Microsoft patch tuesday! 78 фиксов, включая 38 RCE, но, как минимум, вроде как нет ничего в активной эксплуатации
https://msrc.microsoft.com/update-guide/releaseNote/2023-Jun
Можно ли доверять коду, написаному LLM, в плане его безопасности? да вот не факт
https://vulcan.io/blog/ai-hallucinations-package-risk
Производитель сетевого оборудования Barracuda призывает своих клиентов заменить оборудование, в котором обнаружены уязвимости
https://krebsonsecurity.com/2023/06/barracuda-urges-replacing-not-patching-its-email-security-gateways/
Shell оставил открытой базу данных клиентов компании, которые пользуются зарядными станциями электромобилей. Ну понятно, потому что раз не пользуются нефтепродуктами — пиявки, а не клиенты
https://techcrunch.com/2023/06/09/shell-recharge-security-lapse-exposed-drivers-data/
rmondello/110509768218667335" rel="nofollow">https://hachyderm.io/@rmondello/110509768218667335
Читать полностью…прикольная фича в свежеобъявленных версиях операционных систем Apple — браузер будет автоматически отрезать трекинг-часть ссылки в таких штуках
www.examplewebsite.com/top10vacationdestinations?clickId=d77_62jkls
Также апдейт для Chrome с фиксами трех уязвимостей, из которых как минимум одна эксплуатировалась
https://chromereleases.googleblog.com/2023/06/stable-channel-update-for-desktop.html
фсб рф утверждает, что якобы агентство национальной безопасности США использовало неизвестное вредоносное ПО для доступа в iOS через уязвимости системы. причем “предусмотренные производителем программные уязвимости.” — то есть бэкдоры. доказательств, разумеется, фсб рф не предоставили.
https://www.reuters.com/technology/russias-fsb-says-us-nsa-penetrated-thousands-apple-phones-spy-plot-2023-06-01/
http://www.fsb.ru/fsb/press/message/single.htm%21id%3D10439739%40fsbMessage.html
История из рубрики “преступление и наказание”.
Еще в 2019 году тут была новость про компанию Ring, принадлежающую Амазону, и про то, как сотрудники и подрядчики могли просматривать записи с видеокамер пользователей
/channel/alexmakus/2586
компания за это наконец-то заплатит штраф, аж 5,8 млн долларов
https://www.ftc.gov/news-events/news/press-releases/2023/05/ftc-says-ring-employees-illegally-surveilled-customers-failed-stop-hackers-taking-control-users
https://www.documentcloud.org/documents/23830628-ftc-complaint-vs-ring
https://www.reuters.com/legal/us-ftc-sues-amazoncoms-ring-2023-05-31/
популярное приложение в Google Play начало втихаря регулярно включать микрофон, записывать сегменты с голосом пользователей, и заливать записи в облако.
https://techcrunch.com/2023/05/29/popular-android-app-microphone-spying-google-play/
сотрудники ТикТока пересылали друг другу пользовательские данные — водительские удостоверения, адреса, фото
https://www.nytimes.com/2023/05/24/technology/inside-how-tiktok-shares-user-data-lark.html
несколько ссылок с новостями прошлой недели, до которых не дошли руки вовремя:
- у пользователей Твиттера, которые удаляли свои твиты, они (твиты) возвращаются
https://www.theverge.com/2023/5/22/23732497/twitter-bug-restoring-deleted-tweets-retweets
- PoC эксплойта, который позволяет получить из памяти master password у KeePass, популярного менеджера паролей
https://github.com/vdohney/keepass-password-dumper
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-32784
- популярное приложение для трекинга лучшего времени для зачатия ребенка, оказывается, сливало данные о пользователях в китайские рекламные агентства
https://techcrunch.com/2023/05/18/ftc-premom-fertility-tracking-shared-data-google/
In response, Bitbucket issued two new SSH host keys today and will be replacing the current host keys on June 20, 2023. Please review this blog and complete the applicable steps outlined below as soon as possible.
https://bitbucket.org/blog/ssh-host-key-changes
про взлом MOVEit уже както даже сил нет писать, потому что там, кажется, взломали вообще кого можно. Авторство приписывают Clop, группировке, связанной с российскими спецслужбами.
https://www.bbc.com/news/technology-65814104
Информация о гражданах Турции доступна для покупки после кражи её с государственного турецкого портала. Говорят, даже информация президента Эрдогана там есть
https://balkaninsight.com/2023/06/09/turkish-citizens-personal-data-offered-online-after-govt-site-hacked/
окей, сейчас будет несколько ссылок, накопившихся за последние пару дней — чтобы не откладывать в длинный ящик
например, вот
Проукраинские хактивисты Cyber Anarchy Squad заявили, что они атаковали систему российского интернет-провайдера «Инфотел», потенциально поставив под угрозу работоспособность финансовой системы российских банков.
«Инфотел» не работает с 8 июня, и на данный момент сайт компании все еще недоступен. Хактивисты утверждают, что до того, как нанести ущерб «Инфотел», они украли конфиденциальные данные компании.
https://www.securitylab.ru/news/538863.php
https://ioda.inetintel.cc.gatech.edu/asn/8299?from=1686098358&until=1686443958
вдогонку к истории про уязвимость в iOS, которую обнаружили в ЛК (которая очень похожа на то, что делала Pegasus, а также фсб рф, кажется, объявила бекдором)
https://securelist.com/operation-triangulation/109842/
компания выпустила утилиту, которая проверяет телефон на предмет обнаружения возможных последствий.
https://securelist.com/find-the-triangulation-utility/109867/
Июньское обновление безопасности для Android — исправление 56 уязвимостей, включая 5 критичных, и одной, которая была в активной эксплуатации
https://source.android.com/docs/security/bulletin/2023-06-01
миллионы материнок Gigabyte продавались с бэкдором в прошивке. Производитель, скорей всего, оставил его для обновления прошивок, но имплементация оказалась небезопасной и позволяла злоумышленникам использовать её во вредоносных целях
https://eclypsium.com/blog/supply-chain-risk-from-gigabyte-app-center-backdoor/
Хороший материал от Wired о том, как в Евросоюзе точат ножи на сквозное шифрование переписки и других коммуникаций, и очень хотят его запретить
https://www.wired.com/story/europe-break-encryption-leaked-document-csa-law/
VPN хорошо, а бесплатный VPN, казалось бы, лучше. Пока не случится неизбежное — например, сервис SuperVPN допустил утечку 360 млн записей своих пользователей — имейлы, оригинальные IP адреса, данные геолокации, данные об использовании сервиса.
https://www.hackread.com/free-vpn-service-supervpn-leaks-user-records/
GitLab has released an emergency security update, version 16.0.1, to address a maximum severity (CVSS v3.1 score: 10.0) path traversal flaw tracked as CVE-2023-2825.
не так то часто вижу уязвимости с 10.0
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-2825
https://about.gitlab.com/releases/2023/05/23/critical-security-release-gitlab-16-0-1-released/
брутфорс отпечатка пальца на Андроиде
https://arstechnica.com/information-technology/2023/05/hackers-can-brute-force-fingerprint-authentication-of-android-devices/
Официально про штраф Meta в 1,2 млрд евро
http://www.dataprotection.ie/en/news-media/press-releases/Data-Protection-Commission-announces-conclusion-of-inquiry-into-Meta-Ireland
из рубрики “преступление и наказание”. Евросоюз выписал Meta штраф на 1,3 млрд долларов за отправку пользовательских данных ЕС в США.
https://www.wsj.com/articles/meta-fined-1-3-billion-over-data-transfers-to-u-s-b53dbb04?mod=djemalertNEWS
одно слово — SS7 (хотя слово ли это?). Как уязвимости в этой системе помогают различным преступным организациям в их делах.
ttps://www.haaretz.com/israel-news/security-aviation/2023-05-10/ty-article-magazine/.premium/global-surveillance-the-secretive-swiss-dealer-enabling-israeli-spy-firms/00000188-0005-dc7e-a3fe-22cdf2900000
(а вот и бесплатная версия) https://archive.is/A2qmD