Обложка канала

Информация опасносте. Страница 11

18724 @alexmakus
Открыть

Чаще про infosex (зачеркнуто) про infosec

  • Информация опасносте

    Да что ж ты будешь делать, T-mobile взломали. опять. Пишут, что ничего ужасного не украли, что бы не было украдено до сих пор — имя, имейл, адрес, дату рождения, и тд www.t-mobile.com/news/bu…ormation
    T-Mobile Informing Impacted Customers about Unauthorized Activity - T-Mobile Newsroom

    January 19, 2023 – (Bellevue, Wash.) – We are currently in the process of informing impacted customers that after a thorough investigation we have

    T-Mobile Newsroom

  • Информация опасносте

    PayPal рассылает некоторым пользователям уведомление о несанционированном доступе к их учетным записям. Похоже, что речь идет о массированной атаке ботами с использованием ранее утекших пар логинов-паролей. Ситуация затрагивает около 35 тысяч пользователей, которые так и не настроили себе 2FA www.bleepingcomputer.com/news/se…g-attack https://www.documentcloud.org/documents/23578067-paypal-notice?responsive=1&title=1
    PayPal accounts breached in large-scale credential stuffing attack

    PayPal is sending out notices of a data breach to thousands of users who had their accounts accessed by credential stuffing actors, resulting in the compromise of some personal data.

    BleepingComputer

  • Информация опасносте

    Никогда такого не было, и вот опять! Не поверите, но та же фигня - я даже проверил, не глючу ли я с этой новостью, настолько она идентична techcrunch.com/2023/01…p-hacked
    Mailchimp says it was hacked — again

    Email marketing and newsletter giant Mailchimp says it was hacked and that dozens of customers’ data was exposed. It’s the second time the company was hacked in the past six months. Worse, this breach appears to be almost identical to a previous incident.

    TechCrunch

  • Реклама

  • Информация опасносте

    я в свое время писал про утечку из Equifax — одного из крупных кредитных бюро в США (можно поиском найти набор постов). Вот так выглядит выплата за утечку, по сути, ВСЕЙ персональной инфоромации человека, включая номер социального страхования, который, конечно же, не поменяешь (Доп. поменять можно, но только при определенных условиях, и просто утечка номера таким условием не является). комбинация этой информации позволяет получать кредиты, например. стоимость этих данных в результате судебного иска составила меньше 9 долларов. хотя, конечно, раскаленная кочерга для виновных и ответственных подошла бы луче.

  • Информация опасносте

    Gen Digital — компания, которая владеет Norton LifeLock — объявила, что тысячи учетных записей клиентов сервиса были взломаны и злоумышленники получили доступ к менеджера паролей польователей. Утверждается, что аккаунты были взломаны методом подбора пар данных авторизации, и призвала пользователей применять 2FA. Речь идет о примерно 6,5 тыс пользоваталей. Утверждается, что злоумышленники получили доступ к информации с именем-номером телефона-адресом пользователей, но не исключается, что также и доступ к менеджерам паролей. This is fine.jpg techcrunch.com/2023/01…ger-data
    Norton LifeLock says thousands of customer accounts breached

    Thousands of Norton LifeLock customers had their accounts compromised in recent weeks, potentially allowing criminal hackers access to customer password managers, the company revealed in a recent data breach notice.

    TechCrunch

  • Информация опасносте

    Ок, FAA сегодня всетаки не взлом, а человеческий фактор

  • Информация опасносте

    В США остановлены все внутренние полеты гражданской авиации в связи к проблемами компьютерных систем Федерального управления гражданской авиации США. Связано ли это со взломом или с чьей-то криворукостью, пока неизвестно АПД для умников с Flight radar. Остановлены вылеты новых рейсов. те, которые уже летят, не могут внезапно остановиться www.cnbc.com/2023/01…age.html

  • Информация опасносте

    все как обычно (я писал об этом сборе данных пару недель назад)

  • Информация опасносте

    Мессенджер Wickr, который не требовал никакой личной информации при регистрации, закрывается для обычных пользователей. Амазон, который владеет сервисом, видимо, не смог пережить тот факт, что сервис активно использовался хакерами, торговцами наркотиками и журналистами. Кроме того, сервис был популярен и среди любителей детской порнографии. wickr.com/our-foc…ications
    Our focus on end-to-end encrypted enterprise communications

    Since AWS acquired Wickr in 2021, we've listened closely to our customers to better understand their requirements for end-to-end encryption.

    AWS Wickr

  • Информация опасносте

    Предположения о том, насколько плохо все со взломом LastPass “Despite having her master password set to an astonishing 19 characters, our source claims to have experienced a wave of successful attacks against her through the sites and services she uses. These have included messing with her home thermostat to change the temperature to a sweltering 87F (About 30C for those who use sensible measurements). As fun a prank as that sounds, our contact also reports the attackers used her Apple ID and ATT credentials to change the PIN on her phone, successfully simjacked her, and added a whole bunch of authorized devices to her LastPass account to bypass MFA.” thecrow.uk/lastpas…rrendous
    The 2022 LastPass data breach is starting to look truly horrendous

    Despite having her LastPass master password set to an astonishing 19 characters, a cybersecurity compliance professional claims to have experienced a wave of successful attacks against her through the sites and services she uses.

    The Crow

  • Информация опасносте

    Смотрю, на статью про биометрию подъехали боты с «а вот у них, а вот там». Раз зарядили их на эту тему, значит, неспроста это

  • Информация опасносте

    The alleged data dump is being sold by a threat actor named 'Ryushi' on the Breached hacking forum, a site commonly used to sell user data stolen in data breaches. The threat actor claimed to have collected the data of 400+ million unique Twitter users using a vulnerability. They warned Elon Musk and Twitter that they should purchase the data before it leads to a large fine under Europe's GDPR privacy law. "Twitter or Elon Musk if you are reading this you are already risking a GDPR fine over 5.4m breach imaging the fine of 400m users breach source," wrote Ryushi in a forum post. www.bleepingcomputer.com/news/se…on-users Кстати, пишут, что катится волна взломов аккаунтов у романтиков долбоебов, которые не настроили 2fa в твиттере, и похоже, что это как раз следствие этой утечки
    Hacker claims to be selling Twitter data of 400 million users

    A threat actor claims to be selling public and private data of 400 million Twitter users scraped in 2021 using a now-fixed API vulnerability. They're asking $200,000 for an exclusive sale.

    BleepingComputer

  • Информация опасносте

    👀 Закон о сборе и хранении биометрии россиян – это ловушка. И вот почему В России в ближайшее время заработает закон о сборе и хранении биометрических данных россиян. В Госдуме его принимали в спешке, со скандалом и только голосами «Единой России». Скоро документ подпишет Путин. Хотя новый закон отчасти повторяет то, что уже написано в других действующих законах, его все равно можно назвать эпохальным. Вся биометрия россиян будет храниться только в государственной базе. Уже сданные образцы голоса и изображений лиц банки (прежде всего, Сбер) обязаны до 30 сентября 2023 года передать государству. Формально власти продвигают сдачу биометрии как возможность для граждан быстрее получать государственные и банковские услуги. Однако главным бенефициаром закона следует признать полицию и спецслужбы. База биометрических данных россиян и стремительное внедрение камер в российских городах дают им фактически неограниченные возможности для слежки. Прежде всего, за теми, кто выступает против власти. Но даже если вы «вне политики», то спешить со сдачей биометрии не нужно. Хотя государство уверяет, что данные будут надежно защищены, опрошенные нами эксперты (например, автор канала «ЗаТелеком» Михаил Климарев) в этом сильно сомневаются. Подробный разбор нового закона в новом выпуске «Пояснительной записки».
    Пояснительная записка № 4. Как будет работать закон о сборе биометрии у россиян и чем он полезен силовикам

    В России вступает в силу закон о регулировании правил сбора, хранения и использования биометрических данных россиян. Формально распространение биометрии продвигается властями как способ облегчить гражданам доступ к государственным и банковским услугам. В реальности главным бенефициаром нового закона будут силовики: государственный оператор по работе с биометрией будет обязан предоставлять им данные любого гражданина.

    Пояснительная записка

  • Информация опасносте

    Jeremi M Gosney :verified: (@[email protected])

    Many of you have been asking for my thoughts on the #LastPass breach, and I apologize that I'm a couple days late delivering. Apart from all of the other commentary out there, here's what you need to know from a #password cracker's perspective! Your vault is encrypted with #AES256 using a key that is derived from your master password, which is hashed using a minimum of 100,100 rounds of PBKDF2-HMAC-SHA256 (can be configured to use more rounds, but most people don't). #PBKDF2 is the minimum acceptable standard in key derivation functions (KDFs); it is compute-hard only and fits entirely within registers, so it is highly amenable to acceleration. However, it is the only #KDF that is FIPS/NIST approved, so it's the best (or only) KDF available to many applications. So while there are LOTS of things wrong with LastPass, key derivation isn't necessarily one of them. Using #Hashcat with the top-of-the-line RTX 4090, you can crack PBKDF2-HMAC-SHA256 with 100,100 rounds at about 88 KH/s. At this speed an attacker…

    Infosec Exchange

  • Информация опасносте

    Ok, LastPass опять с апдейтом о взломе. В лучших традициях пиара, апдейт опубликовали незаметно под самое Рождество. Но суть такая, что после взлома украли не только кучу информации о пользователях, но и сами сейфы с паролями: To date, we have determined that once the cloud storage access key and dual storage container decryption keys were obtained, the threat actor copied information from backup that contained basic customer account information and related metadata including company names, end-user names, billing addresses, email addresses, telephone numbers, and the IP addresses from which customers were accessing the LastPass service.   The threat actor was also able to copy a backup of customer vault data from the encrypted storage container which is stored in a proprietary binary format that contains both unencrypted data, such as website URLs, as well as fully-encrypted sensitive fields such as website usernames and passwords, secure notes, and form-filled data. These encrypted fields remain secured with 256-bit AES encryption and can only be decrypted with a unique encryption key derived from each user’s master password using our Zero Knowledge architecture. As a reminder, the master password is never known to LastPass and is not stored or maintained by LastPass. The encryption and decryption of data is performed only on the local LastPass client. For more information about our Zero Knowledge architecture and encryption algorithms, please see here.  Утверждается, что все шифровано и перешифровано, но параноиков это не убедит, я думаю blog.lastpass.com/2022/12…incident
    Our Zero-Knowledge Security Model | LastPass

    The LastPass zero-knowledge security model protects everything you store, using AES-256 encryption to ensure sensitive information is secure to every device.

    Lastpass

  • Реклама

  • Информация опасносте

    Okta, a leading provider of authentication services and Identity and Access Management (IAM) solutions, says that its private GitHub repositories were hacked this month. According to a 'confidential' email notification sent by Okta and seen by BleepingComputer, the security incident involves threat actors stealing Okta's source code. www.bleepingcomputer.com/news/se…s-hacked
    Okta's source code stolen after GitHub repositories hacked

    In a 'confidential' email notification sent by Okta and seen by BleepingComputer, the company states that attackers gained access to its GitHub repositories this month and stole the company's source code.

    BleepingComputer

  • Информация опасносте

  • Информация опасносте

    у Apple день апдейтов сегодня, и там в каждом апдейте по пачке фиксов различных уязвимостей macOS 13.1 https://support.apple.com/kb/HT213532 iOS/iPadOS 16.2 https://support.apple.com/kb/HT213530 и прочие tvOS/watchOS. Если вдруг вы не хотите апдейтиться на последние macOS/iOS, то для macOS 12.6 и 11.7 тоже вышли апдейты с фиксами https://support.apple.com/kb/HT213533 https://support.apple.com/kb/HT213534 для последней версии iOS/iPad OS 15.7 тоже вышли апдейты https://support.apple.com/kb/HT213531 в принципе, ужасов-ужасов в логах я не вижу, но вот, например, есть интересное Available for: macOS Ventura Impact: Processing maliciously crafted web content may lead to arbitrary code execution. Apple is aware of a report that this issue may have been actively exploited against versions of iOS released before iOS 15.1. Description: A type confusion issue was addressed with improved state handling. WebKit Bugzilla: 247562 CVE-2022-42856: Clément Lecigne of Google's Threat Analysis Group
    About the security content of macOS Ventura 13.1

    This document describes the security content of macOS Ventura 13.1.

    Apple Support