🤦🏻‍♂️ Житель Нью-Джерси отсидел 10 дней в тюрьме из-за ошибки в системе распознавания лиц.

Всё дело в том, что система «спутала» лицо преступника, который совершил кражу из сувенирного магазина отеля (а затем скрылся на Dodge Challenger и протаранил патрульную машину), с лицом безобидного Нжира Паркса, который никогда даже не бывал в городе, где было совершено преступление. Но копам было всё равно (систему ведь не обманешь), они упекли бедолагу в тюрьму. Освободить Нжира удалось только спустя 10 дней силами правозащитников и адвоката (на которого он, кстати, потратил несколько тысяч долларов).

В России, кстати, тоже были подобные прецеденты. Например, в ноябре этого года система распознавания лиц «Ашана» дала сбой и чуть не «посадила» невинного на 8 лет.

Охранники магазина незаконно задержали его на два часа, после чего передали полицейским, которые угрожали ему обыском дома и 8 годами тюрьмы. Причину задержания пострадавшему раскрыли спустя пять часов и только после приезда адвоката.

🧐 Страшно представить, что может сделать потенциальный хакер, получивший доступ к такой системе. А ведь такие взломы, к сожалению, в будущем будут
- это факт.

💰 Американская хостинговая компания GoDaddy решила «порадовать» своих сотрудников и разослала на их почты информацию о Рождественской премии в размере 650 долларов. В письмах сотрудников просили ответить о своем местонахождении и другой информацией для получения платежей. Счастливые сотрудники заполнили и стали ждать свои премии. Но через несколько дней вместо выплат получили письма «о провале недавнего теста на фишинг»...

👀 Оказалось, так компания решила проверить своих сотрудников на знания по кибербезопасности. На удочку попалось 500 сотрудников
- их отправили на дополнительные курсы по безопасности.

История получилась довольно резонансной: некоторые пользователи стали отказываться от услуг хостинг-провайдера, а самой компании пришлось извиняться перед сотрудниками за столь неэтичную проверку во время кризиса.

Пранк смешной, а ситуация страшная.

​​💾 Как АНБ и ЦРУ используют дата-центры и облака.

Агентство национальной безопасности США (АНБ)
- технологически очень продвинутая организация. Это неудивительно, учитывая масштабы данных, которые приходится обрабатывать. Петабайты перехваченного интернет-трафика и телефонных разговоров, миллиарды текстовых сообщений из мессенджеров и сотовых сетей
- ежедневно. Всё это нужно распознать, классифицировать, индексировать для мгновенного поиска по ключевым словам, выстроить социальный граф и так далее.

Давайте тезисно разберемся какие мощности там используются.

🏢 Дата-центры и их масштабы.

➡️ Главный дата-центр АНБ в штате Юта под кодовым названием Bumblehive (Шмель) введён в строй в 2013 г. Ориентировочная стоимость строительства оценивается в $1,5 млрд.

➡️ Объём хранилища Шмеля в 2013 году оценивали в 5 зеттабайт (5×10²¹) (для сравнения, в 2020 году мировой объём IP-трафика оценивается примерно в 250 эксабайт в месяц, то есть примерно 3 зеттабайта в год). Поэтому наверняка сегодня АНБ уже обновила дисковые накопители, чтобы обрабатывать современный объем информации.

➡️ Площадь всех административных и технических зданий этого дата-центра 83 613 м²: помещения для серверов, офис для персонала, генераторы резервного питания, холодильники и теплообменники, электрическая подстанция, отдел охраны и др.

➡️ Место в Юте выбрано не случайно. Все крупнейшие американские ЦОД (Microsoft, Google, Apple и т.д.) располагаются у 41-й параллели северной широты. Именно по этой широте сейчас располагаются оптические каналы связи.

➡️ Другие дата-центры АНБ не такие впечатляющие. Однако, как выяснилось из документов Сноудена, у АНБ есть небольшой ЦОД даже в Великобритании
- Menwith Hill Station. ОН построен с 2009 по 2012 годы и занимается хранением и обработкой более 300 млн телефонных звонков и электронных сообщений в сутки. Данные нужны в реальном времени для операций по захвату и уничтожению террористов, которые ЦРУ проводит по всему миру.

➡️ После утечки данных от Сноудена стало понятно, что АНБ занимается массовой слежкой и собирает данные на всех граждан ДО совершения преступлений, а не на конкретных подозреваемых ПОСЛЕ преступления. Видимо, второй подход считают устаревшим и не таким эффективным.

☁️ Что сегодня? Переход АНБ на облачные сервисы.

➡️ Дата-центр в Юте стал последним крупным проектом по строительству инфраструктуры для американских спецслужб. Как и многие другие заказчики, они посчитали более выгодным арендовать мощности облачных провайдеров, а не заниматься техническим обслуживанием собственных дата-центров.

➡️ Commercial Cloud Enterprise. В ноябре 2020 года стало известно, что ЦРУ заключило «мультиоблачный» контракт Commercial Cloud Enterprise (C2E) сразу с пятью облачными провайдерами: Amazon Web Services, Microsoft, Google, Oracle и IBM, в то время как с 2013 года она эксклюзивно пользовалась только AWS по десятилетнему контракту на $600 млн на 2013-2023 годы.

➡️ Community GovCloud. По примеру других разведывательных агентств, к 2018 году АНБ тоже перенесло бóльшую часть своих данных в облако. Но совсем другое облако
- это Intelligence Community GovCloud, которое работает на инфраструктуре АНБ (on-premise), на стандартном железе, но с использованием множества уникальных наработок АНБ по аппаратной и программной части. Commercial Cloud Enterprise и Intelligence Community GovCloud
- в каком-то смысле два «конкурента». Каждое из 16-ти агентств, которые входят в Разведывательное сообщество, может выбрать C2E или GovCloud.

🇷🇺 Как у нас?

➡️ В РФ пока настолько развитой инфраструктуры нет. Юридическую базу к созданию чего-то подобного подвели. Осталось закупить железо и решить откуда брать ПО, ведь его нам точно никто не продаст.

➡️ К тому же, в ноябре 2020-го стало известно, что МВД подготовило план цифровой трансформации стоимостью 55 млрд руб. Он подразумевает наращивание IT-инфраструктуры, которая позволит с помощью искусственного интеллекта (ИИ) искать серийных убийц и подозреваемых по биоматериалам с места преступления.

​​Читать далее

Чем и занялись специалисты издания Anti-Malware и собрали ТОП-10 случаев крупнейших утечек информации в России. Правда рейтинг включил в себя утечки не за один год, а за последние два, но от этого он не стал менее интересным. Итак, ТОП-10 утечек данных в России, причинивших наибольший ущерб:

10 место. Утечка данных о пациентах, переболевших коронавирусом, 100 тыс. записей.

Размер «слитого» архива
- примерно 1 ГБ, он содержит 362 файла различных форматов. В файлах записано более 100 тыс. строк, которые включают в себя Ф. И. О., номера полисов ОМС, контактные телефоны и другие сведения.

9 место. Утечка данных сотрудников ОАО «РЖД», 700 тыс. записей.

Записи содержали номера телефонов, должности, Ф. И. О., даты рождения, СНИЛС и адреса работников. В дополнение ко всему в свободном доступе также оказались фотографии сотрудников.

8 место. Утечка данных клиентов «Альфа-банка», ОТП и ХКФ, 900 тыс. записей.

Первая БД состояла из информации о 55 тыс. клиентов и содержала в себе Ф. И. О., контактные номера телефонов, а также домашние и рабочие адреса. В одном архиве с этой БД содержались базы банков ХКФ и ОТП. Первая насчитывает 24,4 тыс. клиентов, состоит из паспортных данных, Ф. И. О. и контактных телефонов. Вторая
- банка ОТП
- охватывает 800 тыс. человек и содержит номера контактных телефонов, почтовые адреса, Ф. И. О., одобренные лимиты, а также некоторые заметки о контакте с клиентом.

7 место. Утечка базы данных московских автомобилистов, 1 млн записей.

В начале августа 2020 года злоумышленниками была выставлена на продажу БД, в которой содержалось около 1 млн записей с данными автомобилистов, а именно Ф. И. О. автовладельцев Москвы и Московской области и их номера телефонов, а также марки, модели, годы выпуска, регистрационные номера, VIN и регионы регистрации автомобилей. Ко всему прочему личные данные были дополнены серией и номером ПТС и СТС.

6 место. Паспортные данные проголосовавших за поправки в Конституцию, 1,1 млн записей.

Публикация о базе, содержащей паспортные данные около 1,1 млн избирателей, появилась на одном из хакерских форумов. Продавец оценил информацию в 1 доллар США за строку оптом и 1,5 доллара
- в розницу. Злоумышленник, используя номера и серии паспортов, предлагает покупателям собрать базы под их нужды, добавив данные о кредитной истории или, например, СНИЛС и ИНН.

5 место. Утечка данных участников программы «РЖД Бонус», 1,36 млн записей.

В базе находится информация о более чем 1,36 млн учётных записей программы «РЖД Бонус», включая даты регистрации, параметры авторизации, электронные адреса и даже логины и хешированные пароли. Также присутствуют Ф. И. О. клиентов, IP-адреса и иные сведения об их устройствах, полученные в период с начала августа по октябрь текущего года.

4 место. Утечка базы данных клиентов «Билайн», 2 млн записей.

Как утверждают злоумышленники, база включает в себя около 8 млн записей, связанных с абонентами, использующих интернет от «Билайна». БД содержит информацию о клиентах: номера договоров, Ф. И. О., домашние и рабочие адреса, контактные телефоны.

🥉3 место. Утечка данных учеников и сотрудников языковой школы SkyEng, 5 млн записей.

База содержит данные клиентов сервиса, включая телефоны, электронную почту и логин в Skype, а также 270 тыс. записей о пользователях из России
- учителях, учениках и сотрудниках компании.

🥈2 место. Утечка данных клиентов Сбербанка, 60 млн записей.

На данный момент эта утечка считается крупнейшей в российском банковском секторе. База, содержащая информацию о десятках миллионов держателей кредитных карт, оказалась в продаже в сети «Интернет». Содержание базы включает уникальные идентификаторы держателей карт, такие как паспортные данные и Ф. И. О., а также сведения о лимитах карт и операциях по ним.

🥇1 место. Утечка данных с сервера ОФД «Дримкас», 90 млн записей.

В общей сложности более 90 млн записей с данными различного рода о юридических и физических лицах оказались в Сети.

Вам на почту приходит письмо примерно такого содержания: «Мы знаем пароль от вашего email-аккаунта, срочно переведите деньги на этот кошелек или будет плохо». В доказательство высылают кусок пароля вроде supersecurity***. И часто оказывается, что этот пароль действительно принадлежит вам. О том, как мошенники добывают пароли и как правильно поступить в такой ситуации, читайте на канале @searchinform. Кстати, рекомендуем на них подписаться – https://t.me/searchinform. Там полно интересных жизненных постов про цифровую безопасность компаний и интернет-пользователей. Даже если вы не связаны с инфобезом по работе, то неплохо «прокачаете» свою паранойю и будете бережнее относиться к собственным данным.

💻 Удалёнка с нами надолго: офисные работники уже обустроили себе удобные рабочие места дома, школьники привыкли усваивать новый материал онлайн, а студентам придётся сдавать сессии на онлайн-рандеву с преподавателями. И как оказалось, с последним есть проблемы.

Оказывается студенты используют дипфейки, чтобы облегчить себе жизнь. Именно поэтому Минцифры предложило использовать биометрию на онлайн-экзаменах в вузах и разработало проект постановления правительства, в котором предлагает использовать Единую биометрическую систему (ЕБС) на дистанционной сессии.

Работать это должно так: перед началом экзамена учащимся предложат произнести случайно сгенерированную последовательность цифр, что позволит системе сопоставить голос учащегося и его лицо. Так ЕБС удостоверится, что перед ней реальный человек, а не фото или дипфейк.

👥 В Минобрнауки рассказали, что биометрическая идентификация
- только одна из технологий, которую могут использовать при идентификации во время сессии. Также с помощью этой системы будет возможно вести слежку за зрачками глаз.

Решение об использовании этой системы будет принимать руководство учебного заведения. И если вуз всё-таки решит принимать экзамены с ЕБС, то студентам придётся сходить в отделение банка, где проводят регистрацию биометрии, и сделать запись образца голоса и фото. Данная система будет работать только для граждан РФ
- для иностранных студентов она будет недоступна.

2020-й
- год, когда мамина подруга может похвалиться, какой дипфейк создал её сын.

К такому выводу пришли аналитики компании Varonis, проанализировавшие 4 млрд. файлов в 56 финансовых организациях по всему миру (банки, страхование, инвестиции) на базе случайной выборки результатов аудита киберрисков (Data Risk Assessment).

Основные результаты исследования такие:

🔸 В среднем сотрудник финансовой организации имеет доступ к 13% всех данных, хранящихся в компании. Даже сотрудники небольших организаций имеют неограниченную свободу просмотра, копирования, перемещения, изменения и удаления данных для более чем полумиллиона файлов
- включая почти 20% всех файлов, содержащих конфиденциальные данные о сотрудниках и клиентах. В крупнейших финансовых организациях более 20 миллионов файлов доступны любому сотруднику.

🔸 Финансовые институты в среднем имеют около 20 000 открытых для всех сотрудников папок. IT-специалистам требуется около 6-8 часов на одну папку, чтобы найти и вручную удалить глобальный доступ, это означает, что ручное исправление уровней доступа потребует более 15 лет.

🔸 На обнаружение и предотвращение утечки данных у финансовых организаций уходит около 233 дней
- среднее время решения проблемы в отрасли составляет восемь месяцев. Это достаточный срок для нанесения серьезного ущерба репутации, доходам и доверию клиентов.

🔸 Более 64% компаний, оказывающих финансовые услуги, имеют свыше 1000 конфиденциальных файлов, открытых каждому сотруднику. Еще 70% всех конфиденциальных данных являются устаревшими (то есть хранятся сверх установленного срока).

🔸 В финансовых организациях остро стоит проблема с паролями: 60% компаний имеют более 500 паролей, срок действия которых никогда не истекает, а почти 40% имеют более 10 000 «фантомных» учетных записей (ghost users). Их наличие наряду с привилегированными пользователями с бессрочными паролями дает хакерам лазейку для незаметной кражи данных или нарушения работы компании.

📱 Звуки набора текста на смартфоне
- неоднозначная функция, без которой кто-то не может обходиться, а кто-то вообще не видит в ней смысла. Так вот, для тех, у кого звуки набора включены, есть две новости
- плохая и хорошая.

Начну по порядку.

Плохая:

Специалисты Кембриджского университета провели исследование из которого сделали выводы, что смарт-колонки наподобие Google Home и Яндекс-станции могут использоваться хакерами для похищения PIN-кодов или паролей, набираемых на экране находящихся поблизости мобильных устройств. С помощью голосового помощника злоумышленники могут записать звуки, издаваемые мобильным устройством, когда пользователь вводит пароль, и по этим звукам определить набираемые символы.

Специалисты сконструировали собственную версию смарт-колонки, наподобие тех, которые можно купить сегодня, и проанализировали звуки и вибрации, издаваемые смартфоном при наборе PIN-кода на экране. Когда смартфон был расположен на расстоянии 20 сантиметров от смарт-колонки, компьютеру удалось угадать код с точностью 76% с трех попыток. Чем дальше находился смартфон от колонки, тем меньше была точность. На расстоянии 50 сантиметров точность достигала только 20%.

Следовательно, чисто теоретически, злоумышленники при желании могут через сервер получить аудиозаписи с колонки и распознать пароль или PIN-код вашего смартфона.

Хорошая:

По мнению специалистов, сложность в проведении атаки намного превышает возможную выгоду, и киберпреступники вряд ли будут осуществлять ее на практике. По-этому можете продолжать набирать текст со звуком, но на всякий случай подальше от смарт-колонки 😏.

📎 Оригинал исследования: https://arxiv.org/pdf/
2012.
00687.pdf

Речь про 362 файла (Word, Excel, JPG) суммарным размером почти на 1 гб (940 мб).

📝 В некоторых файлах находится более 100 тыс. записей, содержащих: ФИО, даты рождения, адреса проживания, телефоны, номера паспортов и т.п.

Кроме архива с файлами, слиты ссылки на Google Docs и закрытые Telegram-чаты больниц и поликлиник.

В мэрии об утечке уже знают: чаты в Telegram оперативно удаляются. А вот с документами сложнее 
- хранившиеся в гугл-таблицах списки больных уже скачаны всеми желающими.

Присоединяйся @w2hackЧат https://t.me/joinchat/CkZnXBRdlNpbuJ9SZt3bAAОбменник @w2h_storage

🔑 Эксперты проанализировали 15 миллиардов паролей от скомпрометированных учёток и назвали самые популярные слова, использующиеся в них. Они забавные, но вполне ожидаемые.

Согласно отчёту CyberNews, только 2 миллиарда изученных паролей уникальны. Большинство используют короткие (менее 8 символов) и лёгкие пароли.

Что касается рейтинга самых используемых слов, то он такой: 🥇 «ass» встретилось в 26,8 млн паролей;
🥈 «sex»
- в 5,1 млн;
🥉 «fuck»
- в 4,8 млн.

Самым популярным годом, фигурировавшим паролях, стал 2010-й (10 млн), за ним следуют 1987 (8,4 млн) и 1991 (8,3 млн).

Наиболее распространённым именем стало Eva (7 млн), потом шли Alex (7 млн), Anna (6,5 млн) и Max (5,6 млн).

Кстати, помимо этого, ребята из CyberNews намекнули, что если у вас когда-либо происходили утечки данных, то ваш пароль, скорее всего, уже есть в их 15-ти миллиардной базе.

Берегите пароль смолоду!

🧔🏻 В 2021 году москвичи смогут оплачивать проезд лицом (Face ID).

В настоящее время система тестируется в мэрии. Однако просто так внедрить эту технологию нельзя
- Face ID разработка Apple. Сейчас мэрия ждёт разрешения «яблочной» корпорации, которое позволит добавить карту «Тройка».

Если власти Москвы и Apple придут к соглашению, москвичи смогут оплачивать проезд в транспорте своим смартфоном, предусматривающим аутентификацию с помощью лица.

📝 По словам заммэра столицы Максима Ликсутова, Apple уже выдвинула ряд требований, которые руководство Москвы пытается выполнить. Власти надеются, что «Тройку» можно будет занести в iPhone и использовать уже само мобильное устройство для оплаты проезда.

Кстати, с Андроидом всё это уже работает. А вот когда заработает с Эпл пока неизвестно. Мэрия заверила, что очень старается наладить работу системы
- всё зависит от Apple.

Этот инструмент поставляет израильская компания Circles, тесно связанная со знаменитым стартапом NSO Group, специализирующимся на шпионских программах для Andoird и iOS.

🗺 Разработку Circles можно найти в 25 странах: Австралия, Бельгия, Ботсвана, Чили, Дания, Эквадор, Сальвадор, Эстония, Экваториальная Гвинея, Гватемала, Гондурас, Индонезия, Израиль, Кения, Малайзия, Мексика, Марокко, Нигерия, Перу, Сербия, Таиланд, Объединенные Арабские Эмираты (ОАЭ), Вьетнам, Замбия и Зимбабве.

Шпионский инструмент работает на основе Системы Сигнализации № 7 (Signaling System 7, или SS7), т.е. набора сетевых протоколов. С помощью неё злоумышленник может отправить специальные команды «домашней сети» абонента, на что та выдаст ему местоположение пользователя за счёт ближайшей вышки сотовой связи. Также с помощью SS7 можно перехватывать звонки и текстовые сообщения потенциальных жертв.

➕ Эксперты выделили только один плюс этой системы для общества
- с её помощью можно быстро выходить на реальных преступников.

​​📊 Названы российские приложения, которые собирают и обрабатывают больше всего пользовательских данных.

Исследование провело агентство «TelecomDaily». Аналитики проанализировали топ-100 мобильных приложений для Android и iOS по 30 категориям данных (имя, электронный адрес, номера мобильных телефонов, возраст, пол, семейное положение, образование и работа, родственники, интересы, текущее местоположение, данные устройства и др.). Для изучения приложения устанавливались на смартфоны, анализировались их политики конфиденциальности, собираемые данные об устройстве и сети оценивались на основе публичных сервисов AppCensus, AppSearch и Exodus Privacy. Сбор данных по всем 30 категориям принимался за 100%.

Лидерами оказались приложения «Вконтакте», «Госуслуги» и «Одноклассники».

💬 «ВКонтакте» объясняют, что при регистрации предлагается много полей для заполнения, но пользователь сам выбирает, какие данные указывать, а какие нет. «Благодаря широким настройкам приватности, каждый может сам выбирать, какой информацией делиться и с кем. Например, если пользователь разрешил доступ к местоположению, мы можем подсказать интересные прямые трансляции из его города или мероприятия поблизости, а если сделал публичной дату рождения
- напомним друзьям поздравить с праздником»,
- объяснил представитель компании.

💬 Представитель «Одноклассников» также говорит, что большинство данных было получено путем публичных действий самих пользователей.

🔙 О том, как обстоят дела со сбором данных приложениями за бугром, я писал еще месяц назад. Если интересно, можете почитать: https://t.me/mediainsider/977 (cпойлер: там лидер Facebook).