Интернет / Корпорации

Интересные выжимки из Интернета. Без категорий.

Слейте свои данные Facebook и получайте от него 20$ в месяц за это.

  • 90
  • 0
Facebook предложил пользователям $20 в месяц за получение доступа к личным данным

a242527eb7ee8e4c28102.jpg

Facebook предлагает пользователям c 13 до 35 лет вознаграждение в $20 в месяц за установку приложения Facebook Research, которое получает полный доступ к личным данным владельца смартфона. Эта практика существует с 2016 года, сообщает TechCrunch.

Facebook Research работает на iOS и Android и, по словам экспертов, получает доступ к сообщениям в соцсетях и мессенджерах, в том числе к фото и видео в них, электронным письмам, истории браузера и геолокации.

TechCrunch выяснил, что Facebook распространял это приложение в службах бета-тестирования Applause, BetaBound и uTest. Журналисты также обнаружили рекламу Facebook Research в Instagram и Snapchat.

Отмечается, что сервис похож на другого VPN-клиента Facebook — Onavo, которого Apple ранее заблокировал из-за нарушения правил сбора данных. В частности, Onavo...

Взлом вк, двухфакторная аутентификация не спасет

  • 225
  • 1
Если вы когда-нибудь оставляли свои паспортные данные в каких-нибудь крупных салонах сотовой связи и ваш мобильный оператор не очень добросовестный, то вы подвержены данному способу взлома. Скажем так, большинство сотрудников данных сетей не сильно беспокоятся о конфиденциальности данных покупателей и очень здорово торгуют этой информацией в даркнете. (Да что уж там, получить список транзакций по карте стоит всего лишь 2000 рублей...). В общем, это оказалось очень просто — найти человека, который пробьет вам паспортные данные по номеру телефона пользователя. В моем случае в базе данных крупного салона связи оказались как мои данные, так и данные моей мамы и даже бабушки. Стоимость получения данной информации как раз укладывается в ценник ~500-1000 рублей. Возможно это выглядит достаточно муторно и проблемно, но по факту это занимает не более получаса и вряд ли вас кто-то будет после искать и найдет. Способы оплаты везде разные, кто-то принимает только биткоины, кто-то не стесняется...

VMware исправила критическую уязвимость в решениях Workstation и Fusion

  • 182
  • 0
04aaa5b4609a28ec51019525eaa71219.jpg

За эксплоит для уязвимости
производитель выплатил $100 тыс.

Компания VMware исправила критическую уязвимость (CVE-2018-6983), позволявшую «гостю» инициировать запуск произвольного кода на операционных системах, запущенных в виртуальных машинах Workstation и Fusion. Процесс эксплуатации проблемы был продемонстрирован специалистом компании Qihoo 360 Тианвеном Тангом в рамках соревнования Tianfu Cup. За свои труды эксперт получил вознаграждение в $100 тыс.

CVE-2018-6983 представляет собой уязвимость целочисленного переполнения и затрагивает версии Workstation 14.x и 15.x (работающие на любой платформе), а также версии Fusion 10.x и 11.x (работающие в среде macOS). 22 ноября производитель выпустил патчи, устраняющие уязвимость.

Кроме прочего, в рамках соревнования Tianfu Cup эксперты Qihoo 360...

CVSS назвали неэффективной для оценки уязвимостей АСУ ТП

  • 67
  • 0
5d5c218f6c6d0f8ebb16ce9affd79109.jpg

Из-за низкой оценки CVSS пользователи могут
проигнорировать опасные уязвимости.

Общая система оценки уязвимости (Common Vulnerability Scoring System, CVSS) широко используется для классификации уязвимостей по шкале критичности, однако в случае с промышленными системами автоматизации оценки нередко не соответствуют реальной степени опасности проблемы, что может повлечь за собой негативные последствия для предприятий, особенно если они определяют приоритетность патчей исключительно на основании баллов CVSS.

Общая система оценки уязвимостей (CVSS) – открытая схема, которая позволяет обмениваться информацией об IT-уязвимостях. Применение CVSS для оценки уязвимостей закреплено в различных стандартах, в том числе в PCI DSS. Шкала представляет собой число (оценку) в интервале от 0 до 10, отражающее степень опасности - низкая (0,1 - 3,9), средняя (4 - 6,9), высокая (7 - 8,9) и критическая (9 - 10). Для оценки уязвимости...

Приглашаем на вебинар "Как правильно выбрать сетевые решения для защиты от угроз нулевого дня:от простого к сложному"

  • 74
  • 0
42c84a3343ff54c4453dbe9bdb7b9469.png


Ущерб от атак вымогателей в 2019
году составит $11,5 млрд.

Ущерб от атак вымогателей в 2019 году составит $11,5 млрд.[1] К этому времени предприятия будут атаковать каждые 14 секунд. В современном цифровом мире очень важно иметь надёжную и эффективную систему защиты от угроз. Под удар попадают даже те компании, в которых, казалось бы, всё продумано до мелочей. Почему же случаи взлома столь успешны?

Приглашаем вас на вебинар "Как правильно выбрать сетевые решения для защиты от угроз нулевого дня:от простого к сложному". На вебинаре мы расскажем как быть на шаг впереди взломщиков и объясним как правильно выбрать эффективное средство противодействия возможным атакам.
Вебинар будет полезен руководителям и специалистам служб IT и информационной безопасности.

Подробная информация и регистрация доступны по ссылке....

Как скачать данные, которые ВКонтакте знает о вас

  • 154
  • 0
1542674764390.png
Новой функцией социальной сети «ВКонтакте» должны
воспользоваться все, кто беспокоится о своей конфиденциальной информации

«ВКонтакте» запустила в тестовом режиме функцию выгрузки всех данных о пользователе, которые собирает социальная сеть. Благодаря этому нововведению, любой зарегистрированный во «ВКонтакте» человек может запросто узнать ту информацию о себе, которая доступна сервису. В этой статье мы расскажем, как выгрузить данные своего аккаунта, какую информацию «ВКонтакте» собирает о людях и как её использует. Данный топик написан по материалам развёрнутой статьи на специальной странице в социальной сети, посвящённой описанию принципов работы с конфиденциальными и открытыми данными пользователей — в нашей статье написано коротко о главном, без «воды» и «красивых» слов от разработчиков сервиса.

Какие данные «ВКонтакте»...

Microsoft обвинили в тайном сборе персональных данных пользователей Office

  • 117
  • 0
a904f749a3b0a143824249241fb59cc3.jpg
Механизм сбора телеметрии, используемый компанией,
нарушает нормы GDPR, считают нидерландские власти.

Microsoft скрыто собирает персональные данные пользователей корпоративной версии пакета Office ProPlus, тем самым нарушая требования Общего регламента по защите данных (GDPR). Согласно результатам исследования, проведенного специалистами компании Privacy Company по заказу Министерства безопасности и правосудия Нидерландов (Ministerie van Justitie en Veiligheid; JenV), через встроенный в Office механизм компания собирает большие объемы данных об индивидуальном использовании Word, Excel, PowerPoint и Outlook без надлежащего уведомления.

При этом, отмечается в отчете, Microsoft не предоставляет возможность контролировать объем собираемых данных, отключить телеметрию или узнать, какую именно...

Google откроет регистрацию в доменной зоне .dev

  • 80
  • 0
c973a6d6524459f6b828c01e4c7bc054.png
В 2015 году компания приобрела право на
домен верхнего уровня .dev, чем вызвала негодование у разработчиков.

В начале следующего года откроется регистрация в доменной зоне .dev. Об этом сообщили представители компании Google на саммите разработчиков Chrome Dev Summit 2018, проходившем 12-13 ноября в Сан-Франциско.

В 2015 году Google получила право собственности на домен верхнего уровня .dev, чем вызвала негодование среди разработчиков, использовавших его для сайтов, где проводили внутреннее тестирование своих продуктов. Однако теперь компания, похоже, готова поделиться с общественностью доменом, до недавнего времени принадлежавшим только ей.

16 января 2019 года начнется прием заявок от владельцев торговых марок на регистрацию доменных имен, который продлится до 19 февраля. Безусловно, регистрируемое доменное имя должно соответствовать торговой марке в целях...

Windows Defender + Sandbox на максималках

  • 78
  • 0
gdpr-style-frame-01.png

Защитник Windows - это антивирус, который Microsoft поставляет с Windows 10. Это вызывает проблемы для некоторых пользователей, но в целом, если вы не используете антивирус, Защитник Windows будет держать вас в безопасности. Microsoft вносит изменения в него, чтобы идти в ногу с новыми угрозами. Вы получаете регулярные обновления определения вирусов, поставляемые с помощью обновлений Windows. Microsoft добавила новый режим песочницы для Защитника Windows. Этот режим песочницы пока не включен для пользователей. Это незавершенная еще функция, но если вы захотите, вы можете включить его на стабильной версии Windows 10.

В настоящее время нет никаких других антивирусных приложений, которые могут работать в режиме песочницы. Песочница в основном позволяет приложению запускаться в своей собственной среде, которая блокируется от всего остального. Другие приложения не могут получить к нему доступ, если это не позволяет использовать...

Microsoft выпускает первый платный дистрибутив Linux для Windows 10

  • 128
  • 0
Он стоит 20 долларов
Компания Microsoft анонсировала два новых дистрибутива Windows 10 Subsystem for Linux (WSL), включая первый платный дистрибутив Linux под названием WLinux. Это дистрибутив на базе Debian, доступный в Microsoft Store за 20 долларов. Кроме того, разработчик ОС анонсировал дистрибутив Ubuntu 18.04, который также будет доступен в Microsoft Store.
windows-10_large.jpg

WSL позволяет запускать различные дистрибутивы GNU/Linux внутри операционной системы Windows 10 в виде приложений, предлагая доступ к Ubuntu, openSUSE, Debian, Kali Linux и другим.

«WLinux — собственный дистрибутив Linux, созданный из Debian специально для использования в WSL, — говорится в сообщении компании. — Хотя для WSL доступны и другие дистрибутивы, WLinux — первый, оптимизированный для использования пользователями WSL».​

Что касается Ubuntu 18.04, этот дистрибутив может быть запущен на ARM-системах с Windows 10. При загрузке из...

Google представила reCAPTCHA v3 для защиты от ботов

  • 151
  • 0
1540938811018.png


Google рассказала в блоге о новом API reCAPTCHA v3, который поможет владельцам сайтов защититься от ботов. Система оценивает ключевые действия пользователя по шкале от 0.0 до 1.0 (низшая оценка означает бота, а высшая — человека). Администратор может настроить поведение сервиса: при какой оценке скрытая «капча» будет считаться пройденной, а какая потребует от пользователя пройти её явно.

Специалисты Google рекомендуют добавить его на несколько страниц сайта. Это поможет собрать больше данных о пользователе и добиться более точной оценки его «человечности».


Концепция «Actions»
Разработчики Google опирались в reCAPTCHA v3 на концепцию «Actions» — «Действия». Она определяет, какие цепочки действий посетителя выдают в нём человека, а какие — бота. Подробная статистика...

В РФ предложили ввести штрафы для соцсетей за неудаление запрещенного контента

  • 160
  • 0
9d49e3cc440b9da0dc505a3a023d3b60.jpg

Лига безопасного интернета предложила ввести
ответственность для соцсетей и поисковиков за запрещенный контент.

За неприменение мер по выявлению и прекращению распространения запрещенной информации для интернет-сервисов следует ввести штрафы. Такое предложение содержится в сообщении, полученном РБК от Лиги безопасного интернета.

В понедельник, 22 октября, Лига безопасного интернета отправила свое предложение в администрацию президента, Генпрокуратуру, Следственный комитет, МВД, Минкомсвязи, Госдуму РФ, Совфед и другие органы исполнительной власти. По словам руководителя организации Екатерины Мизулиной, под запрещенной информацией лига подразумевает информацию, запрещенную к распространению на территории РФ согласно действующему законодательству. К таковой в частности относится детская порнография, а также пропаганда наркотиков, самоубийств, скулшутинга и пр.

По мнению лиги, ответственность в виде штрафов...

Intel Core i9-9900K будет поставляться в необычной коробке

  • 292
  • 0
Корпорация Intel всегда славилась консервативным подходом к визуальному оформлению своих продуктов. До недавнего времени их центральные процессоры, от моделей начального уровня Celeron до топовых Intel Core i7 и Core i9, поставлялись в однообразных прямоугольных коробках, а цветовая гамма и дизайн отличались только в рамках разных поколений.

123085-intel-core-i9-9900k-box-1.jpg

С другой стороны, компания AMD для своих HEDT-процессоров Ryzen Threadripper уже второй год подряд не скупится на творческое оформление такой, казалось бы тривиальной вещи, как упаковочная коробка. При взгляде на упаковку Ryzen Threadripper как первого, так и второго поколений, сразу становится ясно, что перед вами незаурядный товар.

123085-intel-core-i9-9900k-box-2.jpg

Что касается технических характеристик, то Intel Core i9-9900K будет оперировать восемью физическими ядрами с поддержкой технологии многопоточности и функционировать на частоте от 3,6 ГГц до 5 ГГц. Как и остальные модели...

Атака KRACK на WPA2 вернулась в обновленном виде

  • 202
  • 0
b7d9db42ccd4df9a46205c7588b08790.jpg
Исследователи представили новый вариант
атаки реинсталляции ключей на протокол WPA2.

Бельгийский исследователь безопасности Мэти Ванхоф (Mathy Vanhoef), год назад явивший миру атаку реинсталляции ключей (Key Reinstallation Attack, KRACK), теперь представил ее новый вариант.

KRACK представляет собой атаку на протокол WPA2, а значит, под угрозой находятся все его реализации. Атакующий может обмануть используемое WPA2 «четырехстороннее рукопожатие» (four-way handshake) и заставить жертву повторно использовать случайный код, предназначенный только для одноразового использования. В результате злоумышленник способен перехватить трафик и получить доступ к информации, ранее считавшейся надежно зашифрованной.

Вендоры были вынуждены в срочном порядке исправлять уязвимость, однако спустя год Ванхоф вместе со своим коллегой Фрэнком Пиессенсом (Frank Piessens)...

За раздачу файлов через BitTorrent будут давать токены Tron

  • 342
  • 0
keep-seeding-1100x619.jpg
Похоже, покупка BitTorrent не прошла даром для организации Tron Foundation.
После очередного обновления p2p-клиента пользователи торрента смогут получать крипту за раздачу файлов.
Об этом пишет Ethereum World News.


Как легко заработать криптовалюту
Распространение файлов через BitTorrent раньше было полностью бесплатным. Сиды раздавали уже скачанные данные, а другие пользователи могли их скачать. При этом без достаточной мотивации сиду незачем было оставлять свой файл на раздаче.

Решение стимулировать этот процесс токенами TRX возникло после анонса Project Atlas. Напомним, этот проект был отмечен в роадмапе Tron как интеграция криптовалюты с BitTorrent. С помощью крипты CEO Tron Джастин Сан собирается добиться революции в индустрии распространения контента.

Project...

Как пользователь Habr`a взломал Steam

  • 313
  • 0


1. SQL Injection

Сервис partner.steampowered.com предназначен для получения финансовой информации партнеров Steam. На странице отчётов о продажах рисуется график с кнопками, которые меняют период отображения статистики. Вот они в зелёненьком прямоугольнике:



Запрос загрузки статистики выглядит вот так:


где «UA» — это код страны.

Ну что ж, пришло время кавычек!
Давайте пробуем «UA'»:



Статистика НЕ вернулась, чего и следовало ожидать.

Теперь «UA''»:



Статистика снова вернулась и это похоже на инъекцию...

Запущена первая в мире сеть 5G

  • 180
  • 1
В тот момент, которого ждали пользователи мобильной связи, наконец-то, настал. Сегодня один из мобильных операторов США, Verizon, официально запустил первую в мире сеть 5G. Пока что мобильная связь пятого поколения доступна в некоторых районах американских городов, таких как Хьюстон, Индианаполис, Лос-Анджелес и Сакраменто.
Хотя первые смартфоны с поддержкой 5G (как и модуль Moto Mod с поддержкой 5G) должны выйти только через нескольких месяцев, это, безусловно, важный момент для американского оператора мобильной связи Verizon, который, запустив первую коммерческую 5G-сеть, не только сумел превзойти своих конкурентов в США, но и всех интернет провайдеров по всему миру.

1.jpg

Разумеется, для достижения полного потенциала 5G потребуются многие годы, которые уйдут как на повышение скорости сети, так и ее охвата. В настоящее время Verizon может обеспечить скорость домашней сети 5G Home около 300 Мбит/с, при этом предлагая несколько эксклюзивных...

Мобильные сайты без разрешения получают доступ к датчикам смартфона

  • 157
  • 0
79f8602013a1f9c416eb2a4424cc723f.jpg
Более 3,5 тыс. сайтов из рейтинга Top 100 тыс. Alexa содержат скрипты,
получающие доступ к одному или нескольким датчикам в мобильном устройстве.

Как правило, приложения запрашивают разрешение на доступ к датчикам телефона (датчик движения, освещенности и т.д.), однако эта норма не распространяется на web-сайты, загружаемые в мобильных браузерах,выяснилакоманда исследователей из ряда американских университетов. Мобильные сайты часто получают доступ к различным датчикам в смартфоне или планшете без всяких уведомлений и разрешений.

По данным специалистов, более 3,5 тыс. сайтов, входящих в рейтинг Top 100 тыс. Alexa, содержат скрипты, получающие доступ к одному или нескольким датчикам в мобильном устройстве, причем в связи с отсутствием механизма уведомления и запроса разрешения подобная активность остается незаметной для пользователей.

Самого по себе несанкционированного доступа...

AMD заявляет, что она будет первой среди PCIe 4.0

  • 170
  • 1
1537917098034.png

AMD только что подтвердила слухи о том, что они относятся к одному из первых производителей, которые используют PCIe 4.0 для своих материнских плат. Это необходимо для поддержки дополнительной полосы пропускания, которую потребуют новые графические карты AMD Radeon Vega 20, которые выйдут на рынок к концу 2018 года.

Новые графические карты AMD Radeon Vega 20, принадлежащие к серии Radeon Instinct, нуждаются в пропускной способности в материнских плат, которые далеки от того, что может обеспечить текущий PCIe 3.0.

Графические карты настольного сегмента не имеют проблем с полосой пропускания с этим стандартом. Но принятие нового стандарта, который удваивает доступную полосу пропускания до 16 GT/s с нынешних 8 GT/s , может представлять собой скачок пропускной способности на материнских платах, что позволяет выполнять те действия, которые в настоящее время невозможны.

Одним из преимуществ большей пропускной способности, которую позволит...

В CDN Cloudflare внедрена поддержка ESNI для шифрования имени хоста в HTTPS-трафике

  • 136
  • 0
0_1537853995.png

Компания Cloudflare сообщила о реализации в своей сети доставки контента поддержки TLS-расширения ESNI (Encrypted Server Name Indication), обеспечивающего шифрование данных о хосте, запрашиваемом в рамках HTTPS-соединения.

До сих пор для организации работы на одном IP-адресе нескольких HTTPS-сайтов применялось расширение SNI, осуществляющее передачу имени хоста в открытом виде в сообщении ClientHello, передаваемом до установки шифрованного канала связи. Подобная особенность даёт возможность на стороне интернет-провайдера или владельца точки беспроводного доступа выборочно фильтровать HTTPS-трафик и анализировать какие сайты открывает пользователь, что не позволяет...
Сверху