Weekendowa Lektura: odcinek 324 [2019-07-21]. Bierzcie i czytajcie

Zapraszamy do nowego wydania Weekendowej Lektury. Urlopy urlopami, ale przestępcy działają nadal. Abyście nie tracili czasu na wybieranie najlepszych linków, zrobiliśmy to za Was. Życzymy udanej lektury.

W dzisiejszym odcinku szczególnie polecamy w części fabularnej doniesienia dotyczące Juliana Assange’a, który w czasie swego pobytu w ambasadzie Ekwadoru miał współpracować z rosyjskimi służbami (pkt 9), śledztwo przeprowadzone przez Briana Krebsa, dotyczące usług hostingu świadczonych przestępcom (pkt 15) oraz nowe przypuszczenia dotyczące tożsamości Satoshiego Nakamoto, twórcy bitcoina (pkt 20). Z kolei w części technicznej spójrzcie na opis luki w panelu administracyjnym w Tesli, za którą odkrywcy wypłacono 10 tys. dolarów (pkt 13), wyniki badań pokazujące, jak można wykraść dane z użyciem kontrolek LED umieszczonych na klawiaturze (pkt 22), a także materiał dotyczący oszustw realizowanych za pomocą Google Maps (pkt 43). Miłego klikania!

Wersja anglojęzyczna

IT Security Weekend Catch Up – July 21, 2019

Część bardziej fabularna

1. [PL] Dane osobowe na zdjęciu, czyli RODO a ochrona wizerunku
2. [PL] Informacja publiczna a wrażliwe dane osobowe
3. [PL] „Rosyjski” FaceApp nie jest groźniejszy od samego Facebooka
4. [PL] Ile wiedzą o nas strony z pornografią
5. [PL] Zmarł twórca haseł komputerowych
6. [PL] Oszust usłyszał 141 zarzutów, odpowie m.in. za wyłudzenie pożyczek
7. [PL] Areszty za oszustwa internetowe i włamania na konta
8. [PL] Oszukali przy internetowych zakupach blisko 1400 osób z całej Polski
9. Jak Assange z ambasady Ekwadoru wpływał na kampanię prezydencką w USA
10. Dane milionów Bułgarów dostały się w niepowołane ręce + więcej informacji
11. Slack w związku z atakiem z 2015 r. zresetował niektórym użytkownikom hasła
12. Atak ransomware’u na dostawcę usług w chmurze iNSYNQ
13. Zhakowano firmę SyTech realizującą zlecenia na potrzeby rosyjskiego FSB
14. Na Ukrainie zatrzymano osobę, która świadczyła usługi hostingu przestępcom
15. Dziennikarskie śledztwo dotyczące hostowania stron przestępców
16. Domniemany założyciel KickassTorrents walczy z ekstradycją do USA
17. Były pracownik Microsoftu aresztowany za kradzież 10 mln dolarów
18. [AUDIO] Z wizytą na przestępczym bazarze w darknecie
19. Likwidacja narkotykowych bazarów w Darknecie to niełatwe zadanie
20. Międzynarodowy diler narkotyków domniemanym twórcą bitcoina
21. Dziwaczna reklama rosyjskiego sklepu z kradzionymi kartami
22. Nie wszystkie firmy pozwalają usunąć podane im dane
23. Kontrowersyjna aplikacja do śledzenia lokalizacji użytkowników Instagrama
24. Jak zdrowotni ubezpieczyciele ułatwiają oszustom kradzieże
25. YouTube nie radzi sobie z piratami zgrywającymi z niego treści
26. W 2018 r. Microsoft ostrzegł 10 tys. klientów przed atakami rządowych hakerów
27. Dobre praktyki w identyfikowaniu i usuwaniu luk w zabezpieczeniach
28. Microsoft Office 365 zakazany w niektórych niemieckich szkołach
29. Dostawcy internetu w Kazachstanie deszyfrują ruch HTTPS
30. Wokół nieudanego wystrzelenia rakiety wynoszącej wojskowego satelitę ZEA
31. Awaria europejskiego satelitarnego systemu nawigacji Galileo

Część bardziej techniczna

1. [PL][AUDIO] Nowy odcinek podcastu „Cyber, Cyber…”
2. [PL][WIDEO] Jak przejąć serwer, usuwając plik
3. [PL] Podstawy skryptów shell
4. [PL] Łamanie haseł w chmurze AWS – 221 gigahashy na sekundę
5. Firma Oracle załatała 319 luk w swoich produktach
6. Luka typu LFD w aplikacjach tworzonych za pomocą ASP.NET
7. Podatny firmware w łańcuchu dostaw serwerów korporacyjnych
8. Odpowiedź branży przemysłowej na podatność BlueKeep
9. Exploit umożliwiający zdalne wykonanie kodu na modemach ZTE
10. Poważna podatność w systemie IGSS firmy Schneider Electric
11. Luki w oprogramowaniu Siemens TIA Administrator, SIMATIC WinCC i PCS7
12. Palo Alto GlobalProtect SSL VPN podatny na pełne przejęcie
13. Luka w panelu administracyjnym w Tesli warta 10 tys. dolarów
14. Urządzenia do znieczulania operacyjnego podatne na zdalne przejęcie
15. Podatność w urządzeniach zdalnej opieki popularnych w UK + więcej informacji
16. Podsłuchiwanie za pomocą Androida bez uzyskiwania zgody użytkownika
17. Drupal załatał podatność pozwalającą przejąć kontrolę nad stroną
18. Poważna luka w systemie rezerwacji lotów Amadeus
19. Ciekawy błąd pozwalający przejąć konto Airbnb
20. Podatność umożliwiająca przejęcie dowolnego konta na Instagramie
21. Hakowanie Tindera w wersji premium
22. Wykradanie danych z użyciem kontrolek LED umieszczonych na klawiaturze
23. Facebook dodaje do zdjęć metadane pozwalające na ich późniejsze śledzenie
24. Symantec ostrzega przed luką w Telegramie i WhatsAppie, Sekurak studzi emocje
25. Złośliwy klon Telegrama został usunięty z Google Play
26. Analiza sposobu dostarczania bankowego trojana Ursnif
27. Bankowy trojan Metamorfo ukrywa się w pliku wykonywalnym Avasta
28. Analiza kampanii dystrybuującej fałszywe antywirusy
29. Turla ukrywa szkodliwe narzędzia w programie do obchodzenia cenzury
30. Analiza kampanii dystrybuującej BitPaymera, wycelowanej w amerykańskie firmy
31. DoppelPaymer – nowe, lepsze wcielenie ransomware’u BitPaymer
32. Ofiary GandCraba dostały od FBI klucze główne do deszyfrowania plików
33. O tym, czy REvil może być nowym wcieleniem GandCraba
34. EvilGnome – oprogramowanie szpiegujące użytkowników Linuksa
35. Polimorfizm po stronie serwera i backdoory w PowerShellu
36. Shellbot i XMRig wykorzystują w procesie dystrybucji 17-letnie narzędzie
37. Analiza najnowszej aktywności irańskiej grupy APT34
38. SWEED infekuje komputery ofiar szkodnikiem o nazwie Agent Tesla
39. Grupa Ke3chang (APT15) atakuje dyplomatów
40. Lokalne władze atakowane przez globalne ugrupowania przestępcze
41. Phishing wymierzony w klientów firmy American Express
42. MyDashWallet celem ataku, hakerzy mogli uzyskać klucze prywatne użytkowników
43. Jak Google zarabia na oszustwach realizowanych przy użyciu jego platformy
44. Rozszerzenia do Chrome’a i Firefoksa ukradły historię przeglądania 4 mln osób
45. Badanie dotyczące targetowania reklam na Facebooku (PDF)
46. Śledzenie urządzeń Bluetooth z wdrożoną anonimizacją (PDF)
47. Analiza filtrowania obrazów w czasie rzeczywistym w komunikatorze WeChat
48. Wykrywaniem domen generowanych przez DGA za pomocą ALOHA
49. O makrach i zaufanych rekordach w rejestrze systemu Windows
50. Google trzykrotnie zwiększył nagrody za odkryte podatności

Dziękujemy wszystkim, którzy dzielą się z nami znalezionymi w sieci ciekawymi artykułami. Linki możecie przesyłać na adres anna (at) zaufanatrzeciastrona.pl – są szanse, że trafią do kolejnego wydania Weekendowej Lektury.