсем понятно, почему это называют сливом mail.ru, ведь компания уже два года как пережила ребрендинг и стала VK. Понятно, что эти данные относятся к домену mail.ru, но всё-таки, правильно было бы это трактовать как утечку из VK. К тому же, утекли не самые важные данные, помимо связки электронного адреса и номера телефона.
Во-вторых, мало кто заметил не менее важную и критичную утечку данных в сервисе reg.ru. В этом сливе, помимо обычных данных, дропнули еще и пароли пользователей. Более того, reg.ru, судя по всему, заботится о своей репутации (если это можно так назвать ) и пока зачищает информацию об утечке в СМИ.
Обе компании уже начали оправдываться, но каждая по-своему. Мэйл/ВК заявил, что "Выложенные в открытый доступ данные почтового сервиса Mail.ru связаны с утечкой стороннего сервиса в начале 2022 года, сам сервис защищен", умно, но все всё понимают. А вот reg.ru, судя по всему на время расследования, решил вообще положить часть своих сервисов с очень интересным и комичным дисклеймером (фото приложу ниже).
Ну пока пользователям сервиса reg.ru "везёт", кибервойна продолжается, дамы и господа.
#НовостьДня
Твой Пакет Безопасности
Во всех источниках уже раструбили новость о сливе данных из mail.ru, который вчера в теневых форумах выложили проукраинские хакеры из NLB. Да, слив действительно стоит внимания, так как утечка была массовой (3,5 миллиона строк в первом дропе), но тут интересно другое.
Во-первых, не совсем понятно, почему это называют сливом mail.ru, ведь компания уже два года как пережила ребрендинг и стала VK. Понятно, что эти данные относятся к домену mail.ru, но всё-таки, правильно было бы это трактовать как утечку из VK. К тому же, утекли не самые важные данные, помимо связки электронного адреса и номера телефона.
Во-вторых, мало кто заметил не менее важную и критичную утечку данных в сервисе reg.ru. В этом сливе, помимо обычных данных, дропнули еще и пароли пользователей. Более того, reg.ru, судя по всему, заботится о своей репутации (
Обе компании уже начали оправдываться, но каждая по-своему. Мэйл/ВК заявил, что "Выложенные в открытый доступ данные почтового сервиса Mail.ru связаны с утечкой стороннего сервиса в начале 2022 года, сам сервис защищен", умно, но все всё понимают. А вот reg.ru, судя по всему на время расследования, решил вообще положить часть своих сервисов с очень интересным и комичным дисклеймером (фото приложу ниже).
Ну пока пользователям сервиса reg.ru "везёт", кибервойна продолжается, дамы и господа.
#НовостьДня
Твой Пакет Безопасности
👍10⚡4🤣3❤🔥1🤯1🕊1
Хранилище бесконечности
На днях TON (это всё тот же блокчейн команды Telegram, который продавал NFT-номера на базе платформы Fragment) снова навёл шуму, представив своё собственное облачное хранилище. Согласно всем текущим трендам, оно децентрализованное, надёжное и безопасное.
Более того, с помощью этого сервиса нам обещают обмен и хранение файлов абсолютно любого размера. В последнее верится с трудом, иначе я уже предвижу эксплуатацию новых ZIP-бомб.
Так вот, лично мне кажется, что это хранилище не взлетит без дополнительных удобных фич, синергии с другими сервисами и вливаний тонны денег в маркетинг. Вспомните тот же сервис MEGA, который предлагал хранить у себя терабайты данных бесплатно. Но все всё равно пользовались Яндекс Диском и Google Drive с хранилищем на смешные 50-70 ГБ. Решает не щедрость предложения, решает экосистема, маркетинг.
#НовостьДня
Твой Пакет Безопасности
На днях TON (это всё тот же блокчейн команды Telegram, который продавал NFT-номера на базе платформы Fragment) снова навёл шуму, представив своё собственное облачное хранилище. Согласно всем текущим трендам, оно децентрализованное, надёжное и безопасное.
Более того, с помощью этого сервиса нам обещают обмен и хранение файлов абсолютно любого размера. В последнее верится с трудом, иначе я уже предвижу эксплуатацию новых ZIP-бомб.
Так вот, лично мне кажется, что это хранилище не взлетит без дополнительных удобных фич, синергии с другими сервисами и вливаний тонны денег в маркетинг. Вспомните тот же сервис MEGA, который предлагал хранить у себя терабайты данных бесплатно. Но все всё равно пользовались Яндекс Диском и Google Drive с хранилищем на смешные 50-70 ГБ. Решает не щедрость предложения, решает экосистема, маркетинг.
#НовостьДня
Твой Пакет Безопасности
⚡8❤🔥4🕊2👏1🤯1
Киберподкасты
Собрал тут список подкастов по IT и кибербезу на доступном языке, которые я сам регулярно потребляю. Думаю, что будет полезно всем, кто заботится о своей безопасности и хочет быть в курсе последних новостей и трендов из мира IT.
- Смени пароль! – отличный подкаст от специалистов из Лаборатории Касперского
- Hack me, если сможешь – более профессиональный подкаст для тех, кто уже в IT
- Люди и код – подкаст, в котором ребята из Скиллбокса обсуждают IT (и всё, что с ним связано) на доступном языке
- Podlodka Podcast – флагман среди подкастов, в котором каждый найдёт для себя (как минимум одну) интересную тему
- Техток – молодой подкаст от ребят из МТС, в котором затрагиваются максимально разнообразные и интересные большинству темы
Это далеко не все интересные подкасты из моего арсенала, так что на пару постов еще хватит.
#Полезное
Твой Пакет Безопасности
Собрал тут список подкастов по IT и кибербезу на доступном языке, которые я сам регулярно потребляю. Думаю, что будет полезно всем, кто заботится о своей безопасности и хочет быть в курсе последних новостей и трендов из мира IT.
- Смени пароль! – отличный подкаст от специалистов из Лаборатории Касперского
- Hack me, если сможешь – более профессиональный подкаст для тех, кто уже в IT
- Люди и код – подкаст, в котором ребята из Скиллбокса обсуждают IT (и всё, что с ним связано) на доступном языке
- Podlodka Podcast – флагман среди подкастов, в котором каждый найдёт для себя (как минимум одну) интересную тему
- Техток – молодой подкаст от ребят из МТС, в котором затрагиваются максимально разнообразные и интересные большинству темы
Это далеко не все интересные подкасты из моего арсенала, так что на пару постов еще хватит.
#Полезное
Твой Пакет Безопасности
👍14⚡4❤4❤🔥3🤯2🔥1
Партия гордится тобой
Только мы успели с вами обсудить проблему появления квантовых компьютеров, как китайские хакеры уже нашли способ взлома алгоритма шифрования RSA. Новость кажется рядовой, так как каждый день что-то да взламывают. Но проблема состоит в том, что на шифровании RSA держится подавляющая часть всех интернетов.
Мир кибербезопасности прекрасно понимал, что этот момент настанет, но не так быстро. Аналитики давно уже посчитали мощность квантового компьютера, необходимую для взлома этого алгоритма, исчесляемую сотнями тысяч кубитов (единица измерения мощности). Но китайские умельцы нашли способ сделать это в тысячу раз проще – им потребовалось всего 372 кубита. И да, такой квантовый компьютер уже существует.
У рядовых хакеров на дорогую квантовую игрушку денег, может быть, и не хватит, но мировые державы себе такое удовольствие позволить точно смогут. Хочется уже уже какого-то прорыва в сфере криптографии, чтобы надолго забыть о проблемах с шифрованием и его взломами.
#НовостьДня
Твой Пакет Безопасности
Только мы успели с вами обсудить проблему появления квантовых компьютеров, как китайские хакеры уже нашли способ взлома алгоритма шифрования RSA. Новость кажется рядовой, так как каждый день что-то да взламывают. Но проблема состоит в том, что на шифровании RSA держится подавляющая часть всех интернетов.
Мир кибербезопасности прекрасно понимал, что этот момент настанет, но не так быстро. Аналитики давно уже посчитали мощность квантового компьютера, необходимую для взлома этого алгоритма, исчесляемую сотнями тысяч кубитов (единица измерения мощности). Но китайские умельцы нашли способ сделать это в тысячу раз проще – им потребовалось всего 372 кубита. И да, такой квантовый компьютер уже существует.
У рядовых хакеров на дорогую квантовую игрушку денег, может быть, и не хватит, но мировые державы себе такое удовольствие позволить точно смогут. Хочется уже уже какого-то прорыва в сфере криптографии, чтобы надолго забыть о проблемах с шифрованием и его взломами.
#НовостьДня
Твой Пакет Безопасности
👍8🌚5⚡3❤🔥2🕊2❤1🤯1😱1
Улыбаемся и машем лицом
Думаю, что все вы знаете и помните о новшестве в московском метрополитене, согласно которому ваша внешность теперь постоянно считывается при использовании входных/выходных турникетов. Многим это не понравилось, так как за обличием удобства и отказом от проездных карточек скрываются огромные риски утечки чувствительной информации о жителях мегаполисов.
Все помнят многократные взломы и сливы из государственных систем, обрабатывающих и хранящих конфиденциальную информацию, а точнее, персональные данные пользователей. При помощи биометрических данных можно сделать много неприятных и незаконных вещей уже сейчас, не говоря уже о том, что с ними можно будет сделать в будущем. Номер телефона, имя или паспорт можно легко поменять, а вот с внешностью и голосом всё немного сложнее.
Так вот, под конец 2022 года вышел закон, согласно которому теперь нельзя никого принуждать к сдаче биометрии. Более того, он запрещает дискриминацию в отношении личностей, отказавшись от сбора подобных данных. Своё согласие (на обработку биометрии) теперь также можно будет отозвать через Госуслуги. И это просто отлично, ведь людям возвращают их законные права.
Я уверен, что когда-нибудь мир будет готов к тому, чтобы везде использовать свою внешность, голос и отпечатки пальцев для того, чтобы удобно потреблять блага этого мира , но не сейчас.
#НовостьДня
Твой Пакет Безопасности
Все помнят многократные взломы и сливы из государственных систем, обрабатывающих и хранящих конфиденциальную информацию, а точнее, персональные данные пользователей. При помощи биометрических данных можно сделать много неприятных и незаконных вещей уже сейчас, не говоря уже о том, что с ними можно будет сделать в будущем. Номер телефона, имя или паспорт можно легко поменять, а вот с внешностью и голосом всё немного сложнее.
Так вот, под конец 2022 года вышел закон, согласно которому теперь нельзя никого принуждать к сдаче биометрии. Более того, он запрещает дискриминацию в отношении личностей, отказавшись от сбора подобных данных. Своё согласие (на обработку биометрии) теперь также можно будет отозвать через Госуслуги. И это просто отлично, ведь людям возвращают их законные права.
Я уверен, что когда-нибудь мир будет готов к тому, чтобы везде использовать свою внешность, голос и отпечатки пальцев для того, чтобы удобно потреблять блага этого мира , но не сейчас.
#НовостьДня
Твой Пакет Безопасности
👍16❤🔥4⚡3🤯3👏1😁1🤔1🤣1
Он такой один
После ухода из РФ основных поставщиков ПО и оборудования, больше всего вопросов возникло у ФинТеха, так как мы не умели производить банкоматы на собственных мощностях. У нас не было ни своего производства, ни технологий для этого, так как Россия всегда закупала подобное оборудование у иностранных поставщиков.
Всё дело в том, что купюры постоянно видоизменяются, в них внедряются новые водяные знаки и прочие маркировки, позволяющие идентифицировать их подлинность и отличать от подделок. Связано это с тем, что злоумышленники, рано или поздно, доводят производство поддельных банкнот до совершенства. Это вынуждает банки регулярно вносить изменения не только в выпускаемые купюры, но и в механизмы проверки безопасности в банкоматах. А после разрыва отношений с поставщиками, это стало одной большой проблемой.
Так вот, Тинькофф решил эту проблему, первым в России выпустив банкомат полностью на собственном производстве. На самом деле, сделать это нужно было уже давно. Но, видимо, это было слишком дорого и неоправданно с точки зрения вкладываемых ресурсов. Банкомат они назвали иронично “Один”. Более того, собран он сугубо с использованием отечественного оборудования и комплектующих.
Не каждая страна, даже в Европе, может похвастаться такими достижениями. Теперь у банка есть полный контроль над всеми технологиями и механизмами безопасности в собственных банкоматах, что позволяет им постоянно тюнинговать необходимые функции проверки подлинности банкнот.
#НовостьДня
Твой Пакет Безопасности
После ухода из РФ основных поставщиков ПО и оборудования, больше всего вопросов возникло у ФинТеха, так как мы не умели производить банкоматы на собственных мощностях. У нас не было ни своего производства, ни технологий для этого, так как Россия всегда закупала подобное оборудование у иностранных поставщиков.
Всё дело в том, что купюры постоянно видоизменяются, в них внедряются новые водяные знаки и прочие маркировки, позволяющие идентифицировать их подлинность и отличать от подделок. Связано это с тем, что злоумышленники, рано или поздно, доводят производство поддельных банкнот до совершенства. Это вынуждает банки регулярно вносить изменения не только в выпускаемые купюры, но и в механизмы проверки безопасности в банкоматах. А после разрыва отношений с поставщиками, это стало одной большой проблемой.
Так вот, Тинькофф решил эту проблему, первым в России выпустив банкомат полностью на собственном производстве. На самом деле, сделать это нужно было уже давно. Но, видимо, это было слишком дорого и неоправданно с точки зрения вкладываемых ресурсов. Банкомат они назвали иронично “Один”. Более того, собран он сугубо с использованием отечественного оборудования и комплектующих.
Не каждая страна, даже в Европе, может похвастаться такими достижениями. Теперь у банка есть полный контроль над всеми технологиями и механизмами безопасности в собственных банкоматах, что позволяет им постоянно тюнинговать необходимые функции проверки подлинности банкнот.
#НовостьДня
Твой Пакет Безопасности
⚡12👍6❤4🤯3❤🔥2🔥2👎1🕊1💊1
За пенсией в Телеграм
На днях появились слухи о том, что ВТБ всё-таки сделает свой онлайн-банкинг в мессенджере Telegram, были даже слиты фотографии в низком качестве. И вот вчера появились уже более правдивые рендеры бота от Банка, реализованного на базе их уже существующего Помощника ВТБ.
Если это действительно так и этот сервис заработает на базе Телеграма, то это будет большим шагом вперед как для самого мессенджера, так и для российского ФинТеха в целом. Да, это не будет первым прецедентом, связанным с денежными переводами внутри этого приложения, но лично мне очень интересно, как ВТБ будет лавировать в правовом поле РФ со своим ботом.
Само собой, сделать это решение безопасным можно, хоть и возникает очень много вопросов к процедурам авторизации пользователей и подтверждения транзакций. Если у ребят всё получится, то рынок угона тг-аккаунтов начнет очень быстро и сильно подогреваться, поэтому будьте осторожны и бдительны. Как только повышаются ставки, злоумышленники начинают креативить новые мошеннические схемы с удивительной скоростью и упорством.
#НовостьДня
Твой Пакет Безопасности
На днях появились слухи о том, что ВТБ всё-таки сделает свой онлайн-банкинг в мессенджере Telegram, были даже слиты фотографии в низком качестве. И вот вчера появились уже более правдивые рендеры бота от Банка, реализованного на базе их уже существующего Помощника ВТБ.
Если это действительно так и этот сервис заработает на базе Телеграма, то это будет большим шагом вперед как для самого мессенджера, так и для российского ФинТеха в целом. Да, это не будет первым прецедентом, связанным с денежными переводами внутри этого приложения, но лично мне очень интересно, как ВТБ будет лавировать в правовом поле РФ со своим ботом.
Само собой, сделать это решение безопасным можно, хоть и возникает очень много вопросов к процедурам авторизации пользователей и подтверждения транзакций. Если у ребят всё получится, то рынок угона тг-аккаунтов начнет очень быстро и сильно подогреваться, поэтому будьте осторожны и бдительны. Как только повышаются ставки, злоумышленники начинают креативить новые мошеннические схемы с удивительной скоростью и упорством.
#НовостьДня
Твой Пакет Безопасности
⚡11🤣5❤🔥3🤯2🌚2👍1🥰1🕊1
Вебкам-пылесос
Не так давно в сеть утекли приватные фотографии владельцев роботов-пылесосов. Думаю, что многие об этом инциденте слышали, но если нет, то вот почитайте.
Если кратко, то все роботы пылесосы с камерой на борту каждую секунду пытаются распознать объекты перед собой для правильного построения маршрута. Делают они это при помощи нейронок, но не всегда идеально правильно, поэтому в этом деле необходимо вмешательство человека для корректной маркировки объектов (не переживайте, рано или поздно нейронные сети обучатся и помощь людей не потребуется). Алгоритм максимально прост, но без человеческого фактора и ошибок, как всегда, никуда.
Так один из сотрудников Scale AI (который отсматривал и маркировал объекты с камеры пылесоса iRobot) увидел интересную фотографию и решил её слить в сеть, породив тем самым скандал мирового масштаба. Scale AI до сих пор разгребает претензии и теряет миллионы долларов. Даже MIT не остался в стороне, выпустив статью на эту тему.
Это далеко не первый слив материалов с умных устройств. И это нормально, особенно с учетом того, как халатно компании относятся к безопасности IoT. В следующем посте расскажу про один инструмент, который помогает злоумышленникам находить ваши камеры и взламывать их, а пока будьте осторожны и не рассказывайте роботам-пылесосам свои секреты.
#НовостьДня
Твой Пакет Безопасности
Не так давно в сеть утекли приватные фотографии владельцев роботов-пылесосов. Думаю, что многие об этом инциденте слышали, но если нет, то вот почитайте.
Если кратко, то все роботы пылесосы с камерой на борту каждую секунду пытаются распознать объекты перед собой для правильного построения маршрута. Делают они это при помощи нейронок, но не всегда идеально правильно, поэтому в этом деле необходимо вмешательство человека для корректной маркировки объектов (не переживайте, рано или поздно нейронные сети обучатся и помощь людей не потребуется). Алгоритм максимально прост, но без человеческого фактора и ошибок, как всегда, никуда.
Так один из сотрудников Scale AI (который отсматривал и маркировал объекты с камеры пылесоса iRobot) увидел интересную фотографию и решил её слить в сеть, породив тем самым скандал мирового масштаба. Scale AI до сих пор разгребает претензии и теряет миллионы долларов. Даже MIT не остался в стороне, выпустив статью на эту тему.
Это далеко не первый слив материалов с умных устройств. И это нормально, особенно с учетом того, как халатно компании относятся к безопасности IoT. В следующем посте расскажу про один инструмент, который помогает злоумышленникам находить ваши камеры и взламывать их, а пока будьте осторожны и не рассказывайте роботам-пылесосам свои секреты.
#НовостьДня
Твой Пакет Безопасности
👍20😁7🤯5⚡4❤2❤🔥1
Розыск домашних устройств
Так вот, о взломе умных устройств в вашем доме. Наверное, вы представляете себе любой взлом в формате написания длинных строчек кода в черно-белом терминале, но это уже давно не так. Хакеры тоже люди, а люди – существа ленивые. Поэтому умельцы сделали свойgoogle поисковик для массового взлома любых устройств, находящихся в сети – от серверов до увлажнителей воздуха, смарт-тв и принтеров. И имя ему Shodan.
Само собой, пользоваться этим инструментом я вас учить не буду (для этого есть ютуб ), но вы должны знать и понимать, что взломать устройства, которые есть в этом поисковике, предельно просто. Тут есть вся необходимая информация – открытые порты, местоположение, операционная система, IP-адреса и прочее.
Большинство устройств взламывается благодаря двум самым банальным ошибкам – стандартные (заводские) логины/пароли и открытые порты. Со второй ошибкой рядовым пользователям справиться будет непросто, но первую вы точно можете исправить уже сейчас. Всегда меняйте стандартные пароли на ваших устройствах и делайте их сложными.
#Кибергигиена
Твой Пакет Безопасности
Так вот, о взломе умных устройств в вашем доме. Наверное, вы представляете себе любой взлом в формате написания длинных строчек кода в черно-белом терминале, но это уже давно не так. Хакеры тоже люди, а люди – существа ленивые. Поэтому умельцы сделали свой
Само собой, пользоваться этим инструментом я вас учить не буду (
Большинство устройств взламывается благодаря двум самым банальным ошибкам – стандартные (заводские) логины/пароли и открытые порты. Со второй ошибкой рядовым пользователям справиться будет непросто, но первую вы точно можете исправить уже сейчас. Всегда меняйте стандартные пароли на ваших устройствах и делайте их сложными.
#Кибергигиена
Твой Пакет Безопасности
⚡17👍8❤🔥2🕊2🤯1
Не долго музыка играла
Не успел еще новый банковский бот от ВТБ увидеть свет, как Роскомнадзор сжёг все мосты на пути российского ФинТеха в сторону онлайн-банкинга в Телеграме. РКН причислил Telegram к списку иностранных мессенджеров, что не даёт теперь никакой возможности легально реализовать функции оплаты и переводов внутри этого приложения.
Очень жаль, видимо придётся и дальше искать обходные пути в виде веб-версий приложений и СБОЛов местного разлива.
К слову, это не единственное ограничение, которое накладывается на Телеграм в связи с занесением его в список иностранных мессенджеров. Помимо платёжных данных теперь здесь запрещено передавать и персональные данные при предоставлении услуг. Некоторые организации сделали свою службу поддержки в виде ботов в Телеграме, посредством которых раньше можно было быстро решать многие вопросы – посмотрим, что будет с ними.
Пока кажется, что РКН опять сделал что-то не подумав, в очередной раз оттолкнув нас от необходимого прогресса. (Надеюсь, что в следующий раз ребята из госслужб хотя бы свяжутся с банком, чтобы уточнить, как именно они проработали своё решение и почему считают его безопасным )
#НовостьДня
Твой Пакет Безопасности
Не успел еще новый банковский бот от ВТБ увидеть свет, как Роскомнадзор сжёг все мосты на пути российского ФинТеха в сторону онлайн-банкинга в Телеграме. РКН причислил Telegram к списку иностранных мессенджеров, что не даёт теперь никакой возможности легально реализовать функции оплаты и переводов внутри этого приложения.
Очень жаль, видимо придётся и дальше искать обходные пути в виде веб-версий приложений и СБОЛов местного разлива.
К слову, это не единственное ограничение, которое накладывается на Телеграм в связи с занесением его в список иностранных мессенджеров. Помимо платёжных данных теперь здесь запрещено передавать и персональные данные при предоставлении услуг. Некоторые организации сделали свою службу поддержки в виде ботов в Телеграме, посредством которых раньше можно было быстро решать многие вопросы – посмотрим, что будет с ними.
Пока кажется, что РКН опять сделал что-то не подумав, в очередной раз оттолкнув нас от необходимого прогресса. (
#НовостьДня
Твой Пакет Безопасности
⚡10👍9🤣5❤🔥3👎1🔥1🤯1
Ваш код подтверждения – слит
Наверняка вы от кого-то слышали, либо сами сталкивались с массовым СМС-спамом кодами подтверждения на номер телефона. Коды обычно начинают приходить от различных компаний одновременно или с небольшими временными промежутками.
Это означает, что ваш номер был слит и прямо сейчас идёт его перебор на всех возможных ресурсах, где он был или мог быть зарегистрирован. Такие вещи злоумышленники обычно не делают вручную, а автоматизируют, чтобы не тратить своё драгоценное время.
Во-первых, если подобное произошло с вами, нужно срочно обратиться к вашему оператору связи и заморозить номер телефона, пока злоумышленники не получили доступ и к нему. Да, это возможно, и даже не очень дорого. В дарксторах можно заказать дубликат любой симки всего за несколько долларов.
Во-вторых, задумайтесь, кто мог слить ваш номер телефона и его взаимосвязь со всеми сервисами, откуда пришли СМС с кодами подтверждения. Возможно, от использования такого сервиса стоит отказаться.
Будьте осторожны и аккуратнее делитесь своим основным номером телефона, который вы используете при регистрации где бы то ни было.
#Кибергигиена
Твой Пакет Безопасности
Это означает, что ваш номер был слит и прямо сейчас идёт его перебор на всех возможных ресурсах, где он был или мог быть зарегистрирован. Такие вещи злоумышленники обычно не делают вручную, а автоматизируют, чтобы не тратить своё драгоценное время.
Во-первых, если подобное произошло с вами, нужно срочно обратиться к вашему оператору связи и заморозить номер телефона, пока злоумышленники не получили доступ и к нему. Да, это возможно, и даже не очень дорого. В дарксторах можно заказать дубликат любой симки всего за несколько долларов.
Во-вторых, задумайтесь, кто мог слить ваш номер телефона и его взаимосвязь со всеми сервисами, откуда пришли СМС с кодами подтверждения. Возможно, от использования такого сервиса стоит отказаться.
Будьте осторожны и аккуратнее делитесь своим основным номером телефона, который вы используете при регистрации где бы то ни было.
#Кибергигиена
Твой Пакет Безопасности
👍11⚡4🕊2👎1👏1🤣1🤓1
Корпорации зла
Все продуктовые компании собирают аналитические данные пользователей об использовании своих сервисов. Это логично, так как им необходимо персонализировать свои услуги, улучшать их и вырабатывать эффективную стратегию развития, что в конечном итоге и повлияет на то количество денег, которое они заработают со своих клиентов.
Так вот, Apple себе в этом тоже не отказывает. Порой даже независимо от того, дал пользователь свое согласие или нет. Поэтому компания регулярно получает коллективные судебные иски, последний из которых был 6 января этого года. Дело в том, что приложение AppStore собирало и отправляло данные в режиме реального времени о поиске, просмотренных объявлениях и времени, которое вы на это потратили (даже после отказа пользователя от отправки этой информации ).
В рамках этого контекста – ничего страшного, но что, если такое практикуется и в других сервисах и приложениях компании? На самом деле, наверняка все данные и так собираются и отправляются куда надо для аналитики, и это уже давно ни для кого не сюрприз. На схожую тему в 2020 году сам Netflix снял фильм – Социальная дилемма, в котором бывшие сотрудники Google, Facebook, Twitter, YouTube и многих других IT-компаний рассказывают о своих разработках для компаний, причинах их увольнения, и о том, как разработанные ими алгоритмы пагубно влияют на жизнь людей и особенно — детей. Очень советую к просмотру, так как это может качественно повлиять как на вашу настоящую жизнь, так и на ваше будущее.
#Мнение
Твой Пакет Безопасности
Все продуктовые компании собирают аналитические данные пользователей об использовании своих сервисов. Это логично, так как им необходимо персонализировать свои услуги, улучшать их и вырабатывать эффективную стратегию развития, что в конечном итоге и повлияет на то количество денег, которое они заработают со своих клиентов.
Так вот, Apple себе в этом тоже не отказывает. Порой даже независимо от того, дал пользователь свое согласие или нет. Поэтому компания регулярно получает коллективные судебные иски, последний из которых был 6 января этого года. Дело в том, что приложение AppStore собирало и отправляло данные в режиме реального времени о поиске, просмотренных объявлениях и времени, которое вы на это потратили (
В рамках этого контекста – ничего страшного, но что, если такое практикуется и в других сервисах и приложениях компании? На самом деле, наверняка все данные и так собираются и отправляются куда надо для аналитики, и это уже давно ни для кого не сюрприз. На схожую тему в 2020 году сам Netflix снял фильм – Социальная дилемма, в котором бывшие сотрудники Google, Facebook, Twitter, YouTube и многих других IT-компаний рассказывают о своих разработках для компаний, причинах их увольнения, и о том, как разработанные ими алгоритмы пагубно влияют на жизнь людей и особенно — детей. Очень советую к просмотру, так как это может качественно повлиять как на вашу настоящую жизнь, так и на ваше будущее.
#Мнение
Твой Пакет Безопасности
⚡10❤🔥7👍3😁3🤯3👎1
Министерство внутренних дел в области легких паролей
В США произошёл позор. Дело в том, что Министерство внутренних дел в области кибербезопасности уличили и раскритиковали за то, что его сотрудники используют в своих учетных записях простые пароли формата "Password1234". Более того, сделал это другой правительственный надзорный орган США, взломав те самые учетные записи нескольких тысяч сотрудников Министерства.
Забавно то, что раз у сотрудников получилось установить себе легко угадываемые пароли (винить их в этом сложно, так как "что не запрещено – то разрешено"), значит это не было ограничено политиками безопасности компании. Ситуация выходит более чем комичная. Но постирония заключается еще и в том, что по итогам исследования оказалось, что сотрудники Министерства, отвечающие за кибербезопасность, нарушили более 20 своих же рекомендаций по информационной безопасности.
#НовостьДня
Твой Пакет Безопасности
Забавно то, что раз у сотрудников получилось установить себе легко угадываемые пароли (винить их в этом сложно, так как "что не запрещено – то разрешено"), значит это не было ограничено политиками безопасности компании. Ситуация выходит более чем комичная. Но постирония заключается еще и в том, что по итогам исследования оказалось, что сотрудники Министерства, отвечающие за кибербезопасность, нарушили более 20 своих же рекомендаций по информационной безопасности.
#НовостьДня
Твой Пакет Безопасности
😁23❤12❤🔥3⚡2👍2🤯1🌚1
Безопасность в Telegram
Мы с вами не раз затрагивали тему мошенничества в Телеграме (раз, два, три, четыре, пять), подробно разбирая популярные и актуальные схемы угона аккаунтов. Есть всего несколько базовых приницпов, которые используют злоумышленники при взломе. Зная их, вы будете с легкостью их распознавать, в какую бы обёртку их не завернули.
Взлом через рассылку файлов с программами-взломщиками. Не самый частый, но действенный метод. Для того, чтобы он сработал, жертва должна получить и скачать вредоносный файл на свое устройство. Файл может быть абсолютно любого формата, начиная с .xlsx, заканчивая .pdf или .zip. Файл вам может прислать как незнакомец, так и кто-то из вашего списка контактов (под любым предлогом), так что будьте вдвойне осторожны. Такие файлы нельзя ни скачивать, ни открывать.
Угон через авторизацию по ссылке. Наиболее частый способ, заключающийся в переходе жертвы по внешней ссылке на фишинговый сайт с запросом авторизации через мессенджер. Как только вы вводите свои данные на сайте мошенников, контроль над вашим аккаунтом переходит в руки злоумышленников. Всегда проверяйте внешние ссылки, которые вам присылают, вне зависимости от того, кто именно ими с вами поделился. А лучше вообще по ним не переходите без крайней необходимости.
Взлом через внутренних ботов. К вам в гости может зайти не просто человек, а даже бот (или пользователь, маскирующийся под него), например от “службы поддержки” Telegram Support. Бот точно также может запросить у вас любые данные, после чего передаст их прямо в руки злоумышленникам. Ну а исход вы знаете. Навязчивых ботов лучше сразу останавливать в меню профиля, а маскировщиков – блокировать.
В одном из следующих постов попробуем собрать вместе все правила кибергигиены в Телеграме, чтобы они всегда были у вас под рукой и вы не попались на схемы злоумышленников.
#Кибергигиена
Твой Пакет Безопасности
Мы с вами не раз затрагивали тему мошенничества в Телеграме (раз, два, три, четыре, пять), подробно разбирая популярные и актуальные схемы угона аккаунтов. Есть всего несколько базовых приницпов, которые используют злоумышленники при взломе. Зная их, вы будете с легкостью их распознавать, в какую бы обёртку их не завернули.
Взлом через рассылку файлов с программами-взломщиками. Не самый частый, но действенный метод. Для того, чтобы он сработал, жертва должна получить и скачать вредоносный файл на свое устройство. Файл может быть абсолютно любого формата, начиная с .xlsx, заканчивая .pdf или .zip. Файл вам может прислать как незнакомец, так и кто-то из вашего списка контактов (под любым предлогом), так что будьте вдвойне осторожны. Такие файлы нельзя ни скачивать, ни открывать.
Угон через авторизацию по ссылке. Наиболее частый способ, заключающийся в переходе жертвы по внешней ссылке на фишинговый сайт с запросом авторизации через мессенджер. Как только вы вводите свои данные на сайте мошенников, контроль над вашим аккаунтом переходит в руки злоумышленников. Всегда проверяйте внешние ссылки, которые вам присылают, вне зависимости от того, кто именно ими с вами поделился. А лучше вообще по ним не переходите без крайней необходимости.
Взлом через внутренних ботов. К вам в гости может зайти не просто человек, а даже бот (или пользователь, маскирующийся под него), например от “службы поддержки” Telegram Support. Бот точно также может запросить у вас любые данные, после чего передаст их прямо в руки злоумышленникам. Ну а исход вы знаете. Навязчивых ботов лучше сразу останавливать в меню профиля, а маскировщиков – блокировать.
В одном из следующих постов попробуем собрать вместе все правила кибергигиены в Телеграме, чтобы они всегда были у вас под рукой и вы не попались на схемы злоумышленников.
#Кибергигиена
Твой Пакет Безопасности
👍25⚡5❤🔥5🔥1😁1🤯1
Оптом дешевле
Рассказывать о каждой утечке в отдельных постах уже неудобно, поэтому буду их группировать.
Во-первых, компания «1С» подтвердила утечку данных пользователей своего образовательного сервиса «1С:Урок». Слиты были ФИО, номера телефонов и адреса электронной почты школьников и учителей. Судя по заявлениям самой компании, причины утечки уже уcтранены. Хочется надеяться, что так и есть.
Во-вторых, стало известно о взломе очередного сервиса хранения паролей от Norton. Так вот, NortonLifeLock успел попасть под атаку в конце 2022 года. Если верить заявлениям самой компании, то 12 декабря они заметили массовый перебор учётных данных для входа в свою систему, что можно трактовать как кибератаку на сервис. Ребята инициировали расследование, в ходе которого выяснилось, что атаки начались двумя неделями ранее и злоумышленники даже успели взломать какое-то количество учетных записей пользователей (само собой, какое именно количество, компания скрыла ). Поэтому, Norton в срочном порядке сама сбросила пароли для затронутых учётных записей, чтобы обезопасить пользователей от злоумышленников, разослав соответствующее оповещение.
Устанавливайте только безопасные сложные пароли, регулярно их меняйте и не используйте одинаковые пароли для разных сервисов. И включайте двухфакторную авторизацию везде, где это возможно. А главное помните – в этом мире нет ничего, что нельзя взломать.
#НовостьДня
Твой Пакет Безопасности
Рассказывать о каждой утечке в отдельных постах уже неудобно, поэтому буду их группировать.
Во-первых, компания «1С» подтвердила утечку данных пользователей своего образовательного сервиса «1С:Урок». Слиты были ФИО, номера телефонов и адреса электронной почты школьников и учителей. Судя по заявлениям самой компании, причины утечки уже уcтранены. Хочется надеяться, что так и есть.
Во-вторых, стало известно о взломе очередного сервиса хранения паролей от Norton. Так вот, NortonLifeLock успел попасть под атаку в конце 2022 года. Если верить заявлениям самой компании, то 12 декабря они заметили массовый перебор учётных данных для входа в свою систему, что можно трактовать как кибератаку на сервис. Ребята инициировали расследование, в ходе которого выяснилось, что атаки начались двумя неделями ранее и злоумышленники даже успели взломать какое-то количество учетных записей пользователей (
Устанавливайте только безопасные сложные пароли, регулярно их меняйте и не используйте одинаковые пароли для разных сервисов. И включайте двухфакторную авторизацию везде, где это возможно. А главное помните – в этом мире нет ничего, что нельзя взломать.
#НовостьДня
Твой Пакет Безопасности
👍11❤🔥7⚡6🤯2🥴2🕊1
Ну хватит уже...
Лично мне за вчерашний день уже надоела новость о том, что у Яндекса произошла утечка исходного кода сразу 10 его основных сервисов. Но, с этим ничего не поделать, Яндекс действительно известная компания, с инцидентов которой многие любят снимать сливки.
Само собой, Яндекс уже успел прокомментировать эту ситуацию, успокоив всех тем, что были слиты исходники годовалой давности (часть кода всё еще может быть актуальной ), тем, что в утечке нет данных пользователей (больная тема для компании ) и тем, что взлома системы безопасности не было (значит слил кто-то изнутри ).
А теперь попробуем трезво взглянуть на то, что у нас есть в сухом остатке. Во-первых, пользователям действительно ничего не угрожает (если всё сказанное Яндексом – правда). Во-вторых, хакеры теперь могут просканировать слитую кодовую базу на предмет наличия уязвимостей безопасности в сервисах, чтобы использовать эту информацию в будущем. Несмотря на это, расковырять руками код таких масштабов будет крайне сложно, для этого потребуется целый штат опытных разработчиков и технических писателей (но всё возможно, вопрос только целесообразности вложенных ресурсов).
Ну и в-третьих, выкачать такой объем исходного кода из внутреннего репозитория компании – не просто диверсия, а самое настоящее чудо. И чудо здесь заключается в том, что этого не заметила служба ИБ (к которой накопилось уже очень много вопросов ). Остаётся только гадать, где кроется проблема – в слабой защите и контроле безопасности или в настолько изобретательных, но обиженных сотрудниках компании.
#НовостьДня
Твой Пакет Безопасности
Лично мне за вчерашний день уже надоела новость о том, что у Яндекса произошла утечка исходного кода сразу 10 его основных сервисов. Но, с этим ничего не поделать, Яндекс действительно известная компания, с инцидентов которой многие любят снимать сливки.
Само собой, Яндекс уже успел прокомментировать эту ситуацию, успокоив всех тем, что были слиты исходники годовалой давности (
А теперь попробуем трезво взглянуть на то, что у нас есть в сухом остатке. Во-первых, пользователям действительно ничего не угрожает (если всё сказанное Яндексом – правда). Во-вторых, хакеры теперь могут просканировать слитую кодовую базу на предмет наличия уязвимостей безопасности в сервисах, чтобы использовать эту информацию в будущем. Несмотря на это, расковырять руками код таких масштабов будет крайне сложно, для этого потребуется целый штат опытных разработчиков и технических писателей (но всё возможно, вопрос только целесообразности вложенных ресурсов).
Ну и в-третьих, выкачать такой объем исходного кода из внутреннего репозитория компании – не просто диверсия, а самое настоящее чудо. И чудо здесь заключается в том, что этого не заметила служба ИБ (
#НовостьДня
Твой Пакет Безопасности
⚡12🤓6🎉5❤🔥4👍4🤔2🤯1🙏1🕊1