Леджер проебал базу данных с 270к+ клиентов. Это просто тотальный пиздец.

https://www.theblockcrypto.com/linked/88596/database-containing-personal-information-of-over-270000-ledger-customers-released-on-raidforums

The database, reviewed by The Block, contains the emails, physical addresses, and phone numbers of Ledger hardware wallet buyers.

>physical addresses
>hardware [crypto] wallet buyers

А поскольку среди людей с криптокошельками есть некоторое количество людей с высоким доходом, то эта утёкшая информация уже, похоже, стала применяться «по назначению», то есть для шантажа

Утро начинается не с кофе((

>Когда пишешь доки к либе под экстази

Бля забавный баг в телеге - если ты находишься в войсчате, но он свернут и ты печатаешь сообщение, когда нажимаешь пробел все равно на полсекунды включается микрофон)

мне уже несколько раз прислали эту ссылку, так что придется делиться — однострочная команда для Windows, которая приводит к разрушению индекса папок и файлов на дисках NTFS, и данные могут быть потеряны. в теории может быть доставлена на компьютер разными способами, но Microsoft, даже зная о ней, не исправляет её.

don’t try this at home

https://www.bleepingcomputer.com/news/security/windows-10-bug-corrupts-your-hard-drive-on-seeing-this-files-icon/

>One striking finding shared by Jonas with us was that a crafted Windows shortcut file (.url) that had its icon location set to C:\<exploit command> would trigger the vulnerability even if the user never opened the file!

>To make the attack more realistic and persistent, attackers could trick users into downloading a ZIP archive to deliver the crafted file.
An attacker can, for example, sneak in their malicious Windows shortcut file with a large number of legitimate files inside a ZIP archive.
Not only is a user more likely to download a ZIP file, but the ZIP file is likely to trigger the exploit every single time it is extracted.

>According to sources in the infosec community, serious vulnerabilities like these have been known for years and reported to Microsoft earlier but remain unpatched.

BleepingComputer reached out to Microsoft to learn if they knew of the bug already and if they would fix the bug.

“Microsoft has a customer commitment to investigate reported security issues and we will provide updates for impacted devices as soon as possible,” a Microsoft spokesperson told BleepingComputer.

https://googleprojectzero.blogspot.com/2021/01/the-state-of-state-machines.html

ААААААААААА

Короче говоря: по нормальному, при использовании WebRTC для аудио/видео связи инициацию аудиопотока не начинают до того как юзер не снимет трубку, а в идеале подвязывают к разрешению доступа к записывающему девайсу (т.е. чтобы никаких данных никуда не передавалось без явного согласия юзера) В некоторых мессенджерах умники решили ускорить блять процесс и начинали передачу аудиопотока еще до того, как чувак снял трубку. В итоге модифицированный клиент на другом конце, используя эту уязвимость, мог получать доступ к микрофону без ведома пользователя.