а вот хорошая коллекция данных о взломе MOVEit.

TL;DR 60 миллионов утекших записей индивидуальных пользователей, на 84% — жертвы в США.

techcrunch.com
_______
Источник | #alexmakus
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot

Большой отчет Microsoft о том, какие проблемы привели к взлому китайскими хакерами большого количества правительственных имейлов. Если я все правильно понял, то вкрации ситуация такая:

внутренняя система Microsoft, которая отвечала за подписывание токенов, упала, а баг в генераторе дампов привел к. тому, что в дамп попал секретный ключ. Вторичная система проверки дампов не смогла определить наличие чувствительных данных в дампе, и перенесла его в корпоративную сеть из изолированной. параллельно китайские хакеры скомпроментировали учетку разработчика Microsoft, и получили доступ к дампу, в котором они и обнаружили ключ для подписывания токенов. Более того, они смогли также проэксплуатировать отдельный баг, чтобы получить возможность подписи корпоративных токенов. Огонь просто огонь.

Жду от конспирологов теории о том, как китайское правительство заставило сотрудников Microsoft допустить такую цепочку багов для того, чтобы получить доступ к данным правительства США.

msrc.microsoft.com
_______
Источник | #alexmakus

———————————

Oh no!

CVE-2023-4863!

WebP!

Google Chrome, Microsoft Edge, Mozilla Firefox, Apple Safari!

chromereleases.googleblog.com
https://www.mozilla.org/en-US/security/advisories/mfsa2023-40/#CVE-2023-4863

и тд.
_______
Источник | #alexmakus
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram

A vulnerability in Cisco Emergency Responder could allow an unauthenticated, remote attacker to log in to an affected device using the root account, which has default, static credentials that cannot be changed or deleted.

lol
sec.cloudapps.cisco.com

________________________
и у Atlassian там все тоже не очень. даже очень не очень — a maximum severity zero-day vulnerability

confluence.atlassian.com

https://jira.atlassian.com/browse/CONFSERVER-92475

___________________________
цитирую читателя:

“ЕЩЁ И КУРЛ ГОСПОДИ github.com”

_______
Источник | #alexmakus
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot

отчет о том, как различные правоохранительные ветки в США (миграционная служба, пограничная служба, Секретная служба) скупают данные о геолоакции, собранные различными приложениями на смартфонах пользователей. Отчет подготовлен офисом генерального инспектора АНБ

www.documentcloud.org

https://www.404media.co/ice-cbp-secret-service-all-broke-law-with-smartphone-location-data/
_______
Источник | #alexmakus
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram

Не новое, но хорошее, и я, кажется, это когда-то пропустил, да и полезное напоминание, что ТГ продолжает раскрывать IP адрес пользователя благодаря настройке использования peer to peer для звонков

n0a.pw

“Сравниваем адреса с нашим публичным адресом и получаем IP адрес удаленного клиента (по пути сравнивая IP на принадлежность к AS Telegram). Бонусом скрипт делает запрос для получения информации об IP адресе, так как не обязательно IP клиента будет принадлежать сотовому оператору. Это может быть и корпоративная сетка тоже.”
_______
Источник | #alexmakus
@F_S_C_P
Генерируй картинки с ⛵️MIDJOURNEY в Telegram

тут какаято история про то, Евросоюз хочет обязать браузеры, доступные в европе, доверять ключам и сертификатам, выбранным европейским правительством. Что позволит им перехватывать трафик, разумеется.

last-chance-for-eidas.org
_______
Источник | #alexmakus
@F_S_C_P
Узнай судьбу картами Таро:
✨Anna Taro bot

Эта история про то, как разработчик смартфона Nothing попытался сделать bridge для iMessage, и какой кластерфак приватности из этого получился

arstechnica.com
_______
Источник | #alexmakus
@F_S_C_P
-------
поддержи канал
-------

766 третьих сторон???
_______
Источник | #alexmakus
@F_S_C_P
-------
поддержи канал
-------