Security Digest UA

Як за допомогою різних додатків та сервісів, включаючи вбудовані в автомобілі, страхові компанії в США стежать за водіями та їхньою поведінкою на дорозі. 🔺 Агрегатори даних купують дані в інших додатків, комбінують та одержують результат, який потім може впливати на вартість страховки. Відбувається це, найчастіше, без відома користувачів, очевидно. @secdigestua

Ізраїльскі кібердослідники опублікували фейкове розширення для середовища програмування VSCode і заразили мільйони користувачів в сотнях організацій по всьому світу. Історія описана з перших вуст самими кібердослідниками на Medium (6 частин). 👆 Це ще раз підкреслює важливість безпеки ланцюжків постачання та використання DevSecOps практик. @secdigestua

Apple і Google нарешті вирішили зробити щось разом і розробили стандарт проти стеження за допомогою Bluetooth-міток (аля Airtag). По суті, стандарт описує механізм їх виявлення та сповіщення користувача про Bluetooth-пристрої, які тривалий час пересуваються з вами. Називатиметься ця справа «Detecting Unwanted Location Trackers» і починає функціонувати з iOS 17.5 та Android 6.0 і вище. Формат повідомлення приблизно такий: «[Item] Found Moving With You». @Zatishna_Galera

I told you so https://archive.is/b8zOh

В Google запропонували цікаву концепцію - замість фішингових кампаній запускати фішингові "протипожежні тренування". Якщо коротко, то замість того, щоб відправляти користувачам листи, які імітують фішинг, краще відправити листа з інструкціями та очікуваннями (як наведено на прикріпленому скріншоті). 👆 Що скажете про такий вид тренувань, замість стандартних фішингів? @secdigestua

Для поціновувачів теорій змов - сервіс TicketMaster зламали після того як державні органи США звинуватили сервіс в монополії на ринку продажу квитків на події. Невдовзі, дані на 560 млн. облікових записів користувачів TicketMaster потрапили на продаж у даркнеті. Заявляється, що злам стався через третьосторонній сервіс зберігання даних Snowflake. В самому ж Snowflake проводять розслідування. Кажуть, що атакуючі були націлені на злам сервісних акаунтів без двухфакторної аутентификації. Усі постраждалі клієнти були попереджені. Також, було зламано один акаунт співробітника (його облікові дані були куплені у брокерів первинного доступу в даркнеті, які туди потрапали через зараження шкідником-викрадачем). Але він мав доступ лише до демо-середовищ, то ж дані кілєнтів від цього не постраждли. 👆 Без теорій змов - думаю, коли на бізнес нападає антимонопольний комітет, то це підкреслює його розмір і робить бажаною ціллю :) @secdigestua

Реальний кейс експлуатації Prompt Injection в Google Bard у 2023 році. https://www.hackerone.com/ai/prompt-injection-deep-dive @secdigestua

Ще трішки рекомендацій від NSA по захисту смартфонів (продовження минулого поста): - Вимикайте Bluetooth, коли не використовуєте. - Оновлюйте пристрій при доступних оновленнях. - Вимикайте служби локації, коли не потрібні. - Не використовуйте публічні Wi-Fi мережі. - Не використовуйте публічні зарядні станції. - Використовуйте «сильні» PIN-коди та паролі. - Використовуйте PIN-код мінімум з шести цифр. - Налаштуйте смартфон на автоматичне блокування після 5 хвилин бездіяльності. - Встановіть автоматичне стирання даних після 10 невірних спроб. - Генеруйте унікальні паролі для кожного облікового запису. - Використовуйте менеджер паролів. - Уникайте використання загальних фраз та слів з словника. - Не використовуйте один і той самий пароль для різних облікових записів. @secdigestua

NSA рекомендує перезавантажувати смартфони щонайменше раз на тиждень. Це дозволить позбаватись шпигунського програмного забезпечення і троянів, які могли потрапити на телефон в ході успішної фішингової атаки, чи експлуатації вразливості нульового дня. @secdigestua

🔔 У міжнародній кооперації правоохоронці знешкодили кілька ботнетів. Проведено 16 обшуків, заарештовано 4 підозрюваних. Інфіковані системи завдали шкоди на сотні мільйонів євро. Операція "Endgame" триває, очікуються на нові події. 👍 Дані витоку вже було додано до Have I Been Pwned сервісу. Можете перевірити свій email та паролі безкоштовно тут. @secdigestua