Weekendowa Lektura: odcinek 361 [2020-04-10]. Bierzcie i czytajcie

Zapraszamy do nowego, przedświątecznego wydania Weekendowej Lektury. Jak zwykle mamy dla was pokaźną garść linków do ciekawych artykułów o zagrożeniach grasujących w sieci, a czasem i poza nią. Życzymy udanej lektury.

W dzisiejszym odcinku szczególnie polecamy w części fabularnej rzut oka na kontrowersje wokół technologii używanych w walce z pandemią (pkt 4), doniesienia o tym, że Facebook próbował kupić oprogramowanie szpiegujące Pegasus (pkt 7) oraz artykuł o „przypadkowym” przechwyceniu przez Rosję ruchu do Google’a, Amazona, Cloudflare’a i innych firm (pkt 12). Z kolei w części technicznej spójrzcie na siedmiogodzinne nagranie z konferencji VirSecCon 2020 (pkt 5), badanie dotyczące tego, czy administrator G Suite może odczytywać e-maile użytkowników (pkt 14) oraz materiał o wykorzystaniu luk 0-day przez służby specjalne różnych krajów (pkt 19). Miłego klikania!

Wersja anglojęzyczna

IT Security Weekend Catch Up – April 10, 2020

Część bardziej fabularna

1. [PL] Wyciek danych osobowych z Cyfrowe.pl
2. [PL] .NET RAT pod szyldem pisma od prezesa UOKIK
3. [PL] O obowiązku udostępniania rządowi lokalizacji wszystkich telefonów
4. [PL] Technologią w epidemię. Co może pójść nie tak?
5. Polski e-Dowód bezprawnie wykorzystuje kody źródłowe OpenSC
6. Cloudflare rezygnuje z reCAPTCHA na rzecz hCaptcha
7. Producent oprogramowania Pegasus twierdzi, że Facebook chciał je kupić
8. Nagrania prywatnych rozmów prowadzonych przez Zooma wyciekły do sieci
9. Dane 600 tys. użytkowników Email.it trafiły do sprzedaży
10. Operatorzy ransomware’u ujawnili poufne dokumenty m.in. Boeinga i SpaceX
11. Giełda kryptowalut Bisq utraciła w wyniku kradzieży 250 tys. dolarów
12. Rosyjski operator przechwycił część ruchu Google’a, Amazona i innych firm
13. Badacze znaleźli podatności w samochodach Ford Focus i Volkswagen Polo

Część bardziej techniczna

1. [PL][WIDEO] Czy kody SMS są bezpieczne i jak działa 2FA/U2F
2. [PL] Blog Kacpra Szurka „O bezpieczeństwie dla wszystkich”
3. [PL][AUDIO] „Cyber, Cyber…” o bezpieczeństwie aplikacji w czasie pandemii
4. [PL] Modelowanie zagrożeń – na przykładzie aplikacji ProteGO
5. [WIDEO] Nagranie z konferencji VirSecCon 2020 (≈7h)
6. Aż 82,5% serwerów Microsoft Exchange wciąż podatnych na atak
7. Nowy wektor ataku na PowerPointa
8. Błędy typu open redirection w praktyce
9. Zdalne wykonanie kodu za pośrednictwem narzędzia HP Support Assistant
10. Wykorzystanie podatności w XPC na macOS-ie
11. Google załatał 50 podatności w Androidzie
12. Błyskawiczne odblokowanie bazy danych menedżera haseł LastPass
13. Błąd w Slacku dający dostęp do wewnętrznych serwisów przez serwer TURN
14. Czy administrator G Suite może odczytywać e-maile użytkowników
15. Jak zabezpieczyć bezserwerowe (serverless) otwarte API w chmurze AWS
16. Dark_nexus, czyli nowy botnet IoT służący do ataków DDoS
17. DarkHotel zaatakował chińskie agencje rządowe, używając luki 0-day w VPN-ie
18. Linux, Windows i Android od dekady na celowniku pięciu chińskich grup APT
19. Wykorzystanie luk 0-day przez służby specjalne różnych krajów
20. FIN6 i operatorzy trojana TrickBot połączyli siły
21. Złośliwa kryptokoparka Kinsing atakuje serwery Dockera
22. Badacze rozpracowali „nieusuwalnego” mobilnego trojana xHelper
23. Tysiące wadliwie zabezpieczonych aplikacji na Androida (PDF)
24. Błędy w iOS-ie używane do dystrybucji szpiegowskiej aplikacji LightSpy
25. Ponad 3,6 mln posiadaczy iPhone’ów pobrało aplikacje typu fleeceware
26. Phishing w czasach pandemii – większych zmian nie odnotowano
27. Raport nt. spamu i phishingu w 2019 r.
28. Czy kryptografia uchroni prywatność użytkowników aplikacji do walki z COVID-19
29. Ekspertom udało się oszukać czytniki linii papilarnych w 80% przypadków
30. Po co Microsoft wykupił domenę corp.com
31. Zbiór poradników, jak usunąć swoje konto w różnych serwisach

Dziękujemy wszystkim, którzy dzielą się z nami znalezionymi w sieci ciekawymi artykułami. Linki możecie przesyłać na adres anna (at) zaufanatrzeciastrona.pl – są szanse, że trafią do kolejnego wydania Weekendowej Lektury.