Интересно «IT гик» — Главные новости из мира IT-индустрии

[DOMINUS]

Сотрудники Facebook неоднократно использовали служебное положение для отслеживания людей

Сайт Business Insider опубликовал несколько цитат из новой книги о Facebook «An Ugly Truth: Inside Facebook's Battle for Domination». В ней говорится о 52 сотрудниках, уволенных компанией с 2014 по 2015 годы за злоупотребление должностными полномочиями. Один из них использовал служебное положение, чтобы выследить женщину, которая ушла от него после ссоры.

Книгу «An Ugly Truth: Inside Facebook's Battle for Domination» написали журналисты газеты New York Times Шира Френкель и Сесилия Канг. Ранее они участвовали в других журналистских расследованиях деятельности Facebook, например, в нашумевшем «Задерживай, отрицай и уклоняйся: как руководство Фейсбука пробивалось через кризис». В материале описано, как компания ради преодоления кризиса шла на всевозможные меры, включая умалчивание фактов и клевету в адрес конкурентов.

В своей книге журналисты публикуют результаты нового расследования, касающегося информационной безопасности в Facebook. В описании к книге указано, что компания в течение многих лет неверно обрабатывала данные пользователей, распространяла фальшивые новости, усиливала негативные настроения на своих платформах и собирала данные для их продажи третьим лицам.

Сайт Business Insider получил копию книги «An Ugly Truth: Inside Facebook's Battle for Domination» и опубликовал несколько фрагментов, касающихся использования сотрудниками Facebook своего положения для добычи личных данных пользователей. Например, один из инженеров выследил женщину, с которой он поссорился на отдыхе в Европе. Благодаря своему уровню доступа он смог выяснить, в какой отель она переехала. Другой инженер использовал права доступа коллеги, чтобы найти информацию о женщине, игнорирующей его после свидания. В итоге у него на руках оказались данные за несколько лет, включая все переписки в Facebook messenger, загруженные фотографии (вместе с удалёнными) и публикации, которые она комментировала и просматривала. Кроме того, через мессенджер инженер мог отслеживать её положение в режиме реального времени.

В общей сложности в период с января 2014 по август 2015 года за использование доступа к данным в личных целях Facebook уволила 52 сотрудника. Большую часть уволенных составили мужчины, искавшие профили интересующих их женщин. Как утверждает компания, никто из уволенных сотрудников не добывал информацию в коммерческих целях.

По словам авторов книги, ничего кроме доброй воли сотрудника не мешает ему добывать информацию в личных целях. В книге также приводятся слова бывшего старшего специалиста по безопасности Алекса Самоса о том, что сотрудники компании злоупотребляли доступом почти каждый месяц. В 2014—2015 год доступ к личным данным имели почти 16 тысяч человек. В докладе Цукербергу Самос предложил ограничить число сотрудников с доступом до 5 тысяч и до 100 человек к особо важной информации, такой как пароли. Руководители Facebook отказались принимать предложение Самоса. Цукерберг согласился и поручил ему за год разработать план перехода, но в итоге эта программа так и не была принята.

Представитель Facebook рассказал Business Insider, что с 2015 года компания продолжает совершенствовать протоколы обучения новых сотрудников, совершенствовать системы поиска и предотвращения нарушений и сокращать число людей с доступом к личной информации. По его словам, компания предоставила доступ чтобы обойти бюрократизм, мешающий работе инженеров.

 

[DOMINUS]

Банк «АК Барс» сливает данные клиентов​

Данные утекли, а клиентам поступают звонки по старой схеме - несанкционированное списание, переведите деньги на безопасный счет.

 

[DOMINUS]

Mozilla выпустила браузер Firefox 90 с обновлённым блокировщиком трекеров в соцсетях и другими улучшениями​

Сегодня Mozilla объявила о выпуске Firefox 90. Новая версия браузера получила ряд улучшений совместимости для Windows, а также скоростной рендерер WebRender и улучшенный блокировщик трекеров в социальных сетях SmartBlock.

Пользователи Windows-версии браузера лишатся необходимости запускать Firefox для установки обновлений. Вместо этого их можно будет применить в фоновом режиме. Кроме того, браузер получит инструмент, помогающий выявлять любые проблемы совместимости, вызванные сторонними программами, которые могут вызвать проблемы в работе Firefox.

В свежей версии Firefox разработчики Mozilla развёртывают скоростной рендерер WebRender, делающий сёрфинг более плавным даже на слабых компьютерах, повышая комфорт работы в интернете для многих пользователей. Свежую версию браузера уже можно загрузить с официального сайта.

 

[DOMINUS]

1. «Русские хакеры» атаковали пользователей LinkedIn через уязвимость 0-day в Safari ​

Google приоткрыла завесу над атаками с использованием четырех уязвимостей нулевого дня.

Исследователи безопасности компании Google представили дополнительную информацию о четырех уязвимостях нулевого дня в Google Chrome, Internet Explorer и WebKit (движке браузера Apple Safari), эксплуатировавшихся в хакерских атаках и исправленные ранее в нынешнем году.

Речь идет о следующих уязвимостях:

• CVE-2021-21166 – проблема жизненного цикла объекта Audio в Chrome;
• CVE-2021-30551 – несоответствие типов вводимых данных в V8 в Chrome;
• CVE-2021-33742 – запись за пределами выделенной области памяти в MSHTML в Internet Explorer;
• CVE-2021-1879 – использование памяти после высвобождения в QuickTimePluginReplacement в WebKit (Safari).

Как сообщил глава подразделения Google Threat Analysis Group Шейн Хантли (Shane Huntley), специалисты связали атаки с эксплуатацией трех уязвимостей с поставщиком коммерческих инструментов для хакинга, чьими услугами пользуются спецслужбы, а еще одну уязвимость – с APT-группой, предположительно российской.

По словам Хантли, в первой половине нынешнего года злоумышленники использовали в атаках 33 уязвимости нулевого дня, которые были публично раскрыты, что на 11 больше по сравнению с прошлым годом.

Эксплоиты для уязвимостей в Google Chrome и Internet Explorer были разработаны одним и тем же производителем коммерческих инструментов для слежения, который продавал их правоохранительным органам. Эти эксплоиты не использовались в масштабных вредоносных кампаниях, чего нельзя сказать об уязвимости в WebKit, эксплуатировавшейся в атаках на высокопоставленных лиц в западноевропейских странах. В ходе вредоносной кампании, нацеленной на iOS-устройства с устаревшими версиями iOS (от 12.4 до 13.7), злоумышленники рассылали жертвам вредоносные ссылки в сообщениях на LinkedIn.

Итоговой целью злоумышленников был сбор cookie-файлов для авторизации на нескольких популярных сайтах, включая Google, Microsoft, LinkedIn, Facebook и Yahoo, и передача их через WebSocket на подконтрольные хакерам IP-адреса.

Хотя Google не связывает атаки с какой-то конкретной группировкой, по мнению специалистов Microsoft, ответственность за них лежит на Nobelium, известной своей атакой на SolarWinds.

2. Facebook и ее партнеры в панике из-за отказа владельцев iPhone разрешать трекинг ​

Рекламодатели лишились возможности определять эффективность своей рекламы и проводить ретаргетинг пользователей.

С выходом iOS 14.5 ранее в нынешнем году у пользователей iPhone и iPad появилась возможность легко отказываться от межсайтового и межпрограммного трекинга и таргетинга. Как показывает новое исследование аналитической компании Branch, 75% пользователей отказываются от отслеживания и целевой рекламы.

Влияние новой политики конфиденциальности в iOS особенно ощущают рекламодатели, сотрудничающие с Facebook. Как сообщает Bloomberg, компания предположительно больше не в состоянии предоставлять своим партнерам определенные метрические показатели, позволяющие им определять эффективность рекламы.

«Влияние, в частности, ощутили рекламодатели Facebook в прошлом месяце. Покупатели медиа, проводящие рекламные кампании в Facebook от лица своих клиентов, больше не могут получать надежные данные о том, сколько продаж делают их клиенты, поэтому им стало сложнее определять, какая реклама в Facebook работает. Потеря возможности получать такие данные влияет на способность Facebook демонстрировать свои бизнес-продукты потенциальным клиентам. Она также затрудняет ретаргетинг людей, когда им показывается реклама товаров, которые они ищут в Сети, но еще не купили», - пишет Bloomberg.

Хотя Facebook отказывается комментировать статью, как показывают данные Branch, 75% владельцев iPhone в настоящее время используют iOS 14.5 или более поздние версии ОС, в которых реализована технология App Tracking Transparency, и только 25% из них нажимают на «Разрешить» в соответствующем окне.

Как сообщает Facebook, в настоящее время компания работает над новыми функциями, которые помогут наверстать упущенные из-за App Tracking Transparency данные, включая «новые функции рекламы, требующие меньше данных для определения успешности рекламы».

«Политика Apple вредит возможности бизнеса рационально и эффективно использовать свой бюджет на рекламу, а создает и продвигает эти ограничения компания Apple, действующая в своих интересах. Мы уверены, что персонализированная реклама и приватность могут сосуществовать», - уверяют представители Facebook.

 

[DOMINUS]

Разработчик антивируса Norton планирует купить Avast​

Американская NortonLifeLock ведет переговоры о покупке разработчика антивируса Avast, созданного чешскими программистами, ставшими миллиардерами.

Американский разработчик программного обеспечения в области информационной безопасности NortonLifeLock (бывшая Symantec) ведет переговоры о приобретении чешской антивирусной компании Avast. Если переговоры пройдут успешно, официально о сделке будет объявлено в июле.

Обе компании подтвердили, что обсуждают сделку, передает Reuters. В Avast добавили, что NortonLifeLock планирует оплатить ее денежными средствами и акциями. Однако в чешской компании не уверены, что им удастся согласовать все параметры.

Сумма сделки не разглашается. Однако, по оценкам экспертов, она может составить около 8 млрд долларов. Рыночная стоимость компании Avast составляет 7,2 млрд долларов. Выручка компании в 2020 году достигла 893 млрд долларов, а число активных пользователей — до 435 миллионов.

Если слияние будет согласовано, в результате появится очевидный лидер на рынке ПО в области информационной безопасности.

 

[DOMINUS]

Краудфандинговый сервис GiveSendGo несколько часов назад был взломан, хакеры сделали редирект и слили базы данных.
​

GiveSendGo - это сервис, который предоставил свою платформу для сбора пожертвований участникам Конвоя Свободы, гигантской колонны траков, водители которых протестуют против ковидных ограничений, введенных канадским правительством. Акция стартовала 22 января, а через неделю дальнобои фактически блокировали столицу страны Оттаву, после чего премьер Канады Джастин Трюдо свалил в неизвестном направлении.

К 31 января на сервисе GoFundMe сочувствующие собрали для протестующих более 9 млн. долларов (канадских), после чего GoFundMe удалили сбор средств в поддержку Конвоя Свободы. Упавшее краудфандинговое знамя подхватили GiveSendGo. А теперь их взломали.

Вполне вероятно, что взлом связан с блокировкой протестующими моста Амбассадор через реку Детройт, связывающего Канаду и США, через который проходит четверть грузооборота между странами. Американцы очень трепетно относятся к своим финансовым потерям. Блокировку моста, кстати, тоже вчера сняли.

Ну как-то вот так. Демократическое волеизъявление масс и сменяемость власти. Премьер-министр Канады Джастин Трюдо, сын премьера-министра Канады Пьера Эллиота Трюдо, не даст соврать.