У IdM поставщика Okta недавно вывезли угарную дыру. Особенно для них, как поставщика IdM услуг. Оказалось, что их супер секурный и чудо как надёжный фреймворк даже не интересовался паролем, если юзернейм превышал 52 символа.
В ответ они что-то жидко побулькали про включайте MFA и так далее, но рукожопость пришлось признать.
trust.okta.com
P.S. А как так? С 99% вероятностью ответ лежит на стороне соевых-латте программистов, которые так любят кричать что понимать как работает компьютер, что под капотом у фрейморков, читать документацию на библиотеки и так далее, это удел бородатых задротов. Можно на деньги спорить что тут очередной надмозг не знал что условный bcrypt просто игнорирует поле ввода, если оно превышает установленный размер. А то что умные люди говорят всё предварительно заворачивать в sha256, чтобы избежать таких приколов, так это зачем их слушать. Мы лучше просто зафигачим bcrypt(username || password) и пойдём релиз катить.
_______
Источник | #linkmeup_podcast
#хроникицифровизации
@F_S_C_P
-------
Секретики!
-------
В ответ они что-то жидко побулькали про включайте MFA и так далее, но рукожопость пришлось признать.
trust.okta.com
P.S. А как так? С 99% вероятностью ответ лежит на стороне соевых-латте программистов, которые так любят кричать что понимать как работает компьютер, что под капотом у фрейморков, читать документацию на библиотеки и так далее, это удел бородатых задротов. Можно на деньги спорить что тут очередной надмозг не знал что условный bcrypt просто игнорирует поле ввода, если оно превышает установленный размер. А то что умные люди говорят всё предварительно заворачивать в sha256, чтобы избежать таких приколов, так это зачем их слушать. Мы лучше просто зафигачим bcrypt(username || password) и пойдём релиз катить.
_______
Источник | #linkmeup_podcast
#хроникицифровизации
@F_S_C_P
-------
Секретики!
-------
Telegram
linkmeup
У IdM поставщика Okta недавно вывезли угарную дыру. Особенно для них, как поставщика IdM услуг. Оказалось, что их супер секурный и чудо как надёжный фреймворк даже не интересовался паролем, если юзернейм превышал 52 символа.
В ответ они что-то жидко побулькали…
В ответ они что-то жидко побулькали…
Между 2009 и 2012 годами, в ранней iOS, прямо в фото-галерее, была отдельная кнопка для загрузки видео на ютуб, которая так и называлась "Send to YouTube”, а само видео загружалось в публичный доступ для всего интернета (прайваси в 2009 имадженировали 🤡)
Сами файлы, которые снимали пользователи на свои телефоны назвались
В общем, фича загрузки на ютуб, конечно работала хорошо, поэтому у нас, как у пользователей интернета, теперь есть публичный архив личных видео с 0-30 просмотрами на совершенно разные темы – просто вбиваете IMG_ и случайный номер
Копаться в этом оказалось на удивление залипательным – например, нашел видео с 0 просмотров где американец комментирует как река вышла из берегов – получается, я первый кто посмотрел это видео вообще кроме автора?
https://youtu.be/Lsqmf7ZIX-Q?si=Mm1nmkc3cUmiGDF2
И там много личных каких-то сцен, историй, диалогов – если любите смотреть в прошлое и на жизни незнакомых людей, вы знаете что делать
_______
Источник | #denissexy
#хроникицифровизации
@F_S_C_P
-------
Секретики!
-------
Сами файлы, которые снимали пользователи на свои телефоны назвались
IMG_XXXX, где X это порядковый номер в стиле IMG_0001, IMG_0002 и тп.В общем, фича загрузки на ютуб, конечно работала хорошо, поэтому у нас, как у пользователей интернета, теперь есть публичный архив личных видео с 0-30 просмотрами на совершенно разные темы – просто вбиваете IMG_ и случайный номер
Копаться в этом оказалось на удивление залипательным – например, нашел видео с 0 просмотров где американец комментирует как река вышла из берегов – получается, я первый кто посмотрел это видео вообще кроме автора?
https://youtu.be/Lsqmf7ZIX-Q?si=Mm1nmkc3cUmiGDF2
И там много личных каких-то сцен, историй, диалогов – если любите смотреть в прошлое и на жизни незнакомых людей, вы знаете что делать
_______
Источник | #denissexy
#хроникицифровизации
@F_S_C_P
-------
Секретики!
-------
YouTube
IMG_0004.mp4
➖Британский оператор создал ИИ-бабушку для борьбы с телефонными мошенниками
Компания O2, крупнейший мобильный оператор Великобритании, представила необычное решение для борьбы с телефонными мошенниками - искусственный интеллект по имени Daisy, который имитирует пожилую женщину и ведет долгие, ни к чему не приводящие разговоры со злоумышленниками.
Daisy настолько убедительно играет роль бабушки, что может удерживать мошенников на линии до 40 минут, рассказывая им бесконечные истории о своей семье, увлечении вязанием и сообщая ложные банковские данные. Система работает круглосуточно и без участия человека - она преобразует голос звонящего в текст, генерирует ответы через специально обученную языковую модель и озвучивает их с помощью технологии text-to-speech.
Проект был создан в сотрудничестве с известным YouTube-блогером Джимом Браунингом, специализирующимся на разоблачении мошенников. По данным исследования O2, 71% британцев хотели бы отомстить телефонным аферистам, но не готовы тратить на это свое время.
_______
Источник | #arhbigtech
#хроникицифровизации
@F_S_C_P
Стань спонсором!
Компания O2, крупнейший мобильный оператор Великобритании, представила необычное решение для борьбы с телефонными мошенниками - искусственный интеллект по имени Daisy, который имитирует пожилую женщину и ведет долгие, ни к чему не приводящие разговоры со злоумышленниками.
Daisy настолько убедительно играет роль бабушки, что может удерживать мошенников на линии до 40 минут, рассказывая им бесконечные истории о своей семье, увлечении вязанием и сообщая ложные банковские данные. Система работает круглосуточно и без участия человека - она преобразует голос звонящего в текст, генерирует ответы через специально обученную языковую модель и озвучивает их с помощью технологии text-to-speech.
Проект был создан в сотрудничестве с известным YouTube-блогером Джимом Браунингом, специализирующимся на разоблачении мошенников. По данным исследования O2, 71% британцев хотели бы отомстить телефонным аферистам, но не готовы тратить на это свое время.
_______
Источник | #arhbigtech
#хроникицифровизации
@F_S_C_P
Стань спонсором!
YouTube
AI Scambaiters: O2 creates AI Granny to waste scammers’ time
O2 has created human-like Daisy, an AI ‘Granny’ to answer calls in real time from fraudsters, keeping them on the phone and away from customers for as long as possible.
With Daisy revealing how you’re not always speaking to the person you think you are…
With Daisy revealing how you’re not always speaking to the person you think you are…
Коротко о сложности взлома устройств Apple.
Какой-то парень из Индии купил бабушке AirPods Pro 2 и хотел использовать их как слуховой аппарат, но внезапно выяснил, что на территории страны этот функционал недоступен.
И тут пошли в ход его хакерские навыки: смена IP-адреса не помогала, поэтому парень собрал «клетку Фарадея» и поместил туда iPad с платой ESP32, которая отправляет запросы через сотню SSID-адресов в Калифорнии. А чтобы заглушить Wi-Fi эту установку положили на СВЧ-печь.
В итоге iPad пролежал там 4 часа и только тогда убедился, что находится в США, после чего к нему подключили AirPods Pro 2 и наконец активировали режим слухового аппарата.
_______
Источник | #tg_security
#хроникицифровизации
@F_S_C_P
-------
Секретики!
-------
Какой-то парень из Индии купил бабушке AirPods Pro 2 и хотел использовать их как слуховой аппарат, но внезапно выяснил, что на территории страны этот функционал недоступен.
И тут пошли в ход его хакерские навыки: смена IP-адреса не помогала, поэтому парень собрал «клетку Фарадея» и поместил туда iPad с платой ESP32, которая отправляет запросы через сотню SSID-адресов в Калифорнии. А чтобы заглушить Wi-Fi эту установку положили на СВЧ-печь.
В итоге iPad пролежал там 4 часа и только тогда убедился, что находится в США, после чего к нему подключили AirPods Pro 2 и наконец активировали режим слухового аппарата.
_______
Источник | #tg_security
#хроникицифровизации
@F_S_C_P
-------
Секретики!
-------
Telegram
IT и безопасность
Коротко о сложности взлома устройств Apple.
Какой-то парень из Индии купил бабушке AirPods Pro 2 и хотел использовать их как слуховой аппарат, но внезапно выяснил, что на территории страны этот функционал недоступен.
И тут пошли в ход его хакерские навыки:…
Какой-то парень из Индии купил бабушке AirPods Pro 2 и хотел использовать их как слуховой аппарат, но внезапно выяснил, что на территории страны этот функционал недоступен.
И тут пошли в ход его хакерские навыки:…
Занятная история от Алексея Рогозоина о том, как функция «Люди рядом» в Telegram использовалась в интересах военной разведки.
Используя эмуляцию (аппаратную подмену) GPS, через Telegram можно было получить список людей, находящихся вблизи любой точки нашей планеты, с указанием в метрах приблизительной дистанции до человека.
Далее две точки методом трилатерации образовывали область пересечения, которая, если пользователь не отключил в самом Telegram функцию показа своего местоположения, с высокой точностью определяла местоположение конкретного человека.
Во время нападения ВСУ на Курскую область такой инструмент позволил выявлять компактные скопления военнослужащих в лесных массивах и населённых пунктах.
Почему об этом рассказывают? — Потому что после задержания Дурова во Франии функцию «Люди рядом» отключили и теперь этот инструмент не работает (Совпадение? Не думаю).
https://t.iss.one/rogozin_alexey/2226
_______
Источник | #groks
#хроникицифровизации
@F_S_C_P
▪️Генерируй картинки в боте:
Flux + MidJourney
Используя эмуляцию (аппаратную подмену) GPS, через Telegram можно было получить список людей, находящихся вблизи любой точки нашей планеты, с указанием в метрах приблизительной дистанции до человека.
Далее две точки методом трилатерации образовывали область пересечения, которая, если пользователь не отключил в самом Telegram функцию показа своего местоположения, с высокой точностью определяла местоположение конкретного человека.
Во время нападения ВСУ на Курскую область такой инструмент позволил выявлять компактные скопления военнослужащих в лесных массивах и населённых пунктах.
Почему об этом рассказывают? — Потому что после задержания Дурова во Франии функцию «Люди рядом» отключили и теперь этот инструмент не работает (Совпадение? Не думаю).
https://t.iss.one/rogozin_alexey/2226
_______
Источник | #groks
#хроникицифровизации
@F_S_C_P
▪️Генерируй картинки в боте:
Flux + MidJourney
Telegram
Алексей Рогозин ✈️🚀🏗️
OSINT в деле. Расскажу про конкретный пример сбора конфиденциальных данных военных по открытым источникам. Помните, в сентябре 2024 года создатель Telegram Павел Дуров объявил о масштабном обновлении мессенджера?
Мы удалили функцию "Люди рядом", которой…
Мы удалили функцию "Люди рядом", которой…