Профессиональный научный форум физиков посвященый проблемам физики эфира, астрофизике, геофизике, климатологии, экологии, прогнозу землетрясений, проблемам развития физической науки в современном обществе
Черный Треугольник: По поводу слитой базы телефонных номеров Telegram 😱
Во всех каналах Telegram, YouTube, СМИ, ОРИ активно форсили эту информацию. Кто-то на этом заработал денег, но и черт с ними. Мое мнение по этому вопросу я уже выкладывал в своем личном блоге, кому интересно может почитать: https://t.me/hi_anon/269
Этот пост о другом.☝🏻 Дабы добиться истины оставлю ссылку вот на ЕнТоГо бота: @infoleakbot: https://t.me/infoleakbot с помощью него вы можете узнать есть ли Ваш аккаунт в слитой базе номеров.
Черный Треугольник:Коротко о том почему нельзя пользоваться картами скидок
В свободный доступ на один из форумов была выложена база клиентов интернет-магазина электроники и бытовой техники «ЭЛЕКС» (elex.ru).
В файле 9,430 строк, содержащих:
🌵 ФИО 🌵 телефон 🌵 дата рождения 🌵 адрес
Утверждается, что данные получены в январе 2020 года.
Этот случай примечателен тем, что 08.04.2020 ребята с канала Утечки информации https://t.me/dataleak обнаружили в открытом доступе неправильно сконфигурированную MongoDB, оставленную без аутентификации. В базе данных находились коллекции bonusclient и bonusrawelexcards, содержащие как-раз информацию клиентов магазина.
Они сразу оповестили владельцев сервера и даже получили ответ. Однако, поскольку сервер с открытой MongoDB находился в свободном доступе достаточно давно (по данным Shodan он периодически появлялся с мая 2019 г.), его успели “слить” злоумышленники. 😢
На момент обнаружения на сервере было около 65 тыс. записей с данными клиентов магазина. ========================= Думаю очевидная вещь, но каждый раз когда вы оформляете карты скидок вы добровольно предаете все данные о себе как гос органам так и злоумышленникам (впрочем разница не велика)
Кроме того подобные вещи придуманы коварными маркетологами, лишь из корыстных целей заставить тратить Вас больше и больше и продолжать кормить их систему.😡
Я уже молчу про то что эти злодеи стали принуждать своих клиентов устанавливать потенциально вредоносные приложения на телефон, прикрываясь словами об "удобстве"
Вроде очевидные вещи, но приходя в магазин я вижу тысячи людей, которые каждый день продают свою свободу за 20-30 рублей скидки.
Берегите себя и своих близких, не пользуйтесь картами скидок.
--------- Истинное знание есть знание причин - Френсис Бэкон
ПРОДАМ РОДИНУ ДЁШЕВО, ТОРГ УМЕСТЕН! Черный Треугольник: Twitter аккаунт Министерства иностранных дел России был взломан и продавал базу данных туристов
Более 12 часов в твиттере МИД РФ красовалось объявление о продаже базы данных туристов, застрявших за рубежом.
А министерство тчетно пыталось восстановить доступ.🤷🏼♀️
Информационная безопастность на гос. уровне? Не, не слышали🤣
Только в 14:48 по МСК у гос. служащих получилось удалить объявления со своего аккаунта
А чуть позже опубликовали твит: «Уважаемые читатели и подписчики, информируем вас об устранении последствий взлома нашего аккаунта злоумышленниками, опубликовавшими утром 2 июля с.г. на ленте ДСКЦ “фейки”, не имеющие к МИД России никакого отношения. Учётная запись функционирует в штатном режиме». ================== Думаю более чем яркая иллюстрация почему нельзя передавать данные о себе в гос. структуры.
Черный Треугольник:Google считает что управлять своим устройством Android — это взлом.😡 Новые козни корпорации зла против получения root-прав
Процесс получения прав суперпользователя на Android-устройстве предполагает эксплуатацию уязвимостей. Для установки кастомизированной прошивки нужно разблокировать загрузчик ОС. Однако последняя версия SafetyNet от Google будет воспринимать подобные действия как взлом. 🙉
SafetyNet представляет собой набор API, позволяющий приложениям проверять устройство на предмет компрометации. В частности без SafetyNet не будут работать многие приложения 2AF, банковского сектора, торговые и даже некоторые игры. В прошлом фреймворки для получения прав суперпользователя на Android-устройстве наподобие Magisk могли использовать те же API, чтобы «убедить» приложения, будто смартфон не получал root. Однако с новой версией SafetyNet они лишились такой возможности.
Как cообщают разработчики из XDA Developers https://www.xda-developers.com/safetynet-hardware-attestation-hide-root-magisk/, SafetyNet стал незаметно удостоверять аппаратное обеспечение с целью проверки целостности устройства. В частности, проверяется статус разблокировки загрузчика, наличие на устройстве ПО для получения прав суперпользователя и подписанных прошивок и пр. Другими словами, с обновленным SafetyNet скрыть от приложений факт взлома устройства практически невозможно.
По счастью получать права суперпользователя и устанавливать кастомизированные прошивки по-прежнему сложно, но реально. Тем не менее, в таком случае обращающиеся к SafetyNet приложения перестанут работать. ================== Готовьтесь к тому, что это лишь начало. Google и ему подобные злодеи-капиталисты будут с каждым днем вставлять палки в колесам пользователям, которые просто хотят управлять своим устройством.
По счастью у нас есть F-Droid https://f-droid.org/, есть компании выпускающие смартфоны на свободных дистрибутивах Linux, вроде Pine64 https://www.pine64.org/, Purism https://puri.sm/ и есть разработчики свободного ПО. А значит война за свободу продолжается✊🏻
Черный Треугольник: В продолжении темы о крипто-смартфонах
Думаю у Вас еще свеж в памяти мой пост https://t.me/black_triangle_tg/786 по поводу возможной компрометации защищенных смартфонов Encrochat.
И вот Евпропол, британское Национальное агентство по борьбе с преступностью (NCA), а также правоохранительные органы Франции, Швеции, Норвегии и Нидерландов официально сообщили https://www.nationalcrimeagency.gov.uk/news/operation-venetic о ликвидации платформы для зашифрованных коммуникаций Encrochat, которой пользовались более 60 000 человек в десятках стран в том числе и в России.
В настоящий момент по всему миру проводятся аресты. Тысячи человек уже задержаны.🤷🏼♀️
Забавно что фирма продающие подобные смартфоны кичилась своими функциями как самоуничтожение сообщений через определённый промежуток времени, «паническая» кнопка для мгновенного удаления всей информации с телефона, автоматическое определение подключения по ADB и «гарантированная анонимность»🤣
Сами телефоны с двойной операционной системой продавались по 1000 евро. Отличная цена за фантик. ================ Многие фирмы в настоящее время продолжают продавать иллюзию анонимности, иллюзию безопасных защищенных систем и мессенджеров, всякие "беспалефоны" и тому подобный SCAM. А некоторые даже еще эту грязь рекламируют.😔
☝🏻Помните что все это лишь коммерческие ходы коварных маркетологов. Не тешьте себя иллюзиями. Не спонсируйте мошенников
Есть множество бесплатных инструментов с открытым кодом в свободном доступе, одобренных фондом свободного ПО, фондом GNU, прошедшие независимый аудит и обеспечивающие намного более высокий уровень безопасности чем коммерческие решения.
Да они сложнее в настройке, но этичная система, система которой управляет сам пользователь должна быть сложной. Однокнопочные решения никогда не дадут вам свободу.
Черный Треугольник: Заклеивать камеру — это правильно☝🏻
По мнению некоторых экспертов, спецслужбы недовольны снижением количества собираемой информации.😊
Специалисты корпорации Apple опубликовали свежий документ в разделе поддержки на официальном сайте продукции. В нем пользователи предупреждаются об опасности закрытия крышки ноутбука, если на камеру установлена специальная защитная накладка – это может повредить экран.
"Если вы установите на камеру накладку и попытаетесь закрыть Mac, это может привести к повреждениям дисплея, так как зазор между дисплеем и клавиатурой ноутбука минимальный. Кроме того, из-за накладки на встроенной камере могут неправильно работать датчик внешней освещенности и другие функции, такие как автоматическая регулировка яркости дисплея и технология True Tone. Кроме того, по этой же причине датчик внешней освещенности и прочие функции, такие как автоматическая регулировка яркости дисплея и технология True Tone, могут работать неправильно."😅
В Apple считают, что поводов для боязни слежки у владельцев MacBook нет, так как ноутбуки снабжены светодиодным индикатором, который загорается всегда, когда камера работает, и активировать FaceTime HD с выключенным светодиодом невозможно. =================== Ага, а то что ФБР с 2013 года умеет включать камеры на нутах без задействования светодиода, это так мелочи😂 То, что в прошлом хакеры уже писали софт для удаленного отключения LED-индикатора веб-камеры MacBook это тоже ерунда 🤣
☝🏻Заклеивайте камеру на ноутбуках и смартфонах, а по возможности удаляйте физически. Тоже могу добавить и о микрофонах. Увы это наша суровая действительность, не существует безопасных систем.
--------- Истинное знание есть знание причин - Френсис Бэкон
Черный Треугольник:Крупнейший взлом Twitter в истории
Взлому подверглись аккаунты Билла Гейтса, Убера, Илона Маска, Эппла, Джефа Безоса, а также имеющих отношение к криптовалютам бирж и людей — Binance, Coinbase, Gemini, Crypto•com, Kucoin, Tron Foundation, CZ, Coindesk, Ripple, Джастина Сана и многие другие аккаунты знаменитостей, политиков и корпораций
Злоумышленники оставляли на взломанных аккаунтах записи предлагающие перевести деньги на биткоин адрес и получить эту сумму назад в двойном размере
В большинстве аккаунтов данные записи уже были удалены.
На текущий момент на кошелёк злоумышленников было отправлено больше 12 биткоинов — это больше 100 тысяч долларов.
Которые они уже даже начали выводить!
Аккаунты были защищены двухфакторной авторизацией и использовали сильные пароли.
По сообщениям Twitter Support, с помощью методов социальной инженерии был получен доступ к внутренним учетным записям сотрудников компании, которые и использовались для атаки
Черный Треугольник:Коротко о том почему нельзя пользоваться бесплатным VPN?☝🏻
Все началось с того что один из подобных провайдеров, а именно UFO VPN опубликовал в Интернете базу данных пользовательских журналов и записей доступа к API без пароля или какой-либо другой аутентификации, необходимой для доступа к ней.
894 ГБ данных были сохранены в незащищенном кластере Elasticsearch. UFO VPN утверждает, что данные были «анонимными»
🤣 Типичная отмазка всех датамайнеров
Что же за данные там были: 🔻Пароли учетной записи в текстовом виде 🔻Секреты и токены VPN-сессии 🔻IP-адреса как пользовательских устройств, так и серверов VPN, к которым они подключены 🔻Временные метки подключения 🔻Гео-теги 🔻Характеристики устройства и ОС 🔻URL-адреса, которые выглядят как домены, с которых реклама добавляется в бесплатные веб-браузеры пользователей.
Большая часть этой информации противоречит политике конфиденциальности UFO VPN, которая гласит: «Мы не отслеживаем действия пользователей за пределами нашего Сайта, а также не отслеживаем действия по просмотру и подключению пользователей, использующих наши Услуги»😅
27 июня. Сервер, на котором размещены данные, впервые был проиндексирован поисковой системой Shodan.io
и да вся эта база была доступна для скачивания любому желающему😂
1 июля ребята из Comparitech уведомили UFO VPN что их база торчит в интернет без какой либо защиты
Угадайте что сделал VPN провайдер? Ничего... Она и дальше осталась висеть больше двух недель🤷🏼♀️
UFO VPN, обвинил коронавирус в том, что он не позволил своим сотрудникам защитить сеть базы данных. 🤣
Думаете это единичный случай? Неее...
Несколько дней спустя, ребята из VPNmentor нашли еще подобные базы в открытом доступе, провайдеров FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN и Rabbit VPN
Несколько миллиардов записей журнала, многие из которых содержат очень конфиденциальную информацию: 🔻записи посещенных веб-сайтов 🔻журналы подключений, имена людей 🔻адреса электронной почты и домашние адреса 🔻текстовые пароли, информацию о платежах в биткойнах и Paypal 🔻сообщения в службу поддержки 🔻спецификации устройств ====================== ☝🏻Думаю более чем красочная иллюстрация почему нельзя пользоваться бесплатными VPN
А как устанавливать свой собственный я уже показывал
Черный Треугольник: Google продвигает «trust tokens» вместо файлов cookie.😡
Ранее в этом году Google заявила, что запретит сторонним сервисам отслеживать пользователей через cookie-файлы в браузере Chrome. Однако вместо этого команда Google запустила новый способ отслеживания пользователей на сайтах — trust tokens.
Как утверждает корпорация зла и как подхвотили все не сведующие СМИ: В отличие от cookie-файлов trust tokens могут использоваться для аутентификации пользователей без необходимости устанавливать их личность.🤣 Этот инструмент позволит веб-сайту доказать рекламодателю, который размещает на нём объявление, что посетители были не ботами, а настоящими людьми.
Но мы то все знаем коварство и лицемерие компании Google😉
И к слову вот тут я нашел документ: https://github.com/WICG/trust-token-api который подробно объясняет как работает данная технология. Достаточно большая и интересная работа.
Простыми словами корпорация зла в очередной раз прикрываясь лживой улыбкой выкатывает орудия для слежки🤷🏼♀️ =================== Конечно я и сам понимаю что сайты существуют только благодаря рекламе. И ни один рекламодатель не будет платить за рекламу, если ее смотрят не люди, а боты. Как и реклама в свою очередь порой является единственной дорогой для начинающих стартапов.
Как быть? Не знаю друзья🤷🏻♂️
Все это последствия изначально не верного капиталистического пути развития общества. Уже как-то рассказывал об этом в своем блоге: https://t.me/hi_anon/276 И пока эта система существует война будет продолжаться...
Черный Треугольник: Найдена не исправляемая уязвимость в устройствах Apple. С помощью нееможно получить все конфиденциальные данные, хранящиеся на устройствах
На протяжении многих лет Apple горделиво рассказывала о своем чипе Secure Enclave.🤓 Secure Enclave - это сопроцессор, включенный почти в каждое устройство Apple для обеспечения дополнительного уровня безопасности. Все данные, хранящиеся на iPhone, iPad, Mac, Apple Watch и других устройствах Apple, зашифрованы случайными закрытыми ключами, доступ к которым возможен только в Secure Enclave. Эти ключи уникальны для вашего устройства и, как утверждает корпорация, никогда не синхронизируются с iCloud.🤣
Помимо шифрования ваших файлов, Secure Enclave также отвечает за хранение ключей, которые управляют конфиденциальными данными, такими как пароли, кредитная карта, Apple Pay, и даже биометрическая идентификация для включения Touch ID и Face ID.
Важно отметить, что хотя чип Secure Enclave встроен в устройство, он работает полностью отдельно от остальной системы. Это гарантирует, что приложения не будут иметь доступа к вашим закрытым ключам, поскольку они могут только отправлять запросы на расшифровку определенных данных, таких как ваш отпечаток пальца, чтобы разблокировать приложение через Secure Enclave.
Даже если у вас есть взломанное устройство с полным доступом к внутренним файлам системы, все, что управляется Secure Enclave, остается защищенным.
Если по простому это целый отдельный компьютер, внутри устройства
В каких устройставх установлен Secure Enclave: 🔻iPhone 5s и позже 🔻iPad (5-го поколения) и позже 🔻iPad Air (1-го поколения) и позже 🔻iPad mini 2 и более поздние версии 🔻iPad Pro 🔻Компьютеры Mac с чипом T1 или T2 🔻Apple TV HD (4-го поколения) и позже 🔻Apple Watch Series 1 и более поздние 🔻HomePod
«Не поддающиеся исправлению» означает, что уязвимость была обнаружена в оборудовании, а не в программном обеспечении, поэтому Apple, ничего не может сделать, чтобы исправить это на устройствах, которые уже были проданы. 😅
А значит все устройства и данные на них, о которых я написал выше, теперь могут быть полностью взломаны.
Ожидаемый сценарий для правительственных учреждений - использовать это нарушение безопасности на конфискованных устройствах.👮🏻♂️ ====================== ☝🏻Еще один повод никогда не пользоваться устройствами этой корпорации зла. И тыкнуть носом всех тех кто твердит о безопасности устройств Apple.
bourabai.kz
Участники
