Пользователь Reddit обнаружил 7 VNC-соединений без пароля, которые позволяют контролировать, включать и выключать нефтяные насосы. Там он перечислил компании, к которым можно получить доступ через VNC. Адреса нашёл на Шодане.
Один из участников сабредита посоветовал парню отправить отчёт об уязвимости в компанию DHS, так как у компаний нет стимула делать что-то с этими дырами, если их не заставит регулятор.
На фоне недавней атаки на операторов топливопровода от DarkSide эта история резонирует особенно сильно. В результате взлома был остановлен крупнейший бензопровод в США.
https://www.reddit.com/r/hacking/comments/naxgl8/coloninan_pipeline_is_only_the_beginning/
Один из участников сабредита посоветовал парню отправить отчёт об уязвимости в компанию DHS, так как у компаний нет стимула делать что-то с этими дырами, если их не заставит регулятор.
На фоне недавней атаки на операторов топливопровода от DarkSide эта история резонирует особенно сильно. В результате взлома был остановлен крупнейший бензопровод в США.
https://www.reddit.com/r/hacking/comments/naxgl8/coloninan_pipeline_is_only_the_beginning/
Для тех, кто до сих пор не понимает, как хакерские атаки могут быть связаны с офлайном и влиять на комфорт обычных людей(надеемся, таких почти нет) - вот кадры из США, где к заправкам выстраиваются огромные очереди после взлома Colonial Pipeline. Настоящий ад.
Исследователь безопасности Мэти Ванхоф нашел новый способ взлома Wi-Fi устройств. Его назвали FragAttacks(атаки фрагментации и агрегации).
FragAttacks включает в себя несколько уязвимостей. Три из них относятся к реализации Wi-Fi 1997 года. Уязвимости затрагивают все современные протоколы безопасности от WPA-3 до WEP.
На демонстрации уязвимости видно, как Ванхоф включает и выключает IoT-устройства, крадет учётные данные пользователей, пароли и получает доступ к компьютеру с Windows-7 внутри «безопасной» сети.
Атака работает даже с теми устройствами, которые не поддерживают фрагментацию и агрегацию. Microsoft уже выпустила патчи для Windows 10, скоро выпустит и Linux, но многие устройства IoT, маршрутизаторы и MacOS по-прежнему остаются уязвимыми.
Исследователю Ванхову даже удалось заставить устройство на MacOS переключиться на вредоносный DNS-сервер. Пользователи, ничего не подозревая, перенаправлялись на сайт хакера.
https://www.youtube.com/watch?v=88YZ4061tYw
FragAttacks включает в себя несколько уязвимостей. Три из них относятся к реализации Wi-Fi 1997 года. Уязвимости затрагивают все современные протоколы безопасности от WPA-3 до WEP.
На демонстрации уязвимости видно, как Ванхоф включает и выключает IoT-устройства, крадет учётные данные пользователей, пароли и получает доступ к компьютеру с Windows-7 внутри «безопасной» сети.
Атака работает даже с теми устройствами, которые не поддерживают фрагментацию и агрегацию. Microsoft уже выпустила патчи для Windows 10, скоро выпустит и Linux, но многие устройства IoT, маршрутизаторы и MacOS по-прежнему остаются уязвимыми.
Исследователю Ванхову даже удалось заставить устройство на MacOS переключиться на вредоносный DNS-сервер. Пользователи, ничего не подозревая, перенаправлялись на сайт хакера.
https://www.youtube.com/watch?v=88YZ4061tYw
YouTube
FragAttacks: Demonstration of Flaws in WPA2/3
This is not a "hacking" tutorial but a demonstration about academic IT security research. Made by Mathy Vanhoef of New York University and KU Leuven. The tools shown are not public. For more info see 👉 https://www.fragattacks.com
▬ Contents of the presentation…
▬ Contents of the presentation…
⚡️Colonial Pipeline заплатила взломавшим ее хакерам выкуп, чтобы получить доступ к своим данным и восстановить поставки бензина и топлива. Выкуп в криптовалюте составил $5 млн.
Наталья Касперская тут заявила, что к атаке на Colonial Pipeline может быть причастно спецподразделение ЦРУ, маскирующееся под разные виды мировых хакерских групп.
Наталья Ивановна, опять этот ваш негатив. Нам Евгений Валентинович за такое отвесит.
Кстати, группировка Darkside, причастная ко взлому ColonialPipeline закрылась сегодня, сразу после получения выкупа. Сервера изъяты(о стране не говорится). Всем компаниям, которые ещё не заплатили, выдадут ключи дешифрования.
Наталья Ивановна, опять этот ваш негатив. Нам Евгений Валентинович за такое отвесит.
Кстати, группировка Darkside, причастная ко взлому ColonialPipeline закрылась сегодня, сразу после получения выкупа. Сервера изъяты(о стране не говорится). Всем компаниям, которые ещё не заплатили, выдадут ключи дешифрования.
Загрузки приложений Facebook упали на 30%
В мае 2020, согласно анализу компании AppFigures, мобильное приложение FB регистрировало в среднем 15 млн загрузок. Сейчас приложение получает не больше 11 млн загрузок на iOS и Android.
Первое значительное падение случилось в июне 2020, когда Apple анонсировала iOS 14. FB и раньше сталкивался с падением загрузок, но впервые сильный спад произошёл в течении года.
Возможно, это связано с ростом TikTok в 2020 и проблемами конфиденциальности в сервисах Facebook, которые раньше не вызывали такого сильного резонанса.
Ну вот хотя бы история с WhatsApp: FB начал шантажировать пользователей тем, что за отказ принять новую политику конфиденциальности, пользователи будут терять функционал в мессенджера. А за отказ давать разрешение на отслеживание данных, будут платить за Инстаграм.
В мае 2020, согласно анализу компании AppFigures, мобильное приложение FB регистрировало в среднем 15 млн загрузок. Сейчас приложение получает не больше 11 млн загрузок на iOS и Android.
Первое значительное падение случилось в июне 2020, когда Apple анонсировала iOS 14. FB и раньше сталкивался с падением загрузок, но впервые сильный спад произошёл в течении года.
Возможно, это связано с ростом TikTok в 2020 и проблемами конфиденциальности в сервисах Facebook, которые раньше не вызывали такого сильного резонанса.
Ну вот хотя бы история с WhatsApp: FB начал шантажировать пользователей тем, что за отказ принять новую политику конфиденциальности, пользователи будут терять функционал в мессенджера. А за отказ давать разрешение на отслеживание данных, будут платить за Инстаграм.
ААААААА!
BuzzFeed News нашли в Venmo(мобильный платежный сервис PayPal) учетную запись президента США Джо Байдена менее, чем за 10 минут.
Для этого журналистам понадобился только встроенный в приложение инструмент поиска и функция общедоступных друзей. В процессе BF нашли членов семьи Байдена и построили сеть из тех, кто их окружает, своего рода придворные. После того, как BuzzFeed рассказали об этом в Белом доме, все друзья Байдена и сам президент с женой удалили из Venmo свои учетные записи.
Оказывается, что даже если аккаунт настроить на конфиденциальность, список друзей все равно останется открытым. И это не так безобидно, как может показаться. Особенно в случае с первым лицом государства.
https://www.buzzfeednews.com/article/nicolenguyen/venmo-request-spam пользователи Venmo завалены платежными запросами от незнакомцев
https://www.eff.org/press/releases/eff-and-mozilla-venmo-clean-your-privacy-settings статья о том, что Venmo по умолчанию раскрывает конфиденциальные данные
https://www.womenshealthmag.com/life/a30611566/bachelor-winner-peter-weber-venmo/ история о том, как фанаты шоу «Холостяк» в США с помощью Venmo выяснили, кто станет победителем
BuzzFeed News нашли в Venmo(мобильный платежный сервис PayPal) учетную запись президента США Джо Байдена менее, чем за 10 минут.
Для этого журналистам понадобился только встроенный в приложение инструмент поиска и функция общедоступных друзей. В процессе BF нашли членов семьи Байдена и построили сеть из тех, кто их окружает, своего рода придворные. После того, как BuzzFeed рассказали об этом в Белом доме, все друзья Байдена и сам президент с женой удалили из Venmo свои учетные записи.
Оказывается, что даже если аккаунт настроить на конфиденциальность, список друзей все равно останется открытым. И это не так безобидно, как может показаться. Особенно в случае с первым лицом государства.
https://www.buzzfeednews.com/article/nicolenguyen/venmo-request-spam пользователи Venmo завалены платежными запросами от незнакомцев
https://www.eff.org/press/releases/eff-and-mozilla-venmo-clean-your-privacy-settings статья о том, что Venmo по умолчанию раскрывает конфиденциальные данные
https://www.womenshealthmag.com/life/a30611566/bachelor-winner-peter-weber-venmo/ история о том, как фанаты шоу «Холостяк» в США с помощью Venmo выяснили, кто станет победителем
BuzzFeed.News
Venmo Users Are Being Inundated With Payment Requests From Strangers
Spammers are targeting Venmo users who show up in the app’s public feed and flooding them with dozens of payment requests.
Власти легализуют продажу данных россиян
Минцифры отличилось новой инициативой. Там предложили давать разработчикам искусственного интеллекта доступ к госданным. Но не просто так, а за деньги. Стоимость будут определять исходя из сложности и объема данных(по сути, от их ценности).
Вице-премьер Дмитрий Чернышенко, который у нас курирует технологии, говорит, что единая фабрика данных «делает государство уникальным оператором, который имеет в своём распоряжении неограниченное количество дата-сетов и их комбинаций».
Не можем не согласиться с вице-премьером. Такие возможности для тотального контроля не каждый день дарит.
Минцифры отличилось новой инициативой. Там предложили давать разработчикам искусственного интеллекта доступ к госданным. Но не просто так, а за деньги. Стоимость будут определять исходя из сложности и объема данных(по сути, от их ценности).
Вице-премьер Дмитрий Чернышенко, который у нас курирует технологии, говорит, что единая фабрика данных «делает государство уникальным оператором, который имеет в своём распоряжении неограниченное количество дата-сетов и их комбинаций».
Не можем не согласиться с вице-премьером. Такие возможности для тотального контроля не каждый день дарит.
РБК
Минцифры предоставит разработчикам нейросетей платный доступ к госданным
Минцифры предложило предоставить разработчикам искусственного интеллекта платный доступ к госданным. Эксперты считают идею правильной, она повысит качество технологии, но опасаются, что платность
Кто-то заработал себе на достойную пенсию
Ransomware DarkSide получила более $90 млн с 47 жертв. По данным DarkTracer, 99 организаций были заражены вредоносным ПО DarkSide. Примерно 47% жертв заплатили выкуп, а средняя сумма платежа составила $1,9 млн.
DarkSide работают по бизнес-модели программа-вымогатель, как услуга. Вредоносное ПО создаётся разработчиком, а ответственность за заражение компьютерной системы и согласование суммы выкупа с организацией-жертвой ведёт оператор. Выкуп впоследствии делится между разработчиком и партнером. В случае с DarkSide разработчик берет 25% от суммы менее $500 000, а за выкуп более $5 млн до 10%.
В общей сложности разработчик получил $15,5 млн, а оставшиеся $74, 7 млн были переданы аффилированным лицам.
Ransomware DarkSide получила более $90 млн с 47 жертв. По данным DarkTracer, 99 организаций были заражены вредоносным ПО DarkSide. Примерно 47% жертв заплатили выкуп, а средняя сумма платежа составила $1,9 млн.
DarkSide работают по бизнес-модели программа-вымогатель, как услуга. Вредоносное ПО создаётся разработчиком, а ответственность за заражение компьютерной системы и согласование суммы выкупа с организацией-жертвой ведёт оператор. Выкуп впоследствии делится между разработчиком и партнером. В случае с DarkSide разработчик берет 25% от суммы менее $500 000, а за выкуп более $5 млн до 10%.
В общей сложности разработчик получил $15,5 млн, а оставшиеся $74, 7 млн были переданы аффилированным лицам.
Как же хорошо, что у Google есть конкурент в виде Apple. Без этой конкуренции никто из них, возможно, и не думал бы о повышении конфиденциальности.
Стоило Apple в iOS 14 принять меры по усилению приватности, как Google в Android 12 сделал то же самое.(эти новые фишки появятся на Android к осени)
Google в вопросах конфиденциальности добавил три значительных обновления:
1) Google добавили индикаторы работы микрофона и камеры. 2) Android покажет, когда приложения используют буфер на телефоне. 3)появится функция «приблизительной геолокации», чтобы не передавать приложениям точные координаты устройства
Стоило Apple в iOS 14 принять меры по усилению приватности, как Google в Android 12 сделал то же самое.(эти новые фишки появятся на Android к осени)
Google в вопросах конфиденциальности добавил три значительных обновления:
1) Google добавили индикаторы работы микрофона и камеры. 2) Android покажет, когда приложения используют буфер на телефоне. 3)появится функция «приблизительной геолокации», чтобы не передавать приложениям точные координаты устройства
Android Developers Blog
What’s new in Android 12 Beta
Posted by Dave Burke, VP of Engineering Today at Google I/O we unveiled the first Beta of Android 12, one of our most ambitious ...