Security Digest UA

Apple і Google нарешті вирішили зробити щось разом і розробили стандарт проти стеження за допомогою Bluetooth-міток (аля Airtag). По суті, стандарт описує механізм їх виявлення та сповіщення користувача про Bluetooth-пристрої, які тривалий час пересуваються з вами. Називатиметься ця справа «Detecting Unwanted Location Trackers» і починає функціонувати з iOS 17.5 та Android 6.0 і вище. Формат повідомлення приблизно такий: «[Item] Found Moving With You». @Zatishna_Galera

I told you so https://archive.is/b8zOh

В Google запропонували цікаву концепцію - замість фішингових кампаній запускати фішингові "протипожежні тренування". Якщо коротко, то замість того, щоб відправляти користувачам листи, які імітують фішинг, краще відправити листа з інструкціями та очікуваннями (як наведено на прикріпленому скріншоті). 👆 Що скажете про такий вид тренувань, замість стандартних фішингів? @secdigestua

Для поціновувачів теорій змов - сервіс TicketMaster зламали після того як державні органи США звинуватили сервіс в монополії на ринку продажу квитків на події. Невдовзі, дані на 560 млн. облікових записів користувачів TicketMaster потрапили на продаж у даркнеті. Заявляється, що злам стався через третьосторонній сервіс зберігання даних Snowflake. В самому ж Snowflake проводять розслідування. Кажуть, що атакуючі були націлені на злам сервісних акаунтів без двухфакторної аутентификації. Усі постраждалі клієнти були попереджені. Також, було зламано один акаунт співробітника (його облікові дані були куплені у брокерів первинного доступу в даркнеті, які туди потрапали через зараження шкідником-викрадачем). Але він мав доступ лише до демо-середовищ, то ж дані кілєнтів від цього не постраждли. 👆 Без теорій змов - думаю, коли на бізнес нападає антимонопольний комітет, то це підкреслює його розмір і робить бажаною ціллю :) @secdigestua

Реальний кейс експлуатації Prompt Injection в Google Bard у 2023 році. https://www.hackerone.com/ai/prompt-injection-deep-dive @secdigestua

Ще трішки рекомендацій від NSA по захисту смартфонів (продовження минулого поста): - Вимикайте Bluetooth, коли не використовуєте. - Оновлюйте пристрій при доступних оновленнях. - Вимикайте служби локації, коли не потрібні. - Не використовуйте публічні Wi-Fi мережі. - Не використовуйте публічні зарядні станції. - Використовуйте «сильні» PIN-коди та паролі. - Використовуйте PIN-код мінімум з шести цифр. - Налаштуйте смартфон на автоматичне блокування після 5 хвилин бездіяльності. - Встановіть автоматичне стирання даних після 10 невірних спроб. - Генеруйте унікальні паролі для кожного облікового запису. - Використовуйте менеджер паролів. - Уникайте використання загальних фраз та слів з словника. - Не використовуйте один і той самий пароль для різних облікових записів. @secdigestua

NSA рекомендує перезавантажувати смартфони щонайменше раз на тиждень. Це дозволить позбаватись шпигунського програмного забезпечення і троянів, які могли потрапити на телефон в ході успішної фішингової атаки, чи експлуатації вразливості нульового дня. @secdigestua

🔔 У міжнародній кооперації правоохоронці знешкодили кілька ботнетів. Проведено 16 обшуків, заарештовано 4 підозрюваних. Інфіковані системи завдали шкоди на сотні мільйонів євро. Операція "Endgame" триває, очікуються на нові події. 👍 Дані витоку вже було додано до Have I Been Pwned сервісу. Можете перевірити свій email та паролі безкоштовно тут. @secdigestua

4-5 червня запрошуємо на DevOpsDays Ukraine: Let’s Talk Security Це вже 7-ма конференція комʼюніті і на вас чекають Ignites & Talks від світових та українських експертів: Daniel Deogun з Omegapoint, Петро Вавулін з Київстар, Michał Brygidyn з Xebia, Anastasiia Voitova з Cossack Labs та багато інших! Слідкуйте за оновленнями, щоб дізнатися більше. Віртуальна конференція буде присвячена DevSecOps, розширенню практики DevOps, яка інтегрує безпеку як спільну відповідальність протягом усього життєвого циклу ІТ. Протягом двох вечорів ми будемо говорити про культуру, автоматизацію та дизайн платформи, щоб створити план дій і включити заходи безпеки на кожному етапі розробки, забезпечуючи швидшу та безпечнішу доставку програмного забезпечення. На вас чекають презентації, ignite talks та open space дискусії! 🌟 💙 💛  Долучайтеся також до благодійної ініціативи — збір для фонду UA Responders. Коли? 4-5 червня Формат? Онлайн, безкоштовно Деталі на сайті 👀 https://bit.ly/3VfyqS6 Реєструйтеся та не пропустіть!

4-5 червня запрошуємо на DevOpsDays Ukraine: Let’s Talk Security Це вже 7-ма конференція комʼюніті і на вас чекають Ignites & Talks від світових та українських експертів: Daniel Deogun з Omegapoint, Петро Вавулін з Київстар, Michał Brygidyn з Xebia, Anastasiia Voitova з Cossack Labs та багато інших! Слідкуйте за оновленнями, щоб дізнатися більше. Віртуальна конференція буде присвячена DevSecOps, розширенню практики DevOps, яка інтегрує безпеку як спільну відповідальність протягом усього життєвого циклу ІТ. Протягом двох вечорів ми будемо говорити про культуру, автоматизацію та дизайн платформи, щоб створити план дій і включити заходи безпеки на кожному етапі розробки, забезпечуючи швидшу та безпечнішу доставку програмного забезпечення. На вас чекають презентації, ignite talks та open space дискусії! 🌟 💙 💛  Долучайтеся також до благодійної ініціативи — збір для фонду UA Responders. Коли? 4-5 червня Формат? Онлайн, безкоштовно Деталі на сайті 👀 https://bit.ly/3VfyqS6 Реєструйтеся та не пропустіть!