Xakep.ru: пароли Facebook в открытом виде, обход аутентификации Office 365 и G Suite, слежка за владельцами Nokia 7 Plus и другие опасности недели

Самое важное в мире инфосека на этой неделе

Дайджест основных событий в мире инфосека Привет! Сначала о важном: на «Хакере» снова началась традиционная распродажа, которая продлится до 31 марта. В это время годовую подписку можно оформить со скидкой 25% (5540 рублей вместо 7390), а если ты постоянный подписчик — то и еще дешевле! Оформить или продлить подписку со скидкой 25% А теперь — наиболее интересные события прошлой недели в сфере ИТ и инфобезопасности по версии редакции Xakep.ru. Facebook хранила пароли пользователей в открытом виде Пароли 200-600 млн пользователей Facebook и Instagram хранились на серверах компании в формате простого текста, доступные тысячам сотрудников. В Facebook заявили, что пароли, разумеется, сохранялись «непреднамеренно».   Смартфоны Nokia 7 Plus сливали данные владельцев в Китай Смартфоны собирали информацию о своих владельцах при каждой разблокировке или включении экрана. Среди собираемых данных были GPS-координаты, информация о сети, серийный номер устройства и номер SIM-карты.   Уязвимость Spoiler не затрагивает процессоры компании AMD Напоминаем, Spoiler позволяет наблюдать за преобразованием виртуальных адресов в физические в подсистемах памяти процессора. В итоге злоумышленник может вычислить взаимосвязи и получить доступ к паролям и другим данным.   Аутентификацию Office 365 и G Suite обходят через IMAP Хакеры используют IMAP для credential stuffing атак. Этим термином обозначают как обычный брутфорс, так и ситуации, когда имена пользователей и пароли похищаются с одних сайтов, а затем используются на других.   Найден баг в популярных PHP-библиотеках для создания PDF Уязвимость позволяет атакующему выполнить произвольный код на уязвимом сайте или в веб-приложении. Для эксплуатации достаточно, чтобы уязвимый сайт позволял пользователю изменять метаданные генерируемого PDF-файла.   Баг в Google Photos позволял следить за геолокацией юзеров Используя браузер жертвы в качестве прокси для поиска по Google Photos и оценивая размер и время получения HTTP-ответов, хакер мог определить, есть ли среди фотографий пользователя что-то, к примеру, отвечающее поисковому запросу «мое фото из Исландии».   Сооснователь WhatsApp призывает удалять аккаунты Facebook Брайан Эктон убежден: крупные технологические компании (такие как Apple и Google) и социальные медиа попросту не справляются с модерацией контента, а для Facebook на первом месте вообще не приватность данных, а монетизация.   Оформить или продлить подписку со скидкой 35% Это все на сегодня. Пиши нам на support@glc.ru свои вопросы или пожелания, если что. © 2018 Хакер.ru Взлом, безопасность и защита Изменить настройки подписки или  отписаться насовсем