Новини безпеки цього тижня: Amazon передав відеозаписи дзвінків копам без ордерів

Плюс: Шалена афера з індійським крикетом, елітний хакер ЦРУ визнаний винним у передачі секретів WikiLeaks та інші головні новини тижня у сфері безпеки.

Веб-сайти, які ви відвідуєте, можуть розповісти про вас (майже) все. Якщо ви шукаєте інформацію про здоров’я, читаєте про профспілки або досліджуєте деталі певних видів злочинів, то потенційно можете видати величезну кількість деталей про себе, які зловмисник може використати проти вас. Цього тижня дослідники детально описали нову атаку, яка використовує основні функції Інтернету, щоб викрити анонімних користувачів в Інтернеті. Злом використовує звичайні функції веб-браузерів — включені в кожен основний браузер — і функції центрального процесора, щоб проаналізувати, чи ввійшли ви в такі сервіси, як Twitter або Facebook, і згодом ідентифікувати вас.

В іншій статті ми детально описували, як російська «хактивістська» група Killnet атакує країни, які підтримали Україну, але не беруть безпосередньої участі у війні. За останні місяці Killnet здійснила DDoS-атаки на офіційні урядові сайти та підприємства в Німеччині, США, Італії, Румунії, Норвегії та Литві. І це лише одна з проросійських хактивістських груп, що спричиняють хаос.

Ми також розглянули новий скандал з конфіденційністю в Індії, де дані та інформація про донорів неприбуткових організацій були передані поліції без їхньої згоди. Ми також розглянули нову атаку «Retbleed», яка може викрасти дані з чіпів Intel і AMD. І ми підбили підсумки комітетських слухань 6 січня — і спрогнозували, що буде далі.

Але це ще не все. Щотижня ми підбиваємо підсумки новин, які ми не розголошували і не висвітлювали детально. Клацайте на заголовки, щоб прочитати повну версію. І будьте обережні!

Протягом багатьох років компанія Ring, що належить Amazon і займається виробництвом камер відеоспостереження, налагоджувала відносини з правоохоронними органами. На початок 2021 року Amazon уклав понад 2 000 партнерських угод з поліцією та пожежними департаментами по всій території США, створивши величезну мережу відеоспостереження, за допомогою якої офіційні особи можуть запитувати відеозаписи, щоб допомогти в розслідуванні. У Великій Британії компанія Ring у партнерстві з поліцією роздає камери місцевим жителям.

Цього тижня Amazon визнав, що передав поліції відеозаписи, зроблені камерами Ring, без дозволу їхніх власників. Як вперше повідомило видання Politico, Ring передавала правоохоронцям відеозаписи щонайменше 11 разів цього року. Це перший випадок, коли фірма визнала, що передала дані без згоди або ордеру. Цей крок викличе подальше занепокоєння щодо камер Ring, які критикують виборчі групи та законодавці за те, що вони руйнують приватне життя людей і роблять технологію спостереження повсюдною. У відповідь Ring заявляє, що не надає нікому «необмеженого» доступу до даних або відео клієнтів, але може передавати дані без дозволу в надзвичайних ситуаціях, коли існує неминуча загроза смерті або серйозної шкоди людині.

У 2017 році витік даних «Сховище 7» викрив найбільш секретні та потужні хакерські інструменти ЦРУ. Файли, опубліковані WikiLeaks, показали, як агентство могло зламати комп’ютери Mac, ваш роутер, телевізор і цілу низку інших пристроїв. Незабаром слідчі вказали на Джошуа Шульте, хакера з Відділу підтримки операцій ЦРУ (OSB), який відповідав за пошук вразливостей, що можуть бути використані в місіях ЦРУ. Зараз Шульте визнаний винним у витоку файлів Vault 7 до Wikileaks, і йому загрожує десятиліття ув’язнення. Після попереднього судового процесу, що відбувся у 2018 році, цього тижня Шульте був визнаний винним за всіма дев’ятьма пунктами обвинувачення. За кілька тижнів до другого судового процесу The New Yorker опублікував цей вичерпний матеріал, в якому досліджує темну історію Шульте і те, як працює OSB ЦРУ.

Хакери, пов’язані з Китаєм, Іраном та Північною Кореєю, націлилися на журналістів та ЗМІ, згідно з новим дослідженням компанії Proofpoint, що займається питаннями безпеки. За даними Proofpoint, окрім спроб скомпрометувати офіційні акаунти представників преси, численні іранські хакерські групи видавали себе за журналістів і намагалися обманом змусити людей передати дані їхніх онлайн-акаунтів. Пов’язана з Іраном група Charming Kitten надсилала своїм потенційним жертвам хакерських атак детальні запити на інтерв’ю, а також намагалася видати себе за кілька західних новинних агентств. «Ця тактика соціальної інженерії успішно експлуатує людське прагнення до визнання і використовується суб’єктами АПТ, які бажають націлитися на науковців та експертів з питань зовнішньої політики по всьому світу, ймовірно, в спробі отримати доступ до конфіденційної інформації», — зазначають у Proofpoint.

У будь-якій компанії чи організації час від часу щось пропадає. Зазвичай це загублені телефони, перепустки та файли, які іноді помилково залишають на автобусних зупинках. Втрата будь-якої з цих речей може відкрити ризики для безпеки, якщо пристрої незахищені або якщо конфіденційна інформація стає надбанням громадськості. Рідше губляться стаціонарні комп’ютери — якщо тільки ви не з ФБР. Згідно з даними ФБР, отриманими VICE Motherboard, агентство втратило 200 стаціонарних комп’ютерів у період з липня по грудень 2021 року. Також були втрачені, а в деяких випадках викрадені, частини бронежилетів і приціли нічного бачення.

Шахрайство не буває більш витонченим, ніж це. Цього тижня поліція Індії викрила фальшивий турнір з крикету «Індійська прем’єр-ліга». Група ймовірних шахраїв створила фальшиву лігу в західному індійському штаті Гуджарат і найняла молодих людей для участі в матчах з крикету, видаючи себе за професійні команди, а самі транслювали матчі в прямому ефірі, щоб люди могли робити ставки. За даними поліції, група найняла фальшивого коментатора, створила екранну графіку, що показувала рахунки в реальному часі, і відтворювала звуки натовпу, завантажені з інтернету. Щоб приховати той факт, що матчі відбувалися на фермі, а не на великому стадіоні, на відеострічці показували лише великі плани. Поліція заявила, що спіймала банду під час чвертьфінального матчу. Поліція вважає, що банда потенційно керувала кількома лігами і планувала розширити свою діяльність і на волейбольну лігу. Відеозапис матчу варто переглянути.