Hacker News Digest

Troy Hunt объявил о добавлении в Have I Been Pwned 2 миллиардов уникальных email-адресов (точнее 1,957,476,021) и 1,3 миллиарда паролей, из которых 625 миллионов ранее нигде не встречались. Это крупнейшая база данных утечек, которую когда-либо обрабатывали. Данные поступили из двух источников: логов вредоносного ПО, собирающего данные с зараженных устройств, и списков для подбора паролей, полученных из других утечек. Hunt отмечает, что такие списки становятся "ключами от замка" из-за привычки пользователей использовать один и тот же пароль на разных ресурсах.

Для проверки данных Hunt проанализировал собственные старые email-адреса и обратился к подписчикам. Один пользователь подтвердил, что в базе находились как его старые, так и текущие пароли. Особенно показателен случай, когда человек использовал простой пароль, состоящий из другого пароля с добавлением в конце "!!". Это подтверждает распространенную практику создания слабых вариаций паролей, что делает пользователей уязвимыми при утечках данных.

• Пользователи обсуждают, что их данные уже неоднократно оказались в утечках, но при этом не ясно, какие именно сервисы пострадали и что делать с этим дальше.
• Обсуждается, что вместо того, чтобы собирать и продавать наши данные, компании могли бы просто не собирать лишние данные и не хранить их нешифрованными.
• Участники обмениваются опытом использования уникальных email-адресов и менеджеров паролей, но при этом отмечается, что даже при наличии таких инструментов, большинство сайтов всё ещё требуют email-адрес и не поддерживают вход через SSO-провайдеров.
• Поднимается вопрос, почему до сих пор не введён стандарт веб-автентификации через асимметричные ключи, вместо паролей, и почему пароли всё ещё не храняться в виде хеша, а не в открытом виде.

• Во время сбоя AWS вчерашний день несколько человек сообщили, что их консоль внезапно переключилась на другой аккаунт, что вызвало обеспокоенность о возможном компромете учетных данных.
• Участники обсуждения отметили, что в подобных случаях злоумышленник может ждать удобного момента, чтобы скрыть свои действия в шуме, вызванном сбоем.
• Были упомянуты прецеденты, когда вредоносное ПО или фишинговые атаки используются в подобных ситуациях.
• Также было отмечено, что AWS, как и другие провайдеры, имеет инструменты для проверки и предотвращения подобных инцидентов.

Хакеры украли ID-фотографии около 70 тыс. пользователей Discord. Платформа подтвердила, что атака была направлена против стороннего сервиса, который проверяет возраст, а не против самого Discord. Компания подчеркнула, что не имеет доступа к полным данным кредитных карт, паролям или сообщениям. Под угрозой оказались лишь фотографии документов и частичные номера карт. Discord уже отозвал доступ сервиса и уведомил всех затронутых пользователей. Инцидент подчеркивает риски, которые сопутствуют онлайн-проверкам возраста, особенно в условиях, когда правительства всего мира вводят обязательную верификацию.

• Discord не шифрует файлы, что позволило хакерам получить доступ к ним; вопрос в том, почему они вообще были сохранены после проверки возраста.
• Пользователи спорят, нужна ли вообще верификация возраста в Discord, если речь идет о доступе к "чувствительному контенту".
• Некоторые считают, что верификация возраста в Discord — это лишь способ сбора личных данных, а не защита детей.
• Участники обсуждения подчеркивают, что Discord не требует шифрования личных данных, что ставит под сомнение заявления о "100% безопасности" сервиса.

Хакеры выложили в дарк-вебе архив, содержащий данные 5 млн клиентов Qantas, после того как авиакомпания отказалась платить выкуп. В утечке оказались email, телефоны, даты рождения и номера программы лояльности. Qantas подтвердила, что база была украдена из облачной CRM-системы Salesforce в июне, но утверждает, что пароли и данные паспортов там не было. Компания начала уведомлять клиентов и предлагает им сменить пароли, хотя неясно, какие именно данные были скомпрометированы.

• Qantas и Salesforce подтвердили утечку, но спорят о масштабах и датах, а также о том, какие именно данные были украдены.
• Участники обсуждали, стоит ли платить выкуп, чтобы предотвратить публикацию данных, и пришли к выводу, что это может только поощрить дальнейшие атаки.
• Обсуждались риски фишинга и других мошеннических схем, которые могут использоваться с этими данными.
• Участники также обсудили, что вся эта ситуация подчеркивает необходимость более строгого регулирования и ответственности компаний защищать данные клиентов.
• В конце обсуждение сошлось на том, что вся эта ситуация показывает, что необходимо внедрять более строгие меры кибер-безопасности и что в конце концов, компании несут ответственность за защиту данных своих клиентов.

Discord подтвердил, что в результате инцидента с поставщиком услуг клиентской поддержки могли быть скомпрометированы документы, касающиеся до 70 000 пользователей. Компания подчеркивает, что атакующие распространяют ложную информацию как часть вымогательской кампании. Пока неясно, какие именно данные были затронуты, но Discord утверждает, что «большинство» из них ограничиваются адресом электронной почты, номером телефона и/или имени пользователя.

• Discord и другие компании продолжают собирать и хранить документы удостоверяющие личность, несмотря на то, что они не могут их защитить.
• Пользователи, которые предоставили свои документы, теперь подвержены риску, что их личные данные могут быть украдены.
• Сторонние подрядчики, которые обрабатывают документы удостоверяющие личность, не могут быть идентифицированы, что делает невозможным для пользователей понять, кто именно имеет доступ к их личным данным.
• Пользователи, которые не предоставили свои документы, не могут получить доступ к сервису.
• Пользователи, которые предоставили свои документы, теперь не могут быть уверены, что их личные данные не будут использованы для других целей.

Женщина из Орегона отправила iPhone в Apple на ремонт, а сотрудники подрядчика компании выложили её обнажённые фото и видео в её же Facebook. Инцидент произошёл в 2016 году, но стал известен лишь сейчас из-за судебного разбирательства между Apple, ремонтной компанией Pegatron и страховщиком. Apple выплатила пострадавшей многомиллионное возмещение за вторжение в частную жизнь и моральный ущерб.

Этот случай демонстрирует, что даже при жёстком контроле Apple над ремонтной инфраструкторией гарантировать конфиденциальность невозможно. Компания годами лоббирует ограничение доступа к ремонту, аргументируя это рисками для безопасности, но здесь утечка произошла внутри её собственной цепочки. Пользователи часто вынуждены отправлять устройства в непрозрачные сервисные центры, лишаясь контроля над личными данными. Открытый рынок ремонта позволил бы людям выбирать проверенных мастеров или чинить устройства самостоятельно.

• Пользователи возмущены требованием пароля для ремонта и рисками утечки конфиденциальных данных
• Подчеркивается необходимость права выбора сервиса и возможности самостоятельного ремонта
• Отмечается системная проблема хищения личных данных в индустрии и призывы к строгой ответственности
• Предлагаются меры предосторожности: сброс к заводским настройкам или отказ передавать пароль
• Обсуждаются технические причины требования пароля для тестирования устройств после ремонта

Инсайдер: команда DOGE подвергла уязвимости данные SSA
Информатор Charles Borges, главный специалист по данным SSA, сообщил, что в июне члены «Департамента эффективности» (DOGE) загрузили копию критически важной базы Social Security на незащищённый облачный сервер. В массиве — имена, адреса, даты рождения и SSN 300 млн американцев. Доступ требовали сразу после инаугурации Трампа; временная глава SSA Мишель Кинг отказалась и ушла в отставку. Утечка может привести к массовому кражеству личности.

• Утечка SSN вынудит США выдавать новые идентификаторы и перестраивать госсистемы с нуля.
• Участники считают, что истинная цель DOGE — не экономия, а разрушение институтов.
• Предлагают отказаться от SSN как идентификатора и ввести «федеральный ID» для получения льгот.
• Некоторые шутят о «печати зверя» и радуются, что живут вне США.

• Обсуждение о том, что один из корпоративных Salesforce-инстансов Google был скомпрометирован через вишинг-атаки (UNC6040), с кратковременной утечкой контактных данных и заметок по малому и среднему бизнесу; официальный тон смягчает масштаб, что вызывает скепсис.
• Комментаторы сомневаются в формулировках “лишь базовые и публичные данные”, предполагая, что ценность для злоумышленников была реальной (возможны вторичные схемы, например мошенничество с биллингом).
• Многих удивляет, что Google использует Salesforce; объяснения: историческое наследие, быстрые поглощения, а также предпочтения команд продаж и маркетинга к индустриальным стандартам вместо внутренних инструментов.
• Приводятся истории о неудачных внутренних CRM у Google: баги, нехватка функций, нежелание инженеров поддерживать; продажи и PM часто продавливают Jira/Salesforce ради скорости найма и онбординга.
• Отмечается культурный сдвиг: замена внутренних решений “джанковыми” шаблонными процессами Salesforce; внутренние инструменты больше для инжиниринга.
• Уточнения: у Google десятки тысяч сотрудников в продажах/маркетинге; часть саппорт-систем GCP ранее зависела от Salesforce; выбор строить/покупать/партнериться по CRM оценивался и часто оказывался экономически нецелесообразным для собственной разработки.
• Общий вывод: инцидент — результат классической социальной инженерии, а не технического взлома; реакция компании стремится минимизировать восприятие ущерба, вызывая дискуссии о прозрачности и рисках использования сторонних SaaS.