Информационная безопасность *

Джефф Безос и наследный принц Саудовской Аравии Мохаммал бин Салман, который был с визитом в США в марте 2018 года. Источник фото: Saudi Press Agency.

Согласно информации издания The Guardian, в 2018 году смартфон исполнительного директора Amazon Джеффа Безоса был взломан с помощью вредоносного видео, отправленного ему по WhatsApp с личного аккаунта наследного принца Саудовской Аравии Мухаммеда ибн Салман Аль Сауда.

Компания Apple отказалась от планов по внедрению сквозного шифрования в резервные копии в iCloud после того, как ФБР высказало опасения, что этот шаг может повредить расследованиям. Об этом сообщает агентство Reuters.

Список баз данных на обнаруженном открытом сервере с СУБД MongoDB, содержащей данные портала uslugi.tatar.ru.

Базы данных с информацией о пользователях сайта uslugi.tatar.ru, включая номера СНИЛС, ИНН, номера телефонов, полные имена, хронологию действий пользователей на сайте госуслуг Республики Татарстан, попали в открытый доступ. Точное число пользователей, которых затронула эта утечка, еще уточняется. Суммарный объем утекших данных составил около 457 ГБ.

Сотрудники ФБР в сотрудничестве с Национальным агентством по борьбе с преступностью в Великобритании (National Crime Agency, NCA), Корпусом национальной полицейской службы Нидерландов (Netherlands National Police Corps), Федеральным ведомством уголовной полиции Германии (Bundeskriminalamt) и полицией Северной Ирландии (Police Service of Northern Ireland) изъяли домен WeLeakInfo.com.

Как отметил Минюст США, меры приняты, поскольку ресурс за деньги давал пользователям доступ к данным, утекшим в Сеть в результате взломов.

_{Фото: amin Ferjani/Flickr}

Неизвестные взломщики опубликовали на хакерском форуме пароли Telnet, которые обеспечивают доступ к более чем 515 000 серверов, домашних маршрутизаторов и «умных» устройств.

Список, который был опубликован, включает также IP-адрес каждого устройства, имя пользователя и пароль для службы Telnet, который можно использовать для управления устройствами через интернет.

На следующий день после того, как Microsoft обнаружила одну из самых серьёзных уязвимостей за всю историю Windows и выпустила исправление для неё, исследователь Салим Рашид опубликовал в твиттере скриншот с рикроллом. На скриншоте видно, что содержимое сайтов GitHub и Агентства национальной безопасности США заменено на клип Never Gonna Give You Up Рика Эстли. Исследователь сделал это, чтобы продемонстрировать атаку с использованием найденной уязвимости.

_{Источник: Лаборатория Касперского}

Специалисты «Лаборатории Касперского» обнаружили новый вид мошенничества. Как сообщает статья в блоге компании, злоумышленники пытаются под предлогом компенсации за утечку информации продавать «временный номер социального страхования гражданина США».

Устройства на Android больше не будут показывать уведомления об успешном обновлении приложений. Если раньше уведомления можно было отключить в настройках самостоятельно, то теперь они будут отключены по умолчанию.

Российские банки рискуют столкнуться с серьёзными проблемами из-за прекращения поддержки операционных систем Windows 7 и Windows Server 2008. На сегодня не все организации перевели свои компьютеры на Windows 10, а работа на старых операционных системах, оставшихся без поддержки производителя, является нарушением и грозит банкам предписаниями от ЦБ.

Минкомсвязи утвердило график проведения в 2020 году «плановых учений по обеспечению устойчивого, безопасного и целостного функционирования на территории России сети «Интернет» и сети связи общего пользования».

В криптографическом компоненте Windows обнаружена «необычайно серьёзная» уязвимость, которая затрагивает все версии системы за последние 20 лет, начиная с Windows NT 4.0. Об этом сообщил портал KrebsOnSecurity со ссылкой на собственные источники.

Как утверждает журналист Брайан Кребс, сегодня Microsoft должна выпустить патч, который закроет уязвимость. Компания, по информации Кребса, заранее уведомила о проблеме некоторых особо важных пользователей, в частности, оборонные предприятия в США и другие государственные организации, попросив их при этом подписать документ о неразглашении информации о сути уязвимости до выхода исправления.

Исследователи из Дании сообщили об уязвимости Cable Haunt. Ей подвержены 200 млн кабельных модемов, которые используют чипы Broadcom. Уязвимость связана с одним из стандартных компонентов чипов анализатором спектра, который призван защищать устройство от скачков сигнала и помех.

Минкомсвязи на днях утвердило требования к операторам связи и интернет-сервисам, которые выполняют функции DNS. Эти сервисы должны не только хранить информацию о пользователях в течение года, но и обеспечивать время отклика на уровне 100 мс.

После анализа законопроекта специалистами Минэкомразвития оказалось, что для реализации этих требований нужно будет потратить десятки миллиардов рублей.

Генеральный прокурор США Уильям Барр объявил о завершении расследования стрельбы, которая произошла в декабре 2019 года на военно-морской базе в городе Пенсакола во Флориде. В своём заключении он обратил внимание на то, что в ходе расследования специалисты ФБР не смогли разблокировать iPhone стрелка, и упрекнул компанию Apple в отказе от сотрудничества.

Законопроект об обязательном сборе биометрических данных в банках с передачей их в единую биометрическую систему отложили на неопределенный срок. Этот документ был принят Госдумой в первом чтении в июле 2019 года.

В 2020 году власти РФ не планируют принимать радикальных решений по вопросу использования биометрии, несмотря на то, что Банк России крайне заинтересован в принятии законопроекта. При подготовке его ко второму чтению у силовых структур и представителей бизнеса появилось много вопросов. В частности, банки, согласно документу, обязаны нести расходы на закупку оборудования.

В США для самых бедных слоев населения распространяются смартфоны UMX U686CL. Их продают, а не раздают бесплатно, но цена крайне низкая и составляет около $35. Это китайские смартфоны, и, как оказалось, один из их программных компонентов — зловред, удалить который просто невозможно.

Смартфоны поставляются по государственной программе Assurance Wireless, в ней принимают участие Virgin Mobile и субсидирует американский правительственный фонд Universal Services Fund. Программа работает уже несколько лет, а смартфон UMX U686CL — самый дешевый из всей линейки.

Комитет Госдумы по государственному строительству и законодательству не одобрил законопроект о блокировке электронной почты за распространение запрещенной информации. Как считают депутаты, инициатива неэффективна.

Законопроект был внесён на рассмотрение Госдумы в октябре. Его авторы во главе с председателем комитета Совета Федерации по конституционному законодательству и госстроительству Андреем Клишасом предлагают распространить требования, которые сейчас предъявляются к мессенджерам, на электронные почтовые сервисы, а также ввести для них общее понятие «организатор сервиса обмена сообщениями». Таким образом, операторам почтовых сервисов придётся в соответствии с требованиями законопроекта в течение суток блокировать пользователя, если он распространяет запрещенную в России информацию.

_{Фото: Doug Belshaw/Flickr}

Mozilla Firefox выпустила патч для устранения уязвимости нулевого дня под названием CVE-2019-17026. Пользователей призвали срочно загрузить обновление, так как о бреши узнали злоумышленники.

Эту рекомендацию поддержало Агентство по кибербезопасности и безопасности инфраструктуры США. Там отметили, что уязвимость позволяет хакерам получить полный контроль над системой жертвы.

Компания Ring, которая принадлежит Amazon, заявила, что ей пришлось уволить часть сотрудников, так как те просматривали видео с камер компании, установленных в домах клиентов.

«Нам известны случаи, обсуждаемые ниже, когда сотрудники нарушали наши правила», — говорится в письме Amazon. Компания заверила, что она делает все для сохранения конфиденциальности информации с домашних камер.

Проект Google по раскрытию уязвимостей Project Zero изменит политику их раскрытия. С этого года информация будет публиковаться только через 90 дней, даже если патч вышел ранее этого срока. Эта мера направлена на повышение качества исправлений, поскольку многие производители ПО стремятся как можно скорее выпустить их, но в итоге такие патчи малоэффективны.

Таким образом, 90-дневный срок позволит разработчикам получить больше времени на распространение исправления и убедиться, что оно эффективно устраняет причину проблемы.