Достойное серебро. Коротко о том, почему анализировать защищённость своих ресурсов надо всем
Forwarded from Представляешь,
Россия заняла 2-е место в мире по количеству утечек данных
Согласно отчёту InfoWatch, в прошлом году в России было зафиксировано 395 случаев утечки данных — это почти в полтора раза больше, чем годом ранее. Тем не менее, этого оказалось маловато, чтобы сместить США с первого места. Там за 2019 год зафиксировано более 1000 утечек.
Оказалось, что чаще всего всего виновны в утечках не хакеры, а рядовые сотрудники. А за слив больше половины всех данных ответственна всего одна компания — ОФД «Дримкас». По их вине в сеть утекло больше 90 млн записей.
Хорошо, что хоть здесь не на первом месте.
Источник: Отчёт InfoWatch
Согласно отчёту InfoWatch, в прошлом году в России было зафиксировано 395 случаев утечки данных — это почти в полтора раза больше, чем годом ранее. Тем не менее, этого оказалось маловато, чтобы сместить США с первого места. Там за 2019 год зафиксировано более 1000 утечек.
Оказалось, что чаще всего всего виновны в утечках не хакеры, а рядовые сотрудники. А за слив больше половины всех данных ответственна всего одна компания — ОФД «Дримкас». По их вине в сеть утекло больше 90 млн записей.
Хорошо, что хоть здесь не на первом месте.
Источник: Отчёт InfoWatch
Это, конечно, не про безопасность (хотя, who knows), но по-моему, абсолютно чудесно. Больше всего это напоминает не "максимальное приближение к оффлайну", а влажную мечту школьников и студентов-выпускников, которые в этом году сдавались онлайн. Смотри, куда хочешь, сиди, хоть с видеосуфлером, все равно все будет в лучшем виде
Forwarded from addmeto
В Microsoft Teams (это их Zoom примерно) добавили крайне забавную фишку. Теперь в групповых звонках можно рассадить всех кроме спикера за виртуальные парты или виртуальный стадион. Выглядит отлично, фон у слушателей отделяется и показывается только сидящая за партой верхняя часть туловища.
В сочетании с отслеживанием и автоматическим исправлением глаз (чтобы казалось что они всегда смотрят в камеру) получается идеальный видеохостинг сильно приближающий впечатления к оффлайну и онлайну :) https://www.axios.com/microsoft-video-chat-eee1ada2-a0fe-4a54-8df1-2c08f2985faa.html
В сочетании с отслеживанием и автоматическим исправлением глаз (чтобы казалось что они всегда смотрят в камеру) получается идеальный видеохостинг сильно приближающий впечатления к оффлайну и онлайну :) https://www.axios.com/microsoft-video-chat-eee1ada2-a0fe-4a54-8df1-2c08f2985faa.html
Axios
Microsoft unveils new features to make video calls less miserable
They include a new "together mode" that puts all participants in a single virtual environment.
Forwarded from SecAtor
Не грози Южному Централу попивая сок у себя в квартале!
Разработчики мессенджера Signal забыли эту великую мудрость, когда начали тролить Telegram, заявляя, что у них, в отличие от детища Дурова, данные пользователей не хранятся. О чем им сразу и напомнили.
Напомнил ни кто иной как Thaddeus Grugq, ранее известный как торговец 0-day эксплойтами.
Grugq указал, что Signal вводит новый функционал своего PIN-кода, который будет позволять переносить мессенджер с устройства на устройство и, в перспективе, позволит отвязать аккаунт от телефонного номера. При этом пользовательские данные, которые раньше просто не хранились, теперь будут находиться на серверах мессенджера.
Пора возвращаться к голубиной почте...
Разработчики мессенджера Signal забыли эту великую мудрость, когда начали тролить Telegram, заявляя, что у них, в отличие от детища Дурова, данные пользователей не хранятся. О чем им сразу и напомнили.
Напомнил ни кто иной как Thaddeus Grugq, ранее известный как торговец 0-day эксплойтами.
Grugq указал, что Signal вводит новый функционал своего PIN-кода, который будет позволять переносить мессенджер с устройства на устройство и, в перспективе, позволит отвязать аккаунт от телефонного номера. При этом пользовательские данные, которые раньше просто не хранились, теперь будут находиться на серверах мессенджера.
Пора возвращаться к голубиной почте...
Twitter
thaddeus e. grugq
Explanation: For years @signalapp has been adding features while retaining the core commitment to a secure communications protocol with a functioning client and no more. Now, Signal will backup your data to their computers, protected by that PIN they’ve been…
Удаленка под контролем
На ночь глядя, Том Хантер познавательный.
Недавно я рассказывал о рекордной DDoS-атаке. Сегодня будет история по-скромнее, однако, интересная.
Пожалуй, ни для кого уже не секрет, что COVID сказывается и на вопросах информационной безопасности. В своём стремлении отправить персонал по домам, но сохранить работоспособность, компании полагаются на технологии удалённого доступа. С одной стороны, это безусловный прогресс. Но с другой...
Компания ESET сообщила, что, начавшие расти с 25 000 в декабре 2019 года атаки на протокол удалённого рабочего стола (RDP) к маю 2020 года доросли до показателя 100 000 в сутки. В основном, злоумышленники пытаются сбрутить слабый пароль у какого-нибудь нерадивого сотрудника, чтобы в дальнейшем запустить шифровальщик в корпоративную сеть жертвы, установить бэкдор или просто украсть/уничтожить данные.
Что рекомендует делать ESET:
— либо отключить выход в Интернет через RDP-подключение, либо минимизировать количество пользователей, имеющих удалённый доступ;
— определить парольной политикой надёжные пароли для учёток, в которые можно зайти по RDP;
— использовать дополнительный уровень аутентификации;
— использовать VPN-туннели;
— на межсетевом экране периметра запретить внешние подключения к локальным машинам через порт 3389 (TCP/UDP) или любой другой порт RDP;
— как можно скорее заменить старое оборудование, к которому может быть получен доступ по RDP.
Вообще, тема удалёнки очень интересна для безопасника. Как минимум, она богата на замечательные истории. Чего только стоит совсем свеженькая публикация про 0-day уязвимость в windows-клиенте zoom.
На ночь глядя, Том Хантер познавательный.
Недавно я рассказывал о рекордной DDoS-атаке. Сегодня будет история по-скромнее, однако, интересная.
Пожалуй, ни для кого уже не секрет, что COVID сказывается и на вопросах информационной безопасности. В своём стремлении отправить персонал по домам, но сохранить работоспособность, компании полагаются на технологии удалённого доступа. С одной стороны, это безусловный прогресс. Но с другой...
Компания ESET сообщила, что, начавшие расти с 25 000 в декабре 2019 года атаки на протокол удалённого рабочего стола (RDP) к маю 2020 года доросли до показателя 100 000 в сутки. В основном, злоумышленники пытаются сбрутить слабый пароль у какого-нибудь нерадивого сотрудника, чтобы в дальнейшем запустить шифровальщик в корпоративную сеть жертвы, установить бэкдор или просто украсть/уничтожить данные.
Что рекомендует делать ESET:
— либо отключить выход в Интернет через RDP-подключение, либо минимизировать количество пользователей, имеющих удалённый доступ;
— определить парольной политикой надёжные пароли для учёток, в которые можно зайти по RDP;
— использовать дополнительный уровень аутентификации;
— использовать VPN-туннели;
— на межсетевом экране периметра запретить внешние подключения к локальным машинам через порт 3389 (TCP/UDP) или любой другой порт RDP;
— как можно скорее заменить старое оборудование, к которому может быть получен доступ по RDP.
Вообще, тема удалёнки очень интересна для безопасника. Как минимум, она богата на замечательные истории. Чего только стоит совсем свеженькая публикация про 0-day уязвимость в windows-клиенте zoom.
WeLiveSecurity
Remote access at risk: Pandemic pulls more cyber‑crooks into the brute‑forcing game | WeLiveSecurity
ESET data shows that after COVID-19 has forced many people to work from home, cybercriminals have ramped up their brute-force attacks against remote access services.
Чем пользуетесь для созвонов на удаленке? (можно выбрать несколько вариантов)
Anonymous Poll
39%
zoom
45%
skype
10%
google meet
3%
hang out
3%
true conf
39%
telegram
0%
facetime
26%
телефон
3%
Одноклассники
10 из 10
Сегодня будет короткая, но, по-своему удивительная, история.
Есть такая большая международная корпорация F5, которая занимается решениями в области балансировки нагрузки на сетевые ресурсы, ускорением сайтов, безопасностью веб-приложений и, в частности, защитой от DDoS-атак.
Одним из продуктов компании является программно-аппаратный комплекс BIG-IP, включающий в себя большое количество модулей с самым разнообразным функционалом (балансировка нагрузки, межсетевые экраны, хэширование трафика и т.д.).
Разработки компании F5 настолько надёжны, что из первых 50 самых уважаемых компаний мира (по версии журнала Fortune) 48 пользуются решениями F5.
Надо ли говорить, что обнаруженная специалистами из Positive Technologies уязвимость навела шухеру в профессиональной среде. Был найден баг, который предоставляет злоумышленнику возможность получить фактически административный доступ внутри сети вообще не авторизуясь. Учитывая такую ошеломительную "фишку", простоту реализации, наличие готовых шаблонов, которые очень быстро разошлись по сети Интернет, уязвимости был присвоен рейтинг 10 из 10 по шкале CVSSv3.
На данный момент, F5 уже залатали дыру. Рекомендуется срочно обновить обновить версию BIG-IP.
По итогу, могу сказать, что эта история в очередной раз учит нас, что безопасность — это процесс. Нельзя разработать мощное средство защиты и успокоиться, думая, что оно абсолютно надёжно. Даже монстры рынка ИБ могут оказаться обезоружены смекалкой умелого взломщика.
Сегодня будет короткая, но, по-своему удивительная, история.
Есть такая большая международная корпорация F5, которая занимается решениями в области балансировки нагрузки на сетевые ресурсы, ускорением сайтов, безопасностью веб-приложений и, в частности, защитой от DDoS-атак.
Одним из продуктов компании является программно-аппаратный комплекс BIG-IP, включающий в себя большое количество модулей с самым разнообразным функционалом (балансировка нагрузки, межсетевые экраны, хэширование трафика и т.д.).
Разработки компании F5 настолько надёжны, что из первых 50 самых уважаемых компаний мира (по версии журнала Fortune) 48 пользуются решениями F5.
Надо ли говорить, что обнаруженная специалистами из Positive Technologies уязвимость навела шухеру в профессиональной среде. Был найден баг, который предоставляет злоумышленнику возможность получить фактически административный доступ внутри сети вообще не авторизуясь. Учитывая такую ошеломительную "фишку", простоту реализации, наличие готовых шаблонов, которые очень быстро разошлись по сети Интернет, уязвимости был присвоен рейтинг 10 из 10 по шкале CVSSv3.
На данный момент, F5 уже залатали дыру. Рекомендуется срочно обновить обновить версию BIG-IP.
По итогу, могу сказать, что эта история в очередной раз учит нас, что безопасность — это процесс. Нельзя разработать мощное средство защиты и успокоиться, думая, что оно абсолютно надёжно. Даже монстры рынка ИБ могут оказаться обезоружены смекалкой умелого взломщика.
Fortune
Fortune 500 | Fortune
Almost $20 trillion in revenue—and a record-breaking $1.87 trillion in profits. Introducing the 2025 Fortune 500, the definitive list of the biggest companies in America.
Об утечке данных постояльцев MGM сегодня не репостнул только ленивый. Ну и я до сего момента.
Что я могу сказать. Хорошо, что в этом году нам не светит оказаться в очередной слитой базе туристов.
Что я могу сказать. Хорошо, что в этом году нам не светит оказаться в очередной слитой базе туристов.
ZDNet
A hacker is selling details of 142 million MGM hotel guests on the dark web
EXCLUSIVE: The MGM Resorts 2019 data breach is much larger than initially reported.
Поворот не туда.
Помнишь знаменитые сказочные лестницы из Хогвартса, которые перемещались и вели в разные места? Так вот, в мире IT такое существует наяву.
На днях, специалисты Лаборатории Касперского рассказали о способе мошенничества, который во многом схож с технологией тех самых лестниц.
В чём завязка? Cтарые ссылки вдруг могут начать вести на сайты с вредоносным ПО. Причём, такое может случиться, например, с программкой, которая вдруг начинает вместо обновления скачивать малварь. Ссылка в коде программы остаётся прежней, а вот то, что находится за ней, меняется кардинально.
По факту расследования, оказалось, что такие проблемы случаются именно со старыми ссылками. В случае, если доменное имя перестаёт оплачиваться владельцем, оно уходит на один из доменных аукционов, на котором ждёт, что его выкупят. Само доменное имя, при этом, "паркуется" на DNS-серверах аукциона, которые перенаправляют потенциального покупателя на страничку с объявлением о продаже.
Чтобы поднять прибыль, такие аукционы могут использовать дополнительный рекламный модуль, который периодически будет редиректить покупателя на чужой сайт, заплативший за это.
Самая простая причина появления редиректов на вредоносные сайты — это банальная неразборчивость рекламщиков. В самом деле, какая разница, кто платит тебе за редирект. При этом, злоумышленники получают прекрасную возможность долгое время оставаться незамеченными, поскольку перенаправление происходит не при каждом переходе, а только иногда, и может зависеть от определённых характеристик "жертвы" — геолокации, модели девайса и т.д.
Согласись, идея проста и, при этом, весьма опасна. Ведь даже просто набрав в строке навигации браузера адрес по памяти, ты можешь оказаться совсем не там, где хотел.
В качестве резюме скажу только одно. Информационная безопасность — это не прихоть. Это необходимость. Ты же не будешь покупать гнилую картошку вместо свежей только потому, что не являешься специалистом по картошке? Здесь работает ровно такой же принцип. Смотри, что тебе пытаются продать.
Помнишь знаменитые сказочные лестницы из Хогвартса, которые перемещались и вели в разные места? Так вот, в мире IT такое существует наяву.
На днях, специалисты Лаборатории Касперского рассказали о способе мошенничества, который во многом схож с технологией тех самых лестниц.
В чём завязка? Cтарые ссылки вдруг могут начать вести на сайты с вредоносным ПО. Причём, такое может случиться, например, с программкой, которая вдруг начинает вместо обновления скачивать малварь. Ссылка в коде программы остаётся прежней, а вот то, что находится за ней, меняется кардинально.
По факту расследования, оказалось, что такие проблемы случаются именно со старыми ссылками. В случае, если доменное имя перестаёт оплачиваться владельцем, оно уходит на один из доменных аукционов, на котором ждёт, что его выкупят. Само доменное имя, при этом, "паркуется" на DNS-серверах аукциона, которые перенаправляют потенциального покупателя на страничку с объявлением о продаже.
Чтобы поднять прибыль, такие аукционы могут использовать дополнительный рекламный модуль, который периодически будет редиректить покупателя на чужой сайт, заплативший за это.
Самая простая причина появления редиректов на вредоносные сайты — это банальная неразборчивость рекламщиков. В самом деле, какая разница, кто платит тебе за редирект. При этом, злоумышленники получают прекрасную возможность долгое время оставаться незамеченными, поскольку перенаправление происходит не при каждом переходе, а только иногда, и может зависеть от определённых характеристик "жертвы" — геолокации, модели девайса и т.д.
Согласись, идея проста и, при этом, весьма опасна. Ведь даже просто набрав в строке навигации браузера адрес по памяти, ты можешь оказаться совсем не там, где хотел.
В качестве резюме скажу только одно. Информационная безопасность — это не прихоть. Это необходимость. Ты же не будешь покупать гнилую картошку вместо свежей только потому, что не являешься специалистом по картошке? Здесь работает ровно такой же принцип. Смотри, что тебе пытаются продать.
securelist.ru
Аукцион редиректов
Мы уже обращали внимание на ссылки под старыми роликами на YouTube или в статьях “Википедии”, которые в какой-то момент становились вредоносными и начинали вести на страницы партнерских программ, фишинговые сайты или даже на вредоносное ПО. Складывалось впечатление…
Forwarded from Хакер — Xakep.RU
Самая масштабная атака в истории Twitter: взломаны аккаунты звезд, компаний и криптовалютных бирж
Минувшая ночь была трудной для компании Twitter: массовой компрометации подверглось множество аккаунтов публичных людей, компаний, криптовалютных бирж и так далее. Среди пострадавших числятся Билл Гейст, Илон Маск, Джефф Безос, Барак Обама, CoinDesk, Binance, Apple. Неизвестные злоумышленники устроили фальшивую раздачу биткоинов от лица взломанных учетных записей и «заработали» около 120 000 долларов.
https://xakep.ru/2020/07/16/twitter-hacked/
Минувшая ночь была трудной для компании Twitter: массовой компрометации подверглось множество аккаунтов публичных людей, компаний, криптовалютных бирж и так далее. Среди пострадавших числятся Билл Гейст, Илон Маск, Джефф Безос, Барак Обама, CoinDesk, Binance, Apple. Неизвестные злоумышленники устроили фальшивую раздачу биткоинов от лица взломанных учетных записей и «заработали» около 120 000 долларов.
https://xakep.ru/2020/07/16/twitter-hacked/
Пока в твиттере смешались отечественные митушники и поломанные селебрити с биткойнами, наша команда подготовила большой дайджест про фишинг учетных данных Windows.
Read. Enjoy. Use (только в пентесте, разумеется).
https://habr.com/ru/company/tomhunter/blog/511286/
Read. Enjoy. Use (только в пентесте, разумеется).
https://habr.com/ru/company/tomhunter/blog/511286/
Хабр
Фишинг учетных данных Windows
В первом квартале 2020 года число фишинговых атак на пользователей по всему миру выросло вдвое по сравнению с аналогичным периодом 2019 года — с 9% до 18%. Так...
Сидельцы дома
Хотя повсеместно снимаются ограничения от вроде бы отступившей пандемии, если ты, конечно, не чувствуешь себя на 65+ лет, отголоски ковидных времен все еще достаточно осязаемые. Я обещал, что буду периодически рассказывать новости о самоизоляции. Вот ещё одна.
В мае этого года Управление "К" при содействии Group-IB задержало мошенника, который воровал деньги при помощи специального приложения для интернет-банкинга.
Приложение было замаскировано под единую точку входа в систему быстрых платежей основных банков России. На деле же, программка отправляла информации по карточкам пользователей своему хозяину. Далее, зная все данные, вплоть до cvv, мошенники выводили средства относительно небольшими суммами. Ты спросишь, а как же код подтверждения по SMS? Здесь у злоумышленников всё было продумано. Фальшивый банковский агрегатор, установленный на телефон жертвы, блокировал смски от банка и отсылал код подтверждения сам-понимаешь-кому.
Создание ложных приложений не единственный источник дохода мошенников в сфере банковского обслуживания. Есть масса примеров того, как злоумышленники создавали собственные онлайн-магазины или фишинговые версии известных компаний. Цель, однако, всегда одинаковая — украсть данные с твоей карточки, а затем втихаря списать оттуда деньги.
За время эпидемии количество таких атак выросло в десятки раз (до 400-600 за месяц). Сюда, конечно, относятся и уязвимости в протоколах электронных платежей, но главная причина такого бешенного роста состоит в том, что "спрос рождает предложение". Ушедшие на самоизоляцию люди, стали гораздо больше пользоваться онлайн-сервисами оплаты и, как следствие, гораздо чаще попадаться на удочку злоумышленников.
Кстати, подробнее почитать про мошенничество в системе дистанционного банковского обслуживания можно в материале от Group-IB. Я не жадничаю на ссылки на блоги других компаний, потому что считаю распространение полезной информации гораздо важнее коммерческих условностей. Все равно же вы это прочитаете, если будете интересоваться. Так почему бы не узнать последние новости от меня?
Хотя повсеместно снимаются ограничения от вроде бы отступившей пандемии, если ты, конечно, не чувствуешь себя на 65+ лет, отголоски ковидных времен все еще достаточно осязаемые. Я обещал, что буду периодически рассказывать новости о самоизоляции. Вот ещё одна.
В мае этого года Управление "К" при содействии Group-IB задержало мошенника, который воровал деньги при помощи специального приложения для интернет-банкинга.
Приложение было замаскировано под единую точку входа в систему быстрых платежей основных банков России. На деле же, программка отправляла информации по карточкам пользователей своему хозяину. Далее, зная все данные, вплоть до cvv, мошенники выводили средства относительно небольшими суммами. Ты спросишь, а как же код подтверждения по SMS? Здесь у злоумышленников всё было продумано. Фальшивый банковский агрегатор, установленный на телефон жертвы, блокировал смски от банка и отсылал код подтверждения сам-понимаешь-кому.
Создание ложных приложений не единственный источник дохода мошенников в сфере банковского обслуживания. Есть масса примеров того, как злоумышленники создавали собственные онлайн-магазины или фишинговые версии известных компаний. Цель, однако, всегда одинаковая — украсть данные с твоей карточки, а затем втихаря списать оттуда деньги.
За время эпидемии количество таких атак выросло в десятки раз (до 400-600 за месяц). Сюда, конечно, относятся и уязвимости в протоколах электронных платежей, но главная причина такого бешенного роста состоит в том, что "спрос рождает предложение". Ушедшие на самоизоляцию люди, стали гораздо больше пользоваться онлайн-сервисами оплаты и, как следствие, гораздо чаще попадаться на удочку злоумышленников.
Кстати, подробнее почитать про мошенничество в системе дистанционного банковского обслуживания можно в материале от Group-IB. Я не жадничаю на ссылки на блоги других компаний, потому что считаю распространение полезной информации гораздо важнее коммерческих условностей. Все равно же вы это прочитаете, если будете интересоваться. Так почему бы не узнать последние новости от меня?
Хабр
Схемы хищений в системах ДБО и пять уровней противодействия им
В мае этого года Управлением «К» МВД России при содействии компании Group-IB был задержан 32-летний житель Волгоградской области, обвиняемый в хищениях денежных средств у клиентов российских банков...
Заходите, гости дорогие.
Сегодня я думал над тем, что бы тебе рассказать такого, чтобы не очень сильно заморачиваться. Воскресным летним днём не очень хочется зацикливаться на чём-то сложном. А потом увидел, что не только я в один прекрасный момент решил не париться.
Как известно, кибервойна — это тоже война. И, кроме выведенных из строя электростанций и взломанных аккаунтов известных политиков, там происходят и довольно курьёзные вещи.
Например, на днях стало известно, что исследователи из IBM X-Force Incident Response Intelligence Services, ковыряясь на облачном сервере иранской группировки ITG18, обнаружили практически в открытом доступе архив информации примерно в 40 Гб.
Разбор архива показал, что там хранились видеоуроки по взлому учётных записей на различных платформах, сами скомпрометированные учётные записи и инструкции по централизованному управлению хакнутыми почтовыми ящиками.
В ходе исследования, нашлись и взломанные аккаунты представителей вооружённых сил США и Греции, а их владельцы были оповещены о том, что их успешно прослушивают.
Причиной доступности этой хакерской информации стала неправильная конфигурация сервера, в результате которой закрытые обучающие уроки оказались незащищены. Т.е. вы понимаете, насколько лень было этой группировке защитить свое нечестно нажитое добро?
У этой истории не будет морали. Это просто очень забавно.
Сегодня я думал над тем, что бы тебе рассказать такого, чтобы не очень сильно заморачиваться. Воскресным летним днём не очень хочется зацикливаться на чём-то сложном. А потом увидел, что не только я в один прекрасный момент решил не париться.
Как известно, кибервойна — это тоже война. И, кроме выведенных из строя электростанций и взломанных аккаунтов известных политиков, там происходят и довольно курьёзные вещи.
Например, на днях стало известно, что исследователи из IBM X-Force Incident Response Intelligence Services, ковыряясь на облачном сервере иранской группировки ITG18, обнаружили практически в открытом доступе архив информации примерно в 40 Гб.
Разбор архива показал, что там хранились видеоуроки по взлому учётных записей на различных платформах, сами скомпрометированные учётные записи и инструкции по централизованному управлению хакнутыми почтовыми ящиками.
В ходе исследования, нашлись и взломанные аккаунты представителей вооружённых сил США и Греции, а их владельцы были оповещены о том, что их успешно прослушивают.
Причиной доступности этой хакерской информации стала неправильная конфигурация сервера, в результате которой закрытые обучающие уроки оказались незащищены. Т.е. вы понимаете, насколько лень было этой группировке защитить свое нечестно нажитое добро?
У этой истории не будет морали. Это просто очень забавно.
Forwarded from Раньше всех. Ну почти.
Данные 20 млн пользователей VPN-сервисов оказались в открытом доступе
Исследовательская команда vpnMentor обнаружила в открытом доступе данные более 20 млн пользователей приложений UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN, сообщает «Коммерсант».
Исследовательская команда vpnMentor обнаружила в открытом доступе данные более 20 млн пользователей приложений UFO VPN, Fast VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN, сообщает «Коммерсант».
Буквально новость-огонь про то, как беспроводная зарядка гробит гаджеты не из-за технологического недосмотра, а исключительно в корыстных целях.
TechRadar
This dangerous quick-charge vulnerability could burn your phone
Tencent Security finds many fast-charging devices had safety issues which could damage smartphones or laptops.
Будущее наступило
Мы с тобой много раз натыкались на истории про утечку данных. Доступной оказывалась информация по банковским картам, паролям, видеоурокам по взлому чужих почтовых ящиков.
Но будущее давно уже пришло в нашу жизнь. И сегодня меня взбодрила новость про несанкционированный доступ к базе ДНК.
Но, давай по порядку. Потому что тут речь даже не о биометрии и не украденных анализах твоей двоюродной бабушки (страшно представить, зачем они могут потребоваться злодеям). ДНК, Карл. Т. е. на свете могут появиться совсем незнакомые люди, которые тебя ну очень хорошо знают. Круто, да? (нет)
Как оказалось, на просторах Интернета существуют ресурсы, позволяющие искать родственников по данным ДНК. Загружаешь отчёт по своим генам и ждёшь, кого тебе найдут. Алгоритм ДНК-анализа позволяет искать уже даже троюродных родственников.
Эта технология, как оказалось, настолько эффективна, что если хотя бы 2% жителей страны или, скажем, планеты внесут в базу данных свои ДНК, то почти все они смогут найти хотя бы одного родственника.
Не трудно догадаться, что такой базой заинтересовалась полиция. В 2018 году база данных GEDmatch была использована для поимки серийного убийцы. В базе, конечно, нашли не его самого, а одного из родственников. Но круг поисков существенно сузился и виновный был наказан.
Однако, пользователям GEDmatch не очень понравилась идея поиска преступников среди их родственников. Поэтому, сервис ввёл дополнительную возможность отключать доступность профиля пользователя для ведения расследований.
Однако, на днях опция на сайте была отключена и данные всех пользователей стали снова доступны полиции. Что послужило причиной отключения, техническая ошибка или успешная атака на ресурс, пока неизвестно. Ведётся расследование, на время которого сервис GEDmatch отключен.
Эта история поднимает очень важные этические вопросы. Имеют ли право правоохранительные органы, в целях поимки преступников, использовать данные людей, которые сознательно эти данные закрыли? И правильно ли поступают пользователи, препятствуя расследованию? Несмотря на кажущуюся очевидность ответов, в данном случае, пострадавшими считаются пользователи, отказавшиеся предоставлять доступ к своим ДНК.
Мы с тобой много раз натыкались на истории про утечку данных. Доступной оказывалась информация по банковским картам, паролям, видеоурокам по взлому чужих почтовых ящиков.
Но будущее давно уже пришло в нашу жизнь. И сегодня меня взбодрила новость про несанкционированный доступ к базе ДНК.
Но, давай по порядку. Потому что тут речь даже не о биометрии и не украденных анализах твоей двоюродной бабушки (страшно представить, зачем они могут потребоваться злодеям). ДНК, Карл. Т. е. на свете могут появиться совсем незнакомые люди, которые тебя ну очень хорошо знают. Круто, да? (нет)
Как оказалось, на просторах Интернета существуют ресурсы, позволяющие искать родственников по данным ДНК. Загружаешь отчёт по своим генам и ждёшь, кого тебе найдут. Алгоритм ДНК-анализа позволяет искать уже даже троюродных родственников.
Эта технология, как оказалось, настолько эффективна, что если хотя бы 2% жителей страны или, скажем, планеты внесут в базу данных свои ДНК, то почти все они смогут найти хотя бы одного родственника.
Не трудно догадаться, что такой базой заинтересовалась полиция. В 2018 году база данных GEDmatch была использована для поимки серийного убийцы. В базе, конечно, нашли не его самого, а одного из родственников. Но круг поисков существенно сузился и виновный был наказан.
Однако, пользователям GEDmatch не очень понравилась идея поиска преступников среди их родственников. Поэтому, сервис ввёл дополнительную возможность отключать доступность профиля пользователя для ведения расследований.
Однако, на днях опция на сайте была отключена и данные всех пользователей стали снова доступны полиции. Что послужило причиной отключения, техническая ошибка или успешная атака на ресурс, пока неизвестно. Ведётся расследование, на время которого сервис GEDmatch отключен.
Эта история поднимает очень важные этические вопросы. Имеют ли право правоохранительные органы, в целях поимки преступников, использовать данные людей, которые сознательно эти данные закрыли? И правильно ли поступают пользователи, препятствуя расследованию? Несмотря на кажущуюся очевидность ответов, в данном случае, пострадавшими считаются пользователи, отказавшиеся предоставлять доступ к своим ДНК.
Хабр
Как генеалогические сайты облегчают поимку убийц
Чем больше людей закачивают свою ДНК на веб-сайты с родословными, тем легче становится находить преступников За последние шесть месяцев небольшой открытый сайт...
За открытое хранение данных ДНК в сети?
Anonymous Poll
27%
Нет
27%
Нет, конечно
5%
Конечно, нет
41%
Ищу троюродного дядю-миллионера