This media is not supported in your browser
VIEW IN TELEGRAM
Google reCAPTCHA раскритиковали за приватность
Это сделал сотрудник компании Victory Medium Зак Эдвардс, который занимается веб-разработкой.
В конце октября прошлого месяца сервис Google reCAPTCHA обновил свой Javascript код, что позволяет ему синхронизировать cookie-файлы пользователей с google.com.
Другие веб-разработчики тоже это заметили, и, оказывается, Google не исключает использование ReCaptcha в рекламных целях.
Однако, по их словам, Google «не заявляет о синхронизации данных пользователей», которая происходит после взаимодействия с reCAPTCHA.
Из-за этого конфиденциальность многих пользователей окажется под угрозой, даже если не брать во внимание тот факт, что установка Cookie без ведома пользователей запрещена законодательством многих стран.
Это сделал сотрудник компании Victory Medium Зак Эдвардс, который занимается веб-разработкой.
В конце октября прошлого месяца сервис Google reCAPTCHA обновил свой Javascript код, что позволяет ему синхронизировать cookie-файлы пользователей с google.com.
Другие веб-разработчики тоже это заметили, и, оказывается, Google не исключает использование ReCaptcha в рекламных целях.
Однако, по их словам, Google «не заявляет о синхронизации данных пользователей», которая происходит после взаимодействия с reCAPTCHA.
Из-за этого конфиденциальность многих пользователей окажется под угрозой, даже если не брать во внимание тот факт, что установка Cookie без ведома пользователей запрещена законодательством многих стран.
Yandex и Mail.ru разрабатывают аналог Zoom для российских школьников
Эти 2 компании при поддержке Ростелекома начали разработку сервиса видеоконференций для детей, учащихся в России.
Министерство цифрового развития предполагает, что уже к 2022 году все школы будут переведены на отечественные сервисы для видеосвязи.
К 2024 году планируется оборудовать системой Wi-Fi все школы, а так же выдать планшеты почти 80% учителям страны.
К слову, даже планшеты к этому времени должны будут работать на российской ОС.
Ни Yandex, ни Mail.ru пока что не дают никаких комментариев по поводу разработки этого сервиса.
Эти 2 компании при поддержке Ростелекома начали разработку сервиса видеоконференций для детей, учащихся в России.
Министерство цифрового развития предполагает, что уже к 2022 году все школы будут переведены на отечественные сервисы для видеосвязи.
К 2024 году планируется оборудовать системой Wi-Fi все школы, а так же выдать планшеты почти 80% учителям страны.
К слову, даже планшеты к этому времени должны будут работать на российской ОС.
Ни Yandex, ни Mail.ru пока что не дают никаких комментариев по поводу разработки этого сервиса.
Хакер обнаружил признаки 5G в последнем обновлении ПО Tesla
В последнем обновлении программного обеспечения хакер с псевдонимом «Green» нашёл «намёки», которые указывают на возможность добавления модема 5G и точки доступа в автомобили.
Об этом хакер сообщает в своём Twitter-аккаунте.
По его словам, ему удалось обнаружить это благодаря новому файлу прошивки в обновлении 2020.44.
До этого автомобили Tesla имели функцию подключения 3G и 4G, однако сейчас даже эта функция считается «премиальным» вариантом.
В последнем обновлении программного обеспечения хакер с псевдонимом «Green» нашёл «намёки», которые указывают на возможность добавления модема 5G и точки доступа в автомобили.
Об этом хакер сообщает в своём Twitter-аккаунте.
По его словам, ему удалось обнаружить это благодаря новому файлу прошивки в обновлении 2020.44.
До этого автомобили Tesla имели функцию подключения 3G и 4G, однако сейчас даже эта функция считается «премиальным» вариантом.
Выборы президента в США прошли без вмешательства хакеров
К счастью, главной проблемой на выборах президента США была лишь слишком большая явка избирателей: в этом году обошлось без кибератак.
Несмотря на это специалисты по кибербезопасности всё ещё начеку: они опасаются, что выборы попытаются прервать в ближайшие дни.
Несколько месяцев назад всё же было принято несколько попыток хакерами из Китая, Ирана и России.
С помощью электронных рассылок они пытались запугнуть некоторых избирателей и подорвать доверие к выборам.
К счастью, главной проблемой на выборах президента США была лишь слишком большая явка избирателей: в этом году обошлось без кибератак.
Несмотря на это специалисты по кибербезопасности всё ещё начеку: они опасаются, что выборы попытаются прервать в ближайшие дни.
Несколько месяцев назад всё же было принято несколько попыток хакерами из Китая, Ирана и России.
С помощью электронных рассылок они пытались запугнуть некоторых избирателей и подорвать доверие к выборам.
Ноутбук Хантера Байдена с секретными данными не была защищена даже паролем
Сын Джо Байдена, кандидата в президенты США, принёс свой ноутбук в один из сервисных центров, но так и не вернулся за ним.
ФБР оперативно забрали устройство, однако по словам специалиста Криса Грини, этот ноутбук содержал:
• Личный номер телефона кандидата в президенты США и его E-mail адрес
• Документы сына кандидата, включая паспорт, водительские права и банковские карты
• Информацию о некоторых правонарушениях Хантера Байдена
• Номера телефонов Билла Клинтона, его жены и почти всех членов кабинета Барака Обамы
В общей сумме ноутбук содержит более 10 ГБ личных данных кандидата в президенты и его сына.
Сын Джо Байдена, кандидата в президенты США, принёс свой ноутбук в один из сервисных центров, но так и не вернулся за ним.
ФБР оперативно забрали устройство, однако по словам специалиста Криса Грини, этот ноутбук содержал:
• Личный номер телефона кандидата в президенты США и его E-mail адрес
• Документы сына кандидата, включая паспорт, водительские права и банковские карты
• Информацию о некоторых правонарушениях Хантера Байдена
• Номера телефонов Билла Клинтона, его жены и почти всех членов кабинета Барака Обамы
В общей сумме ноутбук содержит более 10 ГБ личных данных кандидата в президенты и его сына.
ВКонтакте будут сдавать турецким правоохранительным органам своих местных пользователей
В июле в Турции приняли закон, согласно которому крупные мировые соцсети должны открыть свой офис на территории страны и хранить данные местных пользователей, а также назначить «ответственных лиц» которые, будут отвечать в суде, если пользователи выскажут что-нибудь эдакое.
А вчера Facebook, Instagram, Twitter, Periscope, TikTok и YouTube оштрафовали на 1 млн евро с каждого, за отказ выполнять требования этого закона. Пообещали также ограничить трафик, запретить рекламу и бла бла бла.
Но дело в том, что единственная соцсеть с аудиторией более миллиона человек, выполнившая турецкие требования – наш любимый ВКонтакте Алишера Усманова. Очевидно, Mail.ru Group решили с Турцией не ссориться, а подчиняться и докладывать.
В июле в Турции приняли закон, согласно которому крупные мировые соцсети должны открыть свой офис на территории страны и хранить данные местных пользователей, а также назначить «ответственных лиц» которые, будут отвечать в суде, если пользователи выскажут что-нибудь эдакое.
А вчера Facebook, Instagram, Twitter, Periscope, TikTok и YouTube оштрафовали на 1 млн евро с каждого, за отказ выполнять требования этого закона. Пообещали также ограничить трафик, запретить рекламу и бла бла бла.
Но дело в том, что единственная соцсеть с аудиторией более миллиона человек, выполнившая турецкие требования – наш любимый ВКонтакте Алишера Усманова. Очевидно, Mail.ru Group решили с Турцией не ссориться, а подчиняться и докладывать.
Fortnite вернётся на устройства Apple, но через облачный сервис Nvidia
В августе этого года компания Apple удалила Fortnite из Appstore, однако Nvidia разработала свой облачный сервис GeForce, который позволит играть в эту игру через Safari.
Официального релиза GeForce на iOS пока что нет, как и впрочем каких-либо комментариев от Nvidia по этому поводу.
BBC сообщает, что выход GeForce на iOS будет в середине декабря.
По их словам, пользователи iOS смогут поиграть в Fortnite бесплатно, но не более 1-го часа.
Естественно, что при игре могут возникать небольшие задержки т.к. это, всё-таки, облачный сервис.
В августе этого года компания Apple удалила Fortnite из Appstore, однако Nvidia разработала свой облачный сервис GeForce, который позволит играть в эту игру через Safari.
Официального релиза GeForce на iOS пока что нет, как и впрочем каких-либо комментариев от Nvidia по этому поводу.
BBC сообщает, что выход GeForce на iOS будет в середине декабря.
По их словам, пользователи iOS смогут поиграть в Fortnite бесплатно, но не более 1-го часа.
Естественно, что при игре могут возникать небольшие задержки т.к. это, всё-таки, облачный сервис.
Утекли исходные коды GitHub и GitHub Enterprise
4 ноября этого года пользователь с именем nat (якобы от имени главы GitHub) опубликовал исходный код GitHub и GitHub Enterprise.
Он прикрепил его к репозиторию, где GitHub сохраняет уведомления от правообладателей.
Специалисты GitHub быстро удалили эти изменения в репозитории github/dmca, но они по-прежнему остались на Web.Archive.
Настоящий же Нэт Фридман вскоре рассказал, что всё под контролем и GitHub не взломан.
Дело в том, что 2 месяца назад сотрудники GitHub случайно отправили архив с исходными кодами GitHub некоторым клиентам.
4 ноября этого года пользователь с именем nat (якобы от имени главы GitHub) опубликовал исходный код GitHub и GitHub Enterprise.
Он прикрепил его к репозиторию, где GitHub сохраняет уведомления от правообладателей.
Специалисты GitHub быстро удалили эти изменения в репозитории github/dmca, но они по-прежнему остались на Web.Archive.
Настоящий же Нэт Фридман вскоре рассказал, что всё под контролем и GitHub не взломан.
Дело в том, что 2 месяца назад сотрудники GitHub случайно отправили архив с исходными кодами GitHub некоторым клиентам.
ВКонтакте продал AliExpress слова «халява» и «скидка»
Админы многих групп ВКонтакте заметили, что слова по типу «распродажа», «халява» и «скидки» внезапно стали кликабельными.
Причём это стало происходить не только в публикациях, но и в комментариях пользователей.
Ссылки уводят пользователей в приложение AliExpress в рамках совместного с ВК проекта, чтобы пользователи могли принять участие в различных акциях в честь 11 ноября.
По заявлению нашего любимого ВКонтакте, эти слова не должны превращаться в ссылки на верифицированных и бизнес-страницах.
Админы многих групп ВКонтакте заметили, что слова по типу «распродажа», «халява» и «скидки» внезапно стали кликабельными.
Причём это стало происходить не только в публикациях, но и в комментариях пользователей.
Ссылки уводят пользователей в приложение AliExpress в рамках совместного с ВК проекта, чтобы пользователи могли принять участие в различных акциях в честь 11 ноября.
По заявлению нашего любимого ВКонтакте, эти слова не должны превращаться в ссылки на верифицированных и бизнес-страницах.
На сайте РЖД обнаружили резервную копию слитых данных более чем 700,000 сотрудников
В августе 2019 года произошла утечка данных более чем 700,000 сотрудников Российской Железной Дороги.
Недавно выяснилось, что резервная копия этих данных размером приблизительно 2,4 ГБ хранится прямо на официальном сайте rzd-bonus.ru.
Среди слитых данных были:
• ФИО, даты рождения и фотографии сотрудников
• Их домашние адреса
• Номера СНИЛС
• Номера телефонов и адреса электронной почты
Вероятно, разработчики сайта сочли удобным вшить эти данные прямо в его корень, чтобы снизить вероятность их потери в будущем.
В августе 2019 года произошла утечка данных более чем 700,000 сотрудников Российской Железной Дороги.
Недавно выяснилось, что резервная копия этих данных размером приблизительно 2,4 ГБ хранится прямо на официальном сайте rzd-bonus.ru.
Среди слитых данных были:
• ФИО, даты рождения и фотографии сотрудников
• Их домашние адреса
• Номера СНИЛС
• Номера телефонов и адреса электронной почты
Вероятно, разработчики сайта сочли удобным вшить эти данные прямо в его корень, чтобы снизить вероятность их потери в будущем.
Apple заставит разработчиков сообщать, какие данные собирают их приложения
С 8 декабря этого года разработчики приложений для iOS будут обязаны уведомлять пользователей о том, какие данные они собирают.
Официальный сайт Apple сообщает, что для этих целей в AppStore будут добавлены «ярлыки конфиденциальности».
Благодаря этим ярлыкам перед загрузкой приложений пользователи устройств Apple смогут посмотреть сведения о сборе их данных.
К слову, эти ярлыки не отображаются, если собираемые данные не используются для подбора рекламы, они нерегулярны или пользователь даёт согласие на их сбор в самом приложении.
С 8 декабря этого года разработчики приложений для iOS будут обязаны уведомлять пользователей о том, какие данные они собирают.
Официальный сайт Apple сообщает, что для этих целей в AppStore будут добавлены «ярлыки конфиденциальности».
Благодаря этим ярлыкам перед загрузкой приложений пользователи устройств Apple смогут посмотреть сведения о сборе их данных.
К слову, эти ярлыки не отображаются, если собираемые данные не используются для подбора рекламы, они нерегулярны или пользователь даёт согласие на их сбор в самом приложении.
Китай вывел на орбиту первый спутник 6G
Пока в России только задумываются над внедрением системы 5G, Китай уже запустил свой первый спутник 6G для тестирования.
К сожалению, даже Китай пока не может точно сказать, будет ли это окончательным стандартом 6G.
Известно, что эта технология во много раз превысит скорость уже существующей сети 5G благодаря более высокочастотным волнам.
Кроме этого, выведенный на орбиту спутник оснастили системой мониторинга лесных пожаров и предотвращения бедствий урожая.
Пока в России только задумываются над внедрением системы 5G, Китай уже запустил свой первый спутник 6G для тестирования.
К сожалению, даже Китай пока не может точно сказать, будет ли это окончательным стандартом 6G.
Известно, что эта технология во много раз превысит скорость уже существующей сети 5G благодаря более высокочастотным волнам.
Кроме этого, выведенный на орбиту спутник оснастили системой мониторинга лесных пожаров и предотвращения бедствий урожая.
Forwarded from SecAtor
Вчера в Китае завершились ежегодные соревнования этичных хакеров Tianfu Cup.
В ходе турнира команды исследователей имели три попытки по пять минут, чтобы взломать выбранное устройство или ПО с помощью авторских эксплойтов.
В итоге были взломаны свежая iOS 14 на iPhone 11 Pro, Samsung Galaxy s20, Windows 10 v2004, Ubuntu, Chrome, Safari, FireFox и многое другое.
Информация в отношении всех использованных уязвимостей направлена в адрес разработчиков. Так что нас ждут новые обновления, исправляющие ошибки.
Кстати, первое место заняла команда китайской компании Qihoo 360, одного из ведущих мировых ресерчеров по теме APT, которой принадлежит классификация APT-C-xx хакерских групп.
В ходе турнира команды исследователей имели три попытки по пять минут, чтобы взломать выбранное устройство или ПО с помощью авторских эксплойтов.
В итоге были взломаны свежая iOS 14 на iPhone 11 Pro, Samsung Galaxy s20, Windows 10 v2004, Ubuntu, Chrome, Safari, FireFox и многое другое.
Информация в отношении всех использованных уязвимостей направлена в адрес разработчиков. Так что нас ждут новые обновления, исправляющие ошибки.
Кстати, первое место заняла команда китайской компании Qihoo 360, одного из ведущих мировых ресерчеров по теме APT, которой принадлежит классификация APT-C-xx хакерских групп.
Twitter
TianfuCup
Many mature and hard targets have been pwned on this year’s contest. 11 out of 16 targets cracked with 23 successful demos: Chrome, Safari, FireFox Adobe PDF Reader Docker-CE, VMware EXSi, Qemu, CentOS 8 iPhone 11 Pro+iOS 14, GalaxyS20 Windows 10 2004 TP…
Forwarded from [netstalkers]
Это акции ZOOM, падающие на 17% на фоне новостей об успешных испытаниях Американской вакцины от коронавируса.
Apple запрещает приложения эмулятора терминала на iOS
В начале ноября этого года разработчики приложений эмуляторов терминала iSH и a-Shell на iOS заявили, что компания Apple собирается удалить их приложения из AppStore.
Разработчик первого из приложений (iSH) отметил, что его приложение будет удалено уже сегодня, но недавно стало известно, что Apple ненадолго отложила этот процесс.
Приложение a-Shell тоже может быть удалено, если его создатели в срочном порядке не удалят из программы команды wasm, pip и curl.
Как сообщает Apple, удалять эти приложения планируется из-за того, что с их помощью можно «устанавливать исполняемый код Linux», что противоречит правилам App Store.
В начале ноября этого года разработчики приложений эмуляторов терминала iSH и a-Shell на iOS заявили, что компания Apple собирается удалить их приложения из AppStore.
Разработчик первого из приложений (iSH) отметил, что его приложение будет удалено уже сегодня, но недавно стало известно, что Apple ненадолго отложила этот процесс.
Приложение a-Shell тоже может быть удалено, если его создатели в срочном порядке не удалят из программы команды wasm, pip и curl.
Как сообщает Apple, удалять эти приложения планируется из-за того, что с их помощью можно «устанавливать исполняемый код Linux», что противоречит правилам App Store.
Инженер Microsoft украл подарочные карты на $10 миллионов и получил 9 лет тюрьмы
Владимира Квашука, гражданина Украины и бывшего инженера Microsoft, приговорили к 9 годам лишения свободы.
Его обвинили в краже цифровой валюты, в том числе и подарочных карт у компании Microsoft. Общая сумма его краж составила более $10 млн.
«Заработанные» деньги он потратил, в частности, на дом за $1,6 миллионов и автомобиль Tesla за $160 тысяч.
Остальные средства он разделил по банковским и инвестиционным счетам.
Когда эти преступления были раскрыты, хитрый сотрудник утверждал, что он действовал «в интересах компании».
Помимо тюремного заключения, он должен выплатить компании $8,3 миллиона компенсации.
Владимира Квашука, гражданина Украины и бывшего инженера Microsoft, приговорили к 9 годам лишения свободы.
Его обвинили в краже цифровой валюты, в том числе и подарочных карт у компании Microsoft. Общая сумма его краж составила более $10 млн.
«Заработанные» деньги он потратил, в частности, на дом за $1,6 миллионов и автомобиль Tesla за $160 тысяч.
Остальные средства он разделил по банковским и инвестиционным счетам.
Когда эти преступления были раскрыты, хитрый сотрудник утверждал, что он действовал «в интересах компании».
Помимо тюремного заключения, он должен выплатить компании $8,3 миллиона компенсации.
Сбербанк покупает Rambler Group только ради Okko
Сбербанк собирается увеличить свою долю в Rambler Group до 100% при имеющихся 55%.
Онлайн-кинотеатр Okko — это единственный сервис из Rambler Group, который можно монетизировать, но Александр Мамут не захотел продавать его отдельно.
Сервис Okko, к слову, нужен Сбербанку для того, чтобы выстроить «собственную экосистему».
Что касается суммы сделки, на данный момент о ней ничего не говорится, однако известно, что первый транш (выплата сразу после сделки) будет равен 3 млрд рублям.
Сам же Александр Мамут с самого начала покупал Окко для того, чтобы повысить ценность самого Рамблера т.к. продать его без Okko вряд ли бы получилось.
Сбербанк собирается увеличить свою долю в Rambler Group до 100% при имеющихся 55%.
Онлайн-кинотеатр Okko — это единственный сервис из Rambler Group, который можно монетизировать, но Александр Мамут не захотел продавать его отдельно.
Сервис Okko, к слову, нужен Сбербанку для того, чтобы выстроить «собственную экосистему».
Что касается суммы сделки, на данный момент о ней ничего не говорится, однако известно, что первый транш (выплата сразу после сделки) будет равен 3 млрд рублям.
Сам же Александр Мамут с самого начала покупал Окко для того, чтобы повысить ценность самого Рамблера т.к. продать его без Okko вряд ли бы получилось.
Chrome планирует блокировать JavaScript-редирект по кликам на ссылке
Разработчики Chrome добавят новую функцию для безопасности во время того, как пользователь переходит по ссылке в новую вкладку или окно.
Она сделана для того, чтобы блокировать JavaScript.
Это позволит избежать переход пользователей на фишинговые или вредоносные сайты во время перехода по ссылкам, ведущим на новую вкладку или окно.
Теперь, при переходе по таким ссылкам, JavaScript не будет использоваться благодаря новому атрибуту "
К слову, в Safari такая функция появилась ещё 2 года назад.
Разработчики Chrome добавят новую функцию для безопасности во время того, как пользователь переходит по ссылке в новую вкладку или окно.
Она сделана для того, чтобы блокировать JavaScript.
Это позволит избежать переход пользователей на фишинговые или вредоносные сайты во время перехода по ссылкам, ведущим на новую вкладку или окно.
Теперь, при переходе по таким ссылкам, JavaScript не будет использоваться благодаря новому атрибуту "
rel=«noopener»".К слову, в Safari такая функция появилась ещё 2 года назад.
Вчера операторы, стоящие за Ragnar Locker, взломали аккаунт рекламодателя Facebook и создали рекламные объявления, рекламирующие их успешную атаку на Campari Group.
На прошлой неделе итальянская ликеро-водочная компания Campari Group подверглась атаке программы-вымогателя Ragnar Locker, в ходе которой злоумышленники утверждали, что украли 2 ТБ незашифрованных файлов перед тем, как зашифровать сеть целиком. Чтобы восстановить свои файлы, хакеры потребовали выкуп в размере 15 миллионов долларов.
Как сообщил Брайан Кребс, банда Ragnar Locker запустила рекламу в Facebook, предупреждающую Campari о том, что их данные будут опубликованы, если они не заплатят выкуп.
Крис Ходсон, владелец взломанной учетной записи Facebook, сказал Брайану Кребсу, что рекламу увидели более 7000 пользователей Facebook, прежде чем Facebook обнаружил в ней что-то неладное.
На прошлой неделе итальянская ликеро-водочная компания Campari Group подверглась атаке программы-вымогателя Ragnar Locker, в ходе которой злоумышленники утверждали, что украли 2 ТБ незашифрованных файлов перед тем, как зашифровать сеть целиком. Чтобы восстановить свои файлы, хакеры потребовали выкуп в размере 15 миллионов долларов.
Как сообщил Брайан Кребс, банда Ragnar Locker запустила рекламу в Facebook, предупреждающую Campari о том, что их данные будут опубликованы, если они не заплатят выкуп.
Крис Ходсон, владелец взломанной учетной записи Facebook, сказал Брайану Кребсу, что рекламу увидели более 7000 пользователей Facebook, прежде чем Facebook обнаружил в ней что-то неладное.
Zoom обвиняют в ложном заявлении про сквозное шифрование
Федеральная торговая комиссия США обвиняет Zoom в том, что он даёт ложные обещания касательно сквозного шифрования.
В отличие от заявления Zoom об использовании двойного шифрования, оказывается, что в этом сервисе используется технология TLS.
Помимо этого, сервис хранил незашифрованные записи видеоконференций в облаке, заявляя, что все они зашифрованы.
Сейчас же комиссия требует, чтобы Zoom перестал вводить пользователей в заблуждение и внедрил новые системы безопасности.
Федеральная торговая комиссия США обвиняет Zoom в том, что он даёт ложные обещания касательно сквозного шифрования.
В отличие от заявления Zoom об использовании двойного шифрования, оказывается, что в этом сервисе используется технология TLS.
Помимо этого, сервис хранил незашифрованные записи видеоконференций в облаке, заявляя, что все они зашифрованы.
Сейчас же комиссия требует, чтобы Zoom перестал вводить пользователей в заблуждение и внедрил новые системы безопасности.