Доброе утро! Но, может, и не доброе: пишут, что 100млн аккаунтов ВК, включая пароли, тютю, так что вы это самое, берегите там себя https://motherboard.vice.com/read/another-day-another-hack-100-million-accounts-for-vk-russias-facebook
Size: a a a
2016 June 06
А вот на выходных ещё хакнули Твиттер и Пинтерест Цукерберга, причём, похоже, по паролю из LinkedIn, база которого утекла. Не реюзайте пароли, не будьте как Цукерберг! Ну и 2FA никто не отменял. http://venturebeat.com/2016/06/05/mark-zuckerbergs-twitter-and-pinterests-accounts-hacked-linkedin-password-dump-likely-to-blame/
пишут, что пароли на хакнутых аккаунтах Цукерберга были "dadada", хотя мне в итоге кажется, что это были какие-то на скорую руку зарегистрированные аккаунты "чисто посмотреть че там у них"
зато вот у Mitsubishi все плохо — хакнули машину через встроенный WiFi/GSM-модуль. после взлома машине можно отключать фары, кондиционер и даже сигнализацию. очень удобно. детали взлома — ниже по ссылке. там еще важный момент, что Митцу вели себя как мудаки, когда с ними пытались связаться исследователи, игнорируя их письма, но это характерно многим производителям, в том числе и, например, GM https://www.pentestpartners.com/blog/hacking-the-mitsubishi-outlander-phev-hybrid-suv/
когда я писал на прошлой неделе про "ни дня без TeamViewer", я не думал, что это будет серьезно. однако, у Ars — еще одна статья про TV, где представители TV признали, что, похоже, несанкционированный доступ таки имел место и речь идет о большом количестве учетных записей. Они по-прежнему отбиваются аргументацией про то, что это все password reuse виноват, но объяснить, почему 2FA не спасла в этом случае, не могут. http://arstechnica.com/security/2016/06/teamviewer-says-theres-no-evidence-of-2fa-bypass-in-mass-account-hack/
2016 June 07
а вот Netflix молодцы. Они проверили утекшие базы и сравнили их с пользователями и их паролями у себя в базе. кто делал password reuse (то есть пароль такой же, как у утекших аккаунтов LinkedIn, Tumblr или MySpace), тот получил вот такое письмо. Причем не с просьбой заменить пароль, а прям сразу пароль сбросили – "иди меняй, лентяй". Короче, password reuse — это плохо, лучше применяйте гигиену паролей!
2016 June 08
ransomware — это какая-то эпидемия уже. новое поколение вредоносного ПО фокусируется на том, чтобы вымогать деньги за, например, расшифровку файлов. университет Калгари заплатил 20 тыс долларов за то, чтобы разблокировать компьютеры и файлы в сети ВУЗа. Это, правда, все равно дешевле, чем нанимать full-time специалиста по безопасности http://www.cbc.ca/beta/news/canada/calgary/university-calgary-ransomware-cyberattack-1.3620979?utm_content=bufferd9d39&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer
если у вас смартфон Samsung, там к нему вышел в июне апдейт, исправляющий несколько уязвимостей, в том числе и уязвимость в Factor Reset Protection, которая позволяла тому, кто, например, украл ваш смартфон, обойти систему защиты и произвести заводской сброс. http://security.samsungmobile.com/smrupdate.html#SMR-JUN-2016
день без новостей про TeamViewer — канал на ветер! тут смешная история, присланная читателем, про то, как автоматическая установка Windows 10 смогла прекратить несанкционированный доступ к компьютерам через teamviewer. не знаю, насколько правда, но все равно забавно https://geektimes.ru/p/276934/
но есть и по-настоящему плохие новости. прогресс — он ведь затрагивает все области нашей жизни, а медицина — так вообще впереди планеты всей зачастую. Вот и капельницы тоже бывают "смарт", как оказалось. и вот тут начинается ад, потому что, похоже, капельницу разрабатывали какие-то люди, плохо себе представляющие основы безопасности. поэтому когда на капельницу накатывается новая прошивка, устройство не проверяет подписи прошивки. при этом, оказывается, эта капельница еще и к интернету подключена — internet of shit, мать его так. так вот, хакер или человек, имеющий физический доступ к капельнице, может накатить на устройство левую прошивку, которая позволит менять дозировку лекарства, что потенциально может дать возможность увеличить дозировку до смертельной дозы. какая была бы нелепая смерть... и таких капельниц в больницах США — сотни тысяч. производитель, конечно, все отрицает, но в статье рассказывается про хакера, который якобы это все смог продемонстрировать на практике. https://www.wired.com/2015/06/hackers-can-send-fatal-doses-hospital-drug-pumps/
2016 June 09
Алярма! Теперь вроде как всплыли 32млн учёток пользователей Твиттера. Если вы не пользуетесь 2FA - то очень зря https://www.leakedsource.com/blog/twitter
важный момент — похоже, что это не твиттер хакнули, а что это — просто компиляция из украденной у разных пользователей информации
This data set contains 32,888,300 records. Each record may contain an email address, a username, sometimes a second email and a visible password. We have very strong evidence that Twitter was not hacked, rather the consumer was. These credentials however are real and valid. Out of 15 users we asked, all 15 verified their passwords.
The explanation for this is that tens of millions of people have become infected by malware, and the malware sent every saved username and password from browsers like Chrome and Firefox back to the hackers from all websites including Twitter.
This data set contains 32,888,300 records. Each record may contain an email address, a username, sometimes a second email and a visible password. We have very strong evidence that Twitter was not hacked, rather the consumer was. These credentials however are real and valid. Out of 15 users we asked, all 15 verified their passwords.
The explanation for this is that tens of millions of people have become infected by malware, and the malware sent every saved username and password from browsers like Chrome and Firefox back to the hackers from all websites including Twitter.
тут в новостях интересная тема про Smart TV всплыла. конечно, СМИ британское как первоисточник, а им веры еще меньше, чем британским ученым, но в целом история достаточно реалистична, чтобы быть правдой. некая пара рассказала, что их Smart TV хакнули и через него сняли (видимо, у этого ТВ была встроенная камера. У Самсунга такие были, да?), как эта пара занималась сексом. а потом это видео оказалось на порносайте (в статье ссылки нет) http://metro.co.uk/2016/05/23/smart-tv-hackers-are-filming-people-having-sex-on-their-sofas-and-putting-it-on-porn-sites-5899248/
2016 June 11
Ура, за сегодня новых утечек паролей не обнаружено! (Что, впрочем, не означает, что их не было). Поэтому wtf дня в картинке
2016 June 13
несмотря на то, что у многих из вас сегодня выходной, информация опасносте всегда! например, https://community.letsencrypt.org/t/email-address-disclosures-preliminary-report-june-11-2016/16867
а тут в крации — про содержимое июньского апдейта безопасности у Android. владельцам смартфонов на Android эти апдейты дойдут, возможно, никогда http://www.securityweek.com/critical-vulnerabilities-patched-android-mediaserver-qualcomm-drivers
2016 June 14
похоже, нас покинуло несколько человек, чья тонкая душевная организация не вынесла укола в сторону Android, ну да ладно. сегодня, как вы понимаете, было не особо до апдейтов, потому что открывается WWDC, был кейноут Apple, новые ОС, вот это все. Я читаю по ходу немножко всяких хакеров и прочих экспертов по поводу изменений в iOS 10 относительно шифрования и криптографии, и понимаю, что стало сильно лучше, но пока не до конца понимаю, что именно. будем исследовать дальше. между тем, в macOS 10.12 пока что не работает приложение telegram, поэтому учитывайте это тоже. ну и интересный факт — на картинке. Теперь, по крайней мере, по умолчанию, нельзя будет ставить "откуда попало" неподписанные приложения в macOS, хотя, возможно, это еще раскопается где-то в скрытых настройках.