Ever Secure

А мы в эфире, подключайтесь!

Уже через час собираемся на созвон сообщества 💪 Подключаться по ссылке Событие добавлено в календарь мероприятий ссыль, добавляй к себе, что бы не пропустить 😉 📹YT | 📺RT | 📺VK | 💰Bty 👀@ever_secure | 💪 Мерч

Созвон сообщества в Zoom 17.06 в 19:00 Гость выпуска: Антон Жаболенко (CPO Positive Technologies) Тема: Карьерные треки в кибербезопасности 2 Продолжение первой части созвона 😉 В какой ветке безопасности интереснее работать? Какую специализацию выбрать? В какой ветки интереснее работать? Специально для вас, наши дорогие начинающие специалисты, я пригласил на созвон эксперта, который поработал в таких компаниях, как Kaspersky, Yandex 🌐, VK💙, WB🛍. Антон прошел огромный путь проработав в сферах инфраструктурной безопасности, application security, облачной безопасности и дошел до позиций топ менеджмента. Приходите, обсудим все профессии, а также ответим на вопросы зрителей ☺️ Предыдущий созвон Подключаться по ссылке Событие добавлено в календарь мероприятий ссыль, добавляй к себе, что бы не пропустить 😉 📹YT | 📺RT | 📺VK | 💰Bty 👀@ever_secure | 💪 Мерч

И так, друзья, напоминаю вам о том, что уже в эту пятницу, 20 июня, в 17:00 пройдет Ever Secure Meetup 🤩 Добавили еще немного мест, чтобы каждый желающий сумел попасть на мероприятие Дублирую ссылку на регистрацию и до встречи!

Meta* и Yandex деанонимизируют Android-пользователей через web-браузеры Недавние исследования специалистов из Radboud University, KU Leuven и IMDEA Networks показали, что Meta (Facebook, Instagram) и Yandex смогли связывать анонимную web-активность в браузерах с учётными записями пользователей в Android-приложениях. 1. На сайте используется Meta Pixel или Yandex Metrica — популярный скрипт аналитики, размещённый на многих страницах. 2. Когда в браузере загружен скрипт, он инициирует соединение с локальным портом, слушаемым соответствующим нативным приложением. 3. Данные браузера (cookies типа _fbp, метаданные, истории переходов) передаются приложению — например, Facebook, Instagram, Yandex. 4. Приложение связывает полученные идентификаторы с учётной записью пользователя, деанонимизируя web-активность. Так можно отслеживать действия в браузере, даже в режиме “инкогнито” или при использовании VPN. 🛑 Почему это опасно * Сломано разделение между приложениями и браузером в Android, что равносильно побегу из песочницы. * Механизм трудно обнаружить: соединения через localhost активируются только в нужный момент. * Опасная эскалация: даже очистка куков или инкогнито не спасают, браузер отправляет данные напрямую приложению. ⏳ История * Yandex использует подобную схему с 2017 года. * Meta начала применять метод с сентября 2024 года. После публикации исследований Meta временно приостановила практику и ведёт обсуждение с Google. Yandex заявил о прекращении такой активности. 🔧 Что делать пользователям Android * Перейти на браузеры с высоким уровнем приватности: Vanadium, Brave или Firefox с блокировщиками трекеров. * Избегать открытия ссылок из приложений Meta/Yandex — сайты загружаются во встроенных браузерах с уязвимым поведением. * Удалить приложения Meta и Yandex либо временно их отключить. * Рассмотреть использование AOSP-версий Android или /e/OS, где встроенные сервисы Google и Meta отсутствуют. Итоги * Метод скрытный, сложный в обнаружении и использует внутренние соединения между браузером и приложением. * Находит обход системных ограничений Android и сохраняет идентификаторы при любой очистке данных. * Google уже предпринимает меры, а некоторые браузеры блокируют метод на уровне логики. * Пользователям рекомендуется переходить на защищённые браузеры, запрещать встроенные веб-просмотры и по возможности отказываться от официальных приложений, собирающих личные данные. *Meta Запрещена на территории РФ и слава Богу Источник

Всех ждем в эфире!

Через час стартуем созвон про полиграф. Подключаться по ссылке

Друзья, спасибо за активность! Как и обещал, направляю ссылку на регистрацию на Ever Secure Meetup, который состоится уже в следующую пятницу, 20 июня 🙂 Регистрация по ссылке, и до встречи 😉 👀@ever_secure | 💪 Мерч

Всем привет! В продолжение летнего выступления с Андреем, опубликовал статью на Habr 🤓 Статья с подробным разбором основных атак на CI/CD в контексте Gitlab, с примерами и пояснениями. Всем приятного чтения 📖 https://habr.com/ru/companies/mws/articles/915916/ 👀@ever_secure | 💪 Мерч

Друзья, хотел бы окончательно прояснить ситуацию с чеками и отбивке на почту: Для оплаты заказов на сайте был подключен эквайринг от Т-Банка. Все ваши платежи прошли, при оформлении заказа вы заполняли форму с номером телефона и электронной почтой. Вся информация об этом есть в выгрузке Банка. Для формирования чеков была подключена онлайн касса от Т-Банка, все чеки также есть. Где-то на стороне Т-банка есть проблема, и во всех чеках вместо реального адреса получателя, фигурирует noreply-cloudkassir@cp.ru (см. скрин) И поскольку данная ифнормация на стороне банка проходила с ошибкой, никто не получил отбивку на почту. В настоящий момент ожидаем ответа от техников Т-Банка по сложившейся ситуации и прорабатываем возможное решение по доставке чеков до конечных покупателей. В случае отсутствия решения проблем, будем выбирать другой банк. По поводу кривого шаблона письма

Создан заказ на сайте https://eversecure.ru.<br> Детали заказа:<br> <br>Товар: <br>Книга На*уй Безопасность: 1 Цена: 1000

Поддержка конструктора сайта не смогла ничего сказать, кроме того, что в будущем когда-то реализуют (см. скрин). И даже назвать примерные сроки отказалась. Поэтому, в связи с недопустимо низким качеством данного конструктора и обслуживания, мы приняли решение о переезде на другую платформу, которое совершим в следующем месяце. Благодарю всех за понимание, для нас это был первый опыт, который, как и положено, пошел комом. Выводы сделаны, будем становиться лучше и практичнее.

Продолжая тему про книгу, и отвечая на множество вопросов о том, что будет дальше и когда ее уже можно наконец-то получить, у нас для вас вторая супер новость! 20 июня мы организуем Ever Secure Meetup — живой вечер безопасности. Пройдет он в Москве, в музее криптографии, который любезно согласился помочь нам с площадкой. При поддержке @ArtemiyUeax и сообщества Слономойка! 🕔 Сбор гостей — с 17:00 🕡 Старт докладов — в 18:00 🕖 Нетворкинг — с 19:00 В программе: – Вступительное слово – Доклад "История появления книги" George K – Доклад "Почему безопасность не опция" от меня А еще: – 📚 Выдача предзаказанных экземпляров книги «НХБ» – ✍️ Автограф-сессия – 🤝 Нетворкинг с единомышленниками - 🏛 Возможность посетить экскурсию по музею и окунуться в удивительный мир криптографии (билет на экскурсию приобретается отдельно) 📍 Место встречи — https://cryptography-museum.ru. Вход для участников митапа будет бесплатный, а регистрация скоро будет открыта P.S. С теми, кто не сможет присутствовать, мы свяжемся по поводу выдачи и доставки заказов P.P.S. Нам нужно понимать примерное количество гостей, пожалуйста проголосуйте в опросе ниже 👇 👀@ever_secure | 💪 Мерч

Итак, у автора для вас 2 крутейшие новости! Какая из них лучше, решать вам 😉 1-я новость в том, что пранк действительно вышел из под контроля и у нас SOLD OUT партии из 1000 экземпляров!🤩 Хотелось бы выразить вам огромную благодарность за вашу активность и чувство юмора, без вас не было бы и самой книги💜 Такой отклик очень сильно стимулирует продолжать развивать не только этот канал, но и само комьюнити 👀 Спасибо вам! И как обычно, дальше - больше💪🏼 👀@ever_secure | 💪 Мерч

Всем спасибо! P.S. Прикрепляю ссылки докладов, которые обсуждали Николай Хечумов . Поиск и управление находками в «Авито»: расширяемый shift‑left Николай Хечумов. Токены для поиска секретов, или SAST на минималках Александр Трифанов: У нас есть ASOC дома: как мы обновили нашу систему управления находками

друзья, а мы скоро начинаем! ждем всех на созвон сообщества, поговорим про AppSec! Подключаться по ссылке

Книга настолько хороша, что про нее уже делают доклады 🤩 👀@ever_secure | 💪 Мерч

Социальная реклама от прокуратуры Московской области о мошенниках, которые «работают» в Нигерии. Хороший пример с годным юмором

Созвон сообщества в Zoom 10.06 в 19:00 Гость выпуска: Антон Бочкарев (3side, 4Security) Тема: Полиграф 😱 Мало кто знает, но Антон отучился на безинструментальную детекцию лжи и работу с полиграфами. Кажется, отличный шанс спросить обо всем, что вы хотели! На созвоне узнаем: - Как работает полиграф? - Что обычно спрашивает полиграфолог? - Как определить, перед вами профессионал или человек с игрушкой в руках? - Можно ли обойти полиграф? - Можно ли детектировать ложь без полигрфафа? - Почему компании используют полиграф? - Если полиграф не субъективщина, почему он не используется в суде? - Что важнее: сам полиграф или то, что перед ним? - Когда стоит использовать полиграф, а когда нет? + Ответы на вопросы зрителей! Подключаться по ссылке Событие добавлено в календарь мероприятий ссыль, добавляй к себе, что бы не пропустить 😉 👀@ever_secure | 💪 Мерч

ИБ мир тесен 🌍 Сегодня случайно встретил Евгения Валентиновича, не мог пройти мимо и подарил экземпляр книги📕 👀@ever_secure | 💪 Мерч