Опять компания, собирающая данные о пользователях социальных сетей, потеряла свою базу.

На этот раз в открытом облаке Amazon S3 были найдены данные на 48 млн. пользователей социальных сетей LinkedIn, Facebook, Twitter и т.д.

#безопасность #leak

https://vk.com/@dataleakage-utechka-dannyh-48-millionov-polzovatelei-socialnyh-setei

Сквозной идентификатор, который объединит номера паспорта, пенсионного и страхового удостоверений, в России появится в 2019 году.

Разработкой сквозного идентификатора занимаются Центробанк, Минкомсвязи и Минфин. Идентификатор свяжет информацию о гражданах из разных баз — номер паспорта, а также пенсионного и страхового удостоверений. Гражданину он позволит найти данные о себе в любой базе.

Подобное нововведение позволит также объединить базы данных разных ведомств, и свести воедино ту информацию, которую клиентам часто приходится предоставлять в процессе документооборота с органами власти, инвесткомпаниями и банками — особенно при начале отношений или операциях ввода и вывода средств.

Ну что же - ждем еще больше новостей про утечки, после введения такого идентификатора. 😂

Примеры уже есть на международном рынке. Скажем в Индии не прекращаются скандалы с национальной базой индентификаторов Aadhaar. Мы писали про проблемы с этой базой: https://t.iss.one/dataleak/252

А сосвсем скоро опубликуем еще одну новость про утечки оттуда. 😎

В Индии опять утечка из национальной базы индентификаторов Aadhaar. На этот раз опубликованы персональные данные почти 9 млн. человек.

#безопасность #leak

https://vk.com/@dataleakage-utechka-dannyh-89-mln-grazhdan-iz-indiiskoi-bazy-indentifika

Снова открытое облако Amazon S3 (AWS).

Утекло более 50 тыс. пользователей приложения Honda Connect в Индии...

#безопасность #leak

https://vk.com/@dataleakage-utechka-personalnyh-dannyh-50-tys-klientov-honda-india-iz-ot

Подрядчик очень торопился передать заказчику проект и оставил сервер Apache Airflow без пароля.

Особенность Apache Airflow в том, что ему для нормальной работы требуется доступ к внутренним ресурсам компании. В результате в свободном доступе оказались логины и пароли к FTP-серверу Universal Music Group, ключи и пароли для облака AWS, пароли для SQL-серверов и т.п.

#безопасность #leak

https://vk.com/@dataleakage-vneshnii-podryadchik-dopustil-utechku-uchetnyh-zapisei-k-ser

Регис являясь сотрудником государственного подрядчика, который был назначен в ЦРУ в период с августа 2006 года по ноябрь 2016 года, проводил несанкционированные поиски в секретных базах данных и копировал секретную информацию в личный блокнот, который он выносил со своего рабочего места в ЦРУ и хранил без разрешения дома. 🔥

#безопасность #leak

https://vk.com/@dataleakage-byvshii-podryadchik-cru-priznal-sebya-vinovnym-v-nezakonnom

Vice: Ваш телефон прослушивается, и это не паранойя

Одна из популярных интернет-страшилок гласит: ваш телефон не только запоминает местоположение, историю поиска и другую активность в сети, но и внимательно прислушивается к тому, что вы говорите - даже если просто лежит рядом. Журналист Сэм Николс решил лично проверить насколько эти слухи правдивы и убедительно доказал: да, телефон слушает вас, просто лежа рядом. Но как часто он включает свой микрофон, и действительно ли это столь опасно для наших персональных данных? Читайте материал Vice в переводе "Идеалиста"

"С учётом всего вышеперечисленного я решил попробовать провести эксперимент. Два раза в день в течение пяти дней я пытался сказать кучу фраз, которые теоретически можно было бы использовать в качестве триггеров. Фразы вроде «я думаю вернуться в университет» и «мне нужны дешевые рубашки для работы». Затем я внимательно следил за изменением рекламных баннеров в Facebook. Изменения произошли буквально в одночасье. Неожиданно мне начали рассказывать о курсах середины семестра в разных университетах, и о дешевой одежде разных брендов. После частной беседы с другом о том, как у меня закончилось место в хранилище данных, я обнаружил баннеры с рекламой тарифных планов облачных сервисов. И хотя предложения были хорошими, все это было потрясающе ужасно"

https://theidealist.ru/uphonelisteningu/

#Vice #технологии #общество #безопасность #слежка

Опять в паблик утекла маркетинговая база. 🙈

На этот раз ОЧЕНЬ большая – практически каждый взрослый житель США (230 млн. человек в базе из 249 млн. всего взрослых) и более 110 млн. компаний. 🔥🔥🔥

#безопасность #leak

https://vk.com/@dataleakage-personalnye-dannye-bolee-230-mln-amerikancev-okazalis-v-otkr

Один из самых серьезных случаев нарушений в области медициннских данных в этом году.

#безопасность #leak

https://vk.com/@dataleakage-utechka-dannyh-270-tys-pacientov-v-nu-iorke

Сначала «гений» сделал массовую рассылку по электронной почте с линком на документ, содержащий персональные данные более 3.5 тыс. учеников школ.

Затем его не менее «гениальные» коллеги потребовали получателей рассылки удалить файл. Позже, когда «гении» поняли, что файл находится на подконтрольном им сервере, они наконец удалили его оттуда, но все-равно потребовали получателей, которые успели скачать данные к себе, удалить их.

Принцип «закачать обратно в интернет» и «развидеть» живет и побеждает.

#безопасность #leak

https://vk.com/@dataleakage-utechka-dannyh-o-3700-uchenikah-v-chikago

Techcrunch: Данные пользователей iCloud в Китае теперь доступны принадлежащему государству мобильному оператору

Компания Apple известна своей принципиальной позицией в области защиты пользовательских данных в США и по всему миру. Однако в случае с китайским правительством ей всё же пришлось пойти на компромисс и перенести информацию, которую пользователи из Китая хранят в ICloud, на местные сервера. Теперь китайским властям для получения к ним доступа достаточно обратиться в местный суд, а затем - к государственному провайдеру

"Сама Apple заявила, что она вынуждена совершить этот шаг, чтобы подчиниться китайским властям, но это вряд ли служит утешением. Ирония заключается в том, что ранее правительство США преследовало китайского производителя телекоммуникационного оборудования ZTE из-за подозрительных связей с китайскими властями, а тут одна из крупнейших корпораций Америки доверяет данные пользователей государственной компании в Китае."

https://theidealist.ru/chinacloud/

#techcrunch #власть #технологии #Apple #Китай #приватность #безопасность

https://www.youtube.com/watch?v=wkN1Yqcpj2c

Фил Кулин: «Безопасность DNS. Популярный обзор современной теории и практик» / CryptoInstallFest 5

Конференция CryptoInstallFest 5 → https://cryptofest.ru

Фил Кулин, руководитель хостинга «DiPHOST»: «Безопасность DNS. Популярный обзор современной теории и практик»

Никакого рокетсайнс. Популярный обзор.

Проблемы безопасности DNS. Подделка записей и просмотр запросов/ответов.
Подделка записей. DNSSEC и DNSCurve.
Перехват и просмотр запросов ответов. DNSCrypt, DoT, DoH.

Помочь Пиратской партии: https://pirate-party.ru/donate
Помочь РосКомСвободе: https://roskomsvoboda.org/donate
Центр цифровых прав: https://digitalrights.center
Защищенные VPN: https://vpnlove.me

#CryptoInstallFest #Безопасность #технологии

Motherboard: хакер обнаружил, что может удаленно управлять двигателем автомобиля после взлома приложений GPS-отслеживания

Представьте, что некий злоумышленник может получить доступ к двигателю вашего автомобиля: заводить или даже глушить его, когда авто движется на небольшой скорости. А ведь это уже отнюдь не фантазия, а реальность, с которой столкнулись некоторые пользователи сервисов gps-отслеживания на платформе android. Причём «дыра» оказалась весьма банальной и связанной с использованием паролей по умолчанию. Подробности – в нашем переводе материала Motherboard

Хакер по имени L&M сообщил Motherboard, что взломал более 7000 учетных записей сервиса iTrack и более 20 000 учетных записей сервиса ProTrack, которые используются для мониторинга и управления транспортными средствами с помощью GPS. Хакер смог отследить транспортные средства в нескольких странах мира, включая Южную Африку, Марокко, Индию и Филиппины. В некоторых автомобилях программное обеспечение имеет возможность удаленного отключения двигателей транспортных средств, которые остановлены или движутся со скоростью 12 миль в час или медленнее, в зависимости от производителя устройств. В результате реинжиниринга приложений Android ProTrack и iTrack L&M узнал, что при регистрации всем клиентам предоставляется пароль по умолчанию 123456.

https://theidealist.ru/enginehack/

#Motherboard #автомобили #хакеры #безопасность #взлом #android

​Долгие проводы ЕНВД

Тематические СМИ весь год обсуждали отмену ЕНВД. И вот, несмотря на надежды, его больше нет. Печально, но морально уже все простились, светлая память. Правда, грустно улыбнуться уходящему поезду под названием ЕНВД не получится, проводы подпортят.

Мы – практики, держим руку на пульсе, общаемся с предпринимателями по всей стране и недавно разведка добыла прелюбопытнейшее свежайшее требование. Нам написал владелец одного регионального рынка миллионного города N. Обычный такой средний рыночек с торговыми точками, продающими разные ТНП и продукты с прилавков, каких сотни. Вот он сообщил, что налоговая прислала ему требование предоставить списки всех арендаторов за три последних года (2018-20), а также обозначить сроки аренды и площадь, приложив копии договоров и картинки экспликаций. Хотя бух рынка изрядно напрягся, было ясно, что интерес фискалов не к рынку, а к точкам…

На рынках раньше была воля вольная. Кто не в курсе, все мелкие торговцы почти поголовно были на ЕНВД. Удобно, лимита по выручке нет, налог от оборота не зависит, ККТ нет, есть только метры. И вся страна с этими метрами маркитанила: арендовали 50, а в декларацию писали 5м2. Никаких схем не рисовали, при проверках давали на лапу. Более того, платить со всех метров считалось признаком дебилизма. Даже большие точки на этом экономили, а мелкие и так каждую копейку считали.

Ругаться с ФНС из-за арендаторов рынку не с руки, переехать он не может, а значит, со своей налоговой надо дружить. Может, тогда к нему самому будет меньше вопросов. Поэтому ответят. Скрывать будут чисто нальные договоры, которые сами не показывали. А безнал и кого пробивали по кассе, сдадут всех, слово из истории не выкинуть. Списки будут, и есть мнение, что примерно такие же требования получат рынки всей страны.

Далее начнутся проверки, причём за последние три года. Раз просят метры, значит хотят подтянуть экс-вмененку. Будет проведён анализ каждого арендатора по ИНН, датам договоров аренды, метражу, поднимут декларации. А ведь есть те, кто договоры с рынком заключал, а в налоговую не сдавал вообще ничего, работал втёмную, в надежде, что без ККТ не подтянуть. А если рынок сдаст? Так что скоро будут дергать и этих ребят. Поезд с названием «ЕНВД» вернулся задним ходом аж в 2018 год.

Но сроки камеральных проверок тех лет истекли, и единственное, чем можно таким пригрозить – выездная. С большой степенью вероятности фискалы будут делать с ЕНВДшниками то же самое, что делают со всей страной на ОСН. Вызывать, щемить, тыкать в лицо ответы рынков, требовать уточниться и доплатить. Методика выжимания путём побуждения освоена и дала положительные результаты. Да и наорать на ИП ещё и легче, ибо те отвечают всем своим имуществом. Скорее всего, того эффекта, как с НДС, не будет, но какой-то будет точно, кто с жирком, может, и испугается. Возможно, кого-то показательно раздербанят.

Доначислить будет сложно, это можно сделать только актом по результатам проверки. Камералки прошли, и остались только ВНП. ВНП на точку с морковкой, конечно, не назначат, но подготовиться и быть готовым к угрозам следует. Хотя, если оборот у ИП был не копеечный и точек много, а в регионе полная попа с бюджетом, могут пойти и за малыми суммами. А там до кучи штрафы и пени. ЕНВД – налог местный, идёт в бюджет региона, и местные налоговые заинтересованы в его отжатии. Заодно можно пощемить и за ККТ, а также и за отсутствие персонала, если точек несколько, так как владелец размножиться не мог, и налоговики это понимают. А 4 кв 2020 года можно ещё и прокамералить… В общем, поднимите свои договоры и вспомните былые дни, подумайте, что будете говорить. Тенденция наметилась, эпопея началась.

Кстати, переход на УСН продлили до 1 февраля. Основание – письмо от 14.01.2021 № СД-4-3/119@. Напомним, если есть шанс слететь с патента, сделайте на всякий себе запасную УСН, подстелите соломы, НДС точно не про вас.
#безопасность

План Б
_______
Источник: https://t.iss.one/bi_plan/84

🗝 ИИ-ассистент для написания кода Copilot от OpenAI «слил» закрытые ключи от криптовалютных кошельков.

Один из разработчиков предположил, что инструмент извлек информацию из открытых репозиториев GitHub. Система запомнила общедоступные данные и при правильном запросе вывела «их на поверхность», добавил он.

🗃 По всей видимости, закрытый ключ действительно отображался в общедоступных GitHub-репозиториях. Программисты заявили, что его создали в целях тестирования. Кошелек активен и использовался для отправки и получения реальных токенов.

Некоторым разработчикам также удалось найти закрытые ключи. Они оказались связанными с другими криптокошельками, некоторые из которых содержали небольшую сумму денег.

💬 Бывший научный сотрудник OpenAI предположил, что утечка ключей произошла из-за того, что они хранились в открытом доступе, и потенциально ценные аккаунты уже опустошены.

forklog.com

#OpenAI #безопасность
_______
Источник | #forklogAI

👾 Пользователи Twitter с помощью уязвимости атаковали бота, работающего на языковой модели GPT-3. Автоматизированный аккаунт позволял искать удаленную работу.

Ранее исследовательница данных Райли Гудсайд обнаружила способность запрашивать у GPT-3 «злонамеренные входные данные», которые заставляют модель игнорировать предыдущие направления и вместо этого делать что-то другое. На следующий день эксперт в области ИИ Саймон Уиллисон опубликовал обзор эксплойта в своем блоге.

Спустя четыре дня после обнаружения уязвимости сотни пользователей Twitter перенаправили бота на повторение «возмутительных и нелепых фраз». Разработчикам пришлось отключить аккаунт.

#безопасность #GPT3
_______
Источник | #forklogAI

🔐 PayPal добавил беспарольный метод аутентификации с помощью криптографических ключей для владельцев устройств. Это позволит пользователям логиниться с помощью FaceID или TouchID.

По словам разработчиков стандарта из Альянса FIDO, новый метод верификации устойчив к фишинговым атакам и прочим попыткам взлома, так как хакер не сможет украсть данные для входа в учетную запись.

🍏 Сперва функция появится на устройствах iPhone, iPad и Mac в США. Позже беспарольный вход планируют развернуть в других странах.

#PayPal #безопасность
_______
Источник | #forklogAI