alkov
идиоты политота решето фбк Как ФБК* слили свои данные: habr.com

Из камментов:

Но вообще очень разочаровывает, когда люди которые ставят себе целью борьбу с авторитарными режимами допускают глупые технические ошибки. Создаётся ощущение что они просто не серьезно подходят к тому, чем занимаются
Когда политкорректно сказал "мамкины революционеры"
alkov
решето сбер Система DLBI обнаружила свободно доступный сервер Elasticsearch, в индексе которого содержатся СМС-сообщения предположительно отправленные с номера 900. 🔥🔥🔥

В момент обнаружения на сервере находилось 1,505,557 записей:

🌵 телефон получателя СМС
🌵 текст СМС (ФИО делавшего перевод, сумма снятия/перевода, баланс банковской карты и последние 4 цифры карты)
🌵 дата (c 29.05.2021 по 15.06.2021) отправки СМС
🌵 сумма (положительная при пополнении, отрицательная при снятии и пусто, если операция не связана с движением средств).

Судя по наличию СМС с текстом "Вход в СберБанк Онлайн...", можно предположить, что сервер содержит сообщения, которые получают клиенты Сбербанка. 🤦‍♂️

Сервер находится в открытом доступе с 12.06.2021 и расположен за пределами России. 😱

Данные на сервере динамически обновляются — за время наблюдения появилось 51,169 новых записей. 😎

Определить владельца этого сервера мы не смогли, но оповестили Сбербанк через специальную форму на их вебсайте.

alkov
опсосы решето В начале марта в даркнете появилось предложение о продаже доступа к коммутатору одного из операторов мобильной связи, который позволяет получить контроль над системой сигнализации SS7. С его помощью можно перехватить звонки и СМС всех провайдеров связи, с которыми у уязвимого оператора есть договор о роуминге. В их число входят и российские.
iz.ru
alkov
Беларусь решето На продажу выставлена база данных Telegram-бота golosby_bot (и Viber-бота golos-by), принадлежащего белорусскому проекту «Голос».

В SQL-дампе содержатся телефоны тех, кто регистрировался в боте. Всего 768,418 строк.

t.me
alkov
QIP решето Проанализировали пароли из довольно старой утечки 2011 года сервиса qip.ru.

Об этой утечке стало известно еще в 2016 году, но до сих пор дамп базы данных qip.ru не находится в свободном доступе. 😎

В дампе содержатся логины, адреса эл. почты и пароли в открытом (текстовом) виде, всего более 33 млн. строк (включая “мусорные” и пустые).
L29Ah
Linux решето "BleedingTooth" – zero-click RCE in Linux Bluetooth:
twitter.com
intel.com
– According to Intel, all Linux kernels with BlueZ support prior to 5.9 are affected.
– Intel recommends updating the Linux kernel to version 5.9 or newer.
– BlueZ is the canonical implementation of the Bluetooth protocol stack.
– CVE-2020-12351, CVE-2020-12352, CVE-2020-24490.
alkov
Microsoft решето 6,5 терабайт пользовательских данных, включая запросы, координаты геолокации, идентификационные номера устройств и частичную информацию адресов в сети. Все это раскрывал поисковик Microsoft Bing, Elasticsearch сервер которого внезапно в сентябре перестал быть запароленным. Из забавного: аутентификация пропала 12 числа, о проблеме в Microsoft сообщили 13 сентября, компания убрала сервер 16 сентября. За это время базу успел переписать два раза бот Meow, который заполняет незащищенные базы данных словом meow. Lol.

wizcase.com
alkov
Apple решето В социальной сети Reddit начали появляться посты с предупреждением о рассылке вредоносных текстовых сообщений, состоящих из иконки итальянского флага, смайликов и определённых символов языка синдхи. При открытии такого «послания» на гаджете с операционной системой iOS 13 или iPadOS 13 устройство перезагружается или полностью зависает.

4pda.ru
Ilya-S-Zharskiy
решето слив DLP MRG лашпеды hsto.org


Вчера в открытый доступ был выложен список сотрудников компании Mail.ru.

Файл датируется 31 января 2020 года и содержит 7393 записи. Несмотря на то, что в базе присутствуют лишь ФИО и адреса корпоративной почты сотрудников, этой информации вполне достаточно для атак с использованием социальной инженерии, ну и в целом для OSINT.

Теперь в случае возникновения какой-либо проблемы вам не придется писать на abuse@corp.mail.ru и долго ждать ответа, ведь вы сами можете найти нужного сотрудника в списке и поведать ему обо всех своих бедах.

Не благодарите.
Ilya-S-Zharskiy
RDP решето CVE-2019-1182 CVE-2019-1181 DejaBlue *BlueKeep

очередная дыра
portal.msrc.microsoft.com
msrc-blog.microsoft.com
В Win10/8/7/далее везде

m.habr.com
wired.com

800 миллионов Выньдус10 подвержены

патч для семёрьки:

AMD64
download.windowsupdate.com

x86
download.windowsupdate.com

A security issue has been identified in a Microsoft software product
that could affect your system. You can help protect your system
by installing this update from Microsoft.
For a complete listing of the issues that are included in this update,
see the associated Microsoft Knowledge Base article.
After you install this update, you may have to restart your system.
support.microsoft.com
Ilya-S-Zharskiy
RDP решето CVE-2019-0708 Remote-Desktop-Services Remote-Code-Execution win32k.sys Terminal-Services EternalBlue Really-DO-Patch! Службах_Удаленных_рабочих_столов Служба_Терминалов Чёт @Linda-chan не пишет как обновляет свои "икспишки"
portal.msrc.microsoft.com


catalog.update.microsoft.com

win2003
download.windowsupdate.com
download.windowsupdate.com

WinXP
download.windowsupdate.com
download.windowsupdate.com

2019-05 Security Update for WES09 and POSReady 2009 for x86-based Systems (KB4500331)
download.windowsupdate.com


m.habr.com

m.habr.com



wusa.exe "C:\windows6.1-kb4499175-x64_3704acfff45ddf163d8049683d5a3b75e49b58cb.msu" /quiet /warnrestart

catalog.update.microsoft.com


дыр канешн миллион
brighttalk.com
наклепали индусы

хорошо хоть именно это — не во всей линейке,
а только XP/7/2003/2008

и уже эксплуатируется:
securityaffairs.co
alkov
решето WhatsApp Обнаружена серьезная уязвимость в WhatsApp, позволявшая злоумышленникам установить шпионское ПО на смартфоны iOS и Android.

Примечательно, что для заражения телефона достаточно было позвонить на номер телефоны жертвы. На звонок было даже необязательно отвечать.

m.facebook.com
lex2d
Java боян dev Android решето В общем, jcenter показал, что там про секурити думали не очень и ныне рекомендуется в гредле прописывать jcenter() последним и юзать mavenCentral(). Основная неудобство, что jcenter() идет по умолчанию в в шаблоне новосозданного андроид проекта.
blog.autsoft.hu
provaton
решето Эпичный тред в твиторе. twitter.com

Если вкратце, T-Mobile хранит пароли в плейтексте, а в ответ на возмущение юзеров отвечает, что так и надо, пароли не украдут, потому что у них "because our security is amazingly good".
max630
говно решето вебобляди мы можем создать собственный шрифт, и указать для каждого символа отдельное правило. Тем самым заставляя браузер делать GET запрос как только этот символ понадобиться для отображения.
Strephil
Linux решето В eBPF нашли дыру, и про это появилась новость на опеннете. Я прочитал новость, и захотелось поподробнее почитать про eBPF.
Вот, сижу, читаю.
Strephil
GNU решето Фонд свободного ПО предупредил об инциденте, в результате которого в публичном доступе оказалась некоторая не подлежащая огласке информация, связанная с проектом Defective by Design, включая IP-адреса авторов комментариев, номера телефонов и email пользователей.
Данные оказались общедоступными из-за ненадлежащего ограничения доступа к архиву с резервной копией СУБД сайта defectivebydesign.org, который был создан Drupal-модулем backup-migrate в 2012 году в процессе миграции сайта на другой хост. По недосмотру файл с резервной копией СУБД не был удалён, но содержимое директории с бэкапами, которая находилась в области контента сайта (/sites/default/files/backup_migrate/), было скрыто через .htaccess. В 2014 году в процессе обновления было изменено имя каталога с установкой Drupal, но были оставлены некоторые старые настройки http-сервера Apache, что привело к прекращению обработки файлов .htaccess и появлению доступа к содержимому каталога с бэкпапами.

Defective by Design — какое подходящее название.