Новый год не успел наступить, а кое-кто уже обделался и допустил утечку E-Mail’ов. Встречайте — Штаб Ксении Собчак. А от себя, как от избирателя, добавлю: если кандидату и его команде свой E-Mail доверить нельзя, то что говорить о государстве :)

https://tttttt.me/popyachsa/6848

А вот наш подписчик воспользовался случаем и несёт Сайберсекьюрити™ в массы!

Кстати, у нас есть чат, где можно обсудить новости канала и просто пообщаться с умными людьми:
t.me/alexlitreev_chat

Вы ещё не слышали о #MeltDown?

Самая крупная, на мой взгляд, проблема, связанная с кибербезопасностью за последнее время. Вот на TJ довольно неплохо раскидали, что да как. Сам чуть позже тоже напишу.

https://tjournal.ru/64579-faq-po-chipokalipsisu-chto-izvestno-o-masshtabnoy-uyazvimosti-processorov

неиллюзорно ору. 2007 год

⚡️BREAKING

Носители Western Digital My Cloud имеют встроенный бэкдор.

Эксперт по информационной безопасности Джемс Бёрсгей сообщил о найденной им программной закладке в Western Digital в середине 2017-го года. Спустя шесть месяцев, так и не получив внятной реакции от компании, исследователь опубликовал инфорацию о бэкдоре. Суть заключается в сервисе Western Digital My Cloud — можно подключится к любому хранилищу с логином mydlinkBRionyg и паролем abc12345cba. После входа, злоумышленник получает доступ к оболочке и может выполнять с девайсом абсолютно любые действия.

Бэкдор присустсвует в устройствах My Cloud Gen 2, My Cloud EX2, My Cloud EX2 Ultra, My Cloud PR2100, My Cloud PR4100, My Cloud EX4, My Cloud EX2100, My Cloud EX4100, My Cloud DL2100 и My Cloud DL4100.

Всем владельцам данных устройств рекомендовано немедленно отключить свои девайсы от сети.

Источник:
https://www.techspot.com/news/72612-western-digital-cloud-drives-have-built-backdoor.html

Буквально 2 часа назад Apple выпустила обновления безопасности для iOS и macOS, направленные на борьбу с уязвимостью Spectre (CVE-2017-5753 и CVE-2017-5715). Крайне рекомендовано к установке всем пользователям устройств Apple.

От себя дополнительно могу порекомендовать не использовать Safari, а отдать предпочтение более безопасному браузеру, например, Firefox, ибо это далеко не последние 0-day в браузере Apple.

https://support.apple.com/en-us/HT201222

Какую ОС вы используете на домашнем компьютере или личном ноутбуке?
anonymous poll

Windows – 2K
👍👍👍👍👍👍👍 55%

macOS – 942
👍👍👍 22%

Linux – 926
👍👍👍 22%

Другое – 42
▫️ 1%

👥 4258 people voted so far.

Microsoft, кстати, тоже выпустили обновление. Правда, что-то пошло не так: на сайте компании появилось большое количество жалоб пользователей, чьи компьютеры после обновления KB4056892 перестали загружаться (совсем). Проблема касается процессоров AMD Athlon. По словам пользователей, до обновления компьютеры работали безупречно, а после — не показывали ничего, кроме экрана загрузки.

https://support.microsoft.com/en-us/help/4056892/windows-10-update-kb4056892

О потенциальных угрозах на олимпийских играх и чемпионате мира по футболу в 2018-ом году:

https://www.kommersant.ru/doc/3515039

2018-ый год только начался, а уже дырявый весь, как решето (в плане кибербезопасности). Снова Apple! Снова macOS. В версии 10.13.2 можно снова получить доступ к изменению настроек, не вводя настоящий пароль. Достаточно зайти в раздел «App Store» и вместо правильного пароля пользователя ввести произвольную строку. Вуаля!

А вот в бета-версии, кстати, уже поправили — там воспроизвести этот фокус у меня не получилось.


https://www.macrumors.com/2018/01/10/macos-high-sierra-app-store-password-bug/

Участились мошеннические рассылки якобы от имени Telegram о проведении ICO для нового проекта TON. Сообщает @karaulny — https://tttttt.me/karaulny/40129

Вне сомнений, команда Telegram точно не стала бы использовать конструктор сайтов WIX для своего проекта.

Transmission снова под ударом

В популярном торрент-клиенте снова нашли уязвимость, позволяющую исполнять на компьютере жертвы произвольный код. Так считает один из исследователей Google Zero Project.

https://www.securitylab.ru/news/490798.php

В популярном фреймворке Electron (на нем построены Desktop-приложения Slack, Skype и Signal) обнаружена серьезная уязвимость.
Дыра, получившая идентификатор CVE-2018-1000006 позволяет удаленно выполнять произвольный код на скомпрометированных компьютерах под управлением Windows.

https://xakep.ru/2018/01/25/electron-rce

Lenovo исправила уязвимость в приложении сканера отпечатков пальцев.

Дыра заключалась в неизменяемом пароле для обхода экрана аутентификации Windows.

https://www.securitylab.ru/news/491115.php

⚡️ Пользователь «Хабрахабра» рассказал о взломе Рособрнадзора. В его руках оказались данные 14 миллионов выпускников.

https://meduza.io/news/2018/01/29/polzovatel-habrahabra-rasskazal-o-vzlome-sayta-rosobrnadzora-v-ego-rukah-yakoby-okazalis-dannye-14-millionov-vypusknikov

⚡️Приложение Telegram пропало из App Store

UPD: Вернулось.

Секс и Сайберсекьюрити: в умных секс-игрушках бренда Vibratissimo обнаружены серьезные проблемы с безопасностью.

Немецкая компания SEC Consult опубликовала отчёт, в котором описывается ряд уязвимостей в вибраторе, от вышеупомянутого бренда, подключаемом по Bluetooth к смартфону пользователя. Брешь в безопасности позволяет злоумышленникам (внимание) перехватывать управление вибратором через интернет 😏.

Но это ещё не всё! Также была обнаружена уязвимость в механизме хранения данных пользователей подобных игрушек на облачном сервере. Если коротко — он совсем не защищён. Имена, пароли, переписка пользователей игрушек и даже фотографии — все это хранится в открытой базе данных.

Производителя таких секс-игрушек уведомили о данных проблемах ещё в прошлом году, но никакой реакции не последовало.

Отчёт SEC Consult:
https://www.sec-consult.com/en/blog/advisories/multiple-critical-vulnerabilities-in-whole-vibratissimo-smart-sex-toy-product-range/index.html