Трой Хант (Troy Hunt), известный деятель в области компьютерной безопасности, автор курсов по защите информации, создатель сервиса проверки скомпрометированных паролей "Have I Been Pwned?" и региональный директор Microsoft, раскрыл сведения об утечке базы пользователей собственного списка рассылки. История показательна тем, что даже признанные специалисты в области компьютерной безопасности могут стать жертвами типового фишинга при определённом стечении обстоятельств...Подробнее: https://www.opennet.me/opennews/art.shtml?num=62964
Pwned
И на старуху бывает проруха.
Понравился стиль изложения новости - многоточия и драматизм.
What a champ!
>автор курсов по защите информацииОбычная ситуация. Реальные ИБ спецы работают, а примазавшиеся учат других.
>письмо отправлено с подозрительного адреса
>По ссылке вместо mailchimp.com открылся сайт mailchimp-sso.com
>1Password автоматически не заполнил форму входаЭто-ж надо было столько раз лохануться!
он лоханулся ровно в тот момент, когда не осилил собственный список рассылки и сдал своих клиентов мэйлманкисам. Дальше все было довольно предсказуемо.Особенно приятно узнать, что эти спаммеры не удаляют адреса тех кто уже отписался от их помойки. (Я бы удивился, конечно, если б удаляли.)
Не понял, в каком месте он лоханулся. Тогда сэкономил, а ныне попиарился.
Надеюсь тебе прийдётся всё время с такими работать раз тебе так нравится :-).
Бгг, как раз для чего я тут годами ныл, что широкоизвестное ООО "НТЦ ИТ..." не платит за работу. =)
по идее, если ты специалист, то ты еще и DKIM проверять будешь, и уж точно смотреть куда переходишь, копируя линк а не тыкая все вподряд...
Он лох изначально - у него iphone и аутглюк.
Что ж - проверил, you have been.Как, в принципе, и ожидалось.
> Трой считает, что он не заподозрил подвоха из-за стечения нескольких факторов. Во время получения письма Трой вернулся из поездки, не адаптировался после смены часовых поясов и был сильно уставшим. Письмо было прочитано именно в тот момент, когда бдительность была подавлена.Бла-бла-бла. Нет тут никаких стечений факторов и прочего втирательства про часовые пояса и усталось. Основная причина тут в том, что это региональный директор майкрософт и что он обычный инфо-цыганен, а не никакой не безопасник.
З.Ы.
Mailchimp - веб-орангутаны уже даже не скриывают кто они есть.
1Password - это облака, синхронизация, плагин для браузера и автозаполнение?А Трой Хант - это известный деятель в области компьютерной безопасности?
Не оправдываю Троя Ханта, но> почтовым клиентом Outlook, который показал только имя отправителя и не отобразил email.
года, нет, десятилетия борьбы с открытыми релеями и подменой адресов в почте, все эти DKIM, SPF, DMARC, — все для того, чтобы эти гении свели эти старания к нулю, скрывая адрес.
айтишечка которую вы заслужилино справедливости ради, для емейла существует туча клиентов где нет этой порнографии из мира мобильников
Программа от M$, которую региональные директора M$ заслужили.
А вообще эти "DKIM, SPF, DMARC" что-то гарантируют?
да, например первый гарантирует что список рассылки у тебя работать не будет. Второй может обеспечить что работать будет но глупый пингвин не прочитает потомушта аааааа спааааам!
(да, да, как обычно - гуглевые идиоты, принесшие нам эту антитехнологию, нененслышали ни о каких списках - они в ватцапчике свои проблемки всю жизнь обкашливают)
Удивительно но факт - при этом он не обеспечивает _отправителю_ защиту от подделок его адреса - читайте внимательно rfc и изумляйтесь.Зато наличие всех трех - нынче обязательное условие для спамеров. Письмо от живого человека может не иметь одного или всех трех даже, а у спамера все три наверняка как раз будут.
И разумеется, у этого hr@group-ib.bleo все dkim'ы были как надо, чего ж не быть, это ж его собственный домен.
> почтовым клиентом Outlook, который показал только имя отправителя и не отобразил email.таки да, в аутлуке нельзя просто взять и посмотреть исходящий email, нужно изъё**ваться
Про то что у keenetic все на свете утекло новости конечно же нет. Про какой то список рассылка обязательно новость.
Никому нет дела до keenetic
Так у них 2 года назад утекло.
А сознались только сейчас
>на iPhone с почтовым клиентом OutlookКак-то не айс для эксперта по компьютерной безопасности пользоваться шпионом в шпионе.
Но он же какой-то директор микрософт, шпионит сам за собой.
=_=
Да, тоже понравилось)))
Хотя наверное будучи сотрудником майкрософт "положено" пользоваться их продуктами. Но айфоном пользоваться его никто вероятно не принуждал
Да, мог без телефона обойтись. Звонили б ему в рельсу, в чем проблема...Он бы может и хотел бы пользоваться вендофоном, но, насколько я знаю, ms даже стор для них удалил.
Дааа, местные-то кексперты почту прячут в корнях дуба, координаты которого вырезают на коре березы в ста километрах от.Правда, периодически их принимают за закладчиков и долго п-дют.
(Причем у этого директора правильная привычка не открывать ссылок из почты прям на том же пихоне. Но не помогла.)
Так скоро же адресную строку в браузере вообще уберут.
Чел что автоматически пишет на видео всю свою активность на ПК? Или DLP Micro$oftа ставят даже на личные устройства?
edit: del
>Ironically, I'm in London visiting government partners, and I spent a couple of hours with the National Cyber Security Centre yesterday talking about how we can better promote passkeys, in part due to their phishing-resistant nature. 🤦♂️Так и запишем:
1. коллаборант
2. продвигает цифровое рабство (FIDO2 с аттестацией)
>Unfortunately, Mailchimp doesn't offer phishing-resistant 2FA.Так и запишем: история - мистификация с целью продвижения биометрических "passkey" (чисто маркетинговый термин) Windows Hello. Тем более - от сотрудник Micro$oft.
мне вот интересно, вы по ssh по логину/паролю заходите, там тоже цифрового рабства избегаете?пасскеи - самые обыкновенные ключи, приватная часть хранится в менеджере паролей (хоть в зондосистеме майкрософт, хоть у вас под кроватью в бд keepassxc), публичная куда-вы-там-входите
>пасскеи - самые обыкновенные ключиПасскеи - это вообще несуществующий термин. В спецификациях Альянса FIDO2 он не фигурирует. Словом "пасскеи" несколько членов Альянса называют подмножество аутентификаторов от нескольких корпораций (Micro$oft, Apple, Google + вендоры Android смартфонов), реализованных через TEE и поддерживающих аттестацию и передачу приватных ключей между устройствами через сервера указанных корпораций.
> FIDO2 с аттестациейя фидо не застал, но вроде там новому пойнту всегда нужно было _лично_ получить данные для входа от админа ноды.
а птушо трехлитрович пива по другому занести не получалосьжитие тогда тяжкое было никаких тебе мобилок сплошная аналоговая связь
импульсный набор номера вот это вот все
Ять, админ ноды! :-) Ржунимагу! Лично.. Я половину поинтов вообще не знал, с одним встретился лет через 15 после. Тогда просто не было столько идиотов, сколько сейчас торчит в интернете.
>Secondly, reading it again now, that's a very well-crafted phish. It socially engineered me into believing I wouldn't be able to send out my newsletter so it triggered "fear"Да, да, невозможность послать спам-рассылку немедленно ... Вообще почему Трой Хант, всемирно известный специалист, для спам-рассылки сторонний сервер использует? Потому, что гуглу пофиг на это. Забанит и всё. И не докажешь, что не верблюд.
Очередное доказательство, что все эти сайты - просто honeypot'ы.
> Трою пришло письмо от имени сервиса Mailchimp ...Когда в день приходит по сотне писем ещё и не такое можно учудить.
Отправителю вообще сейчас не нужно напрягаться, достаточно тыкнуть кнопку "переслать" и все.
А получателю приходится копаться в этом ..., полученном... дерь...
Потому как, может там затерялось нужное и важное сообщение.Нужно делать отправку почты платной. Хочешь написать человеку - плати копеечку.
Как впрочем и было во времена марок, конвертов, рукописных листочков.
Тут такая банальщина, что спасла бы элементарная расфасовка входящей по папкам. Всё, что осталось, подлежит внимательному чтению.
С тебя 100 рублей за этот комментарий
Тут какое дело. Я вроде не специалист по безопасности, не автор курсов и не директор мелкософта. Однако обозначенных ошибок не совершал никогда, аккуратно проверяю все ссылочки, по которым перехожу из почты. И даже предпочитаю не переходить по ссылкам, а открываю сайт из сохранённого списка в базе keepass (и никакого не 1Password). А этот "эксперд" и "спецевалисьт" — повёл себя как среднестатистический ламер. Ну хоть признался — мужик. А так, новость эта написана, чтобы мы все могли посмеяться над этой глупейшей ситуацией.
keepass же вроде тоже сливался?
Сливался где? Оно ж оффлайновое. Ты может с LastPass каким путаешь?
> Сливался где? Оно ж оффлайновое. Ты может с LastPass каким путаешь?Там с мастерпассвордом, с возможностью его игнора был момент. Т.е. менеджер паролей от текстового файлика в общем отличался только в плане удобства, но не защиты.
> Тут какое дело. Я вроде не специалист по безопасности, не автор курсов и не директор
> мелкософта. Однако обозначенных ошибок не совершал никогда,я тоже не вогнал еще в землю ни одного самолета. Вероятнее всего - потому что я не только не специалист по летной безопасности и не автор курсов, но даже частную лицензию на легкомоторники ниасилил.
Доходит?
дружище, не надо так явно палиться что ты работаешь в подвале. В день по сотне писем мне приходит на почту, которая у меня со времен тех самых подвалов.А на служебную - по паре тысяч. И это я не директор microsoft, к сожалению.
> Нужно делать отправку почты платной.
расскажи это microsoft, они с удовольствием поддержат идейку.
Кстати, спаммерский софт обычно таки платный. Но возможность разом донести до нескольких сот тысяч потенциальных клиентов, что у твоей компании опять совсем плохо с деньгами - перевешивает.
Мало тебе спаммерских _звонков_ ? С посекундной тарификацией, оплатой "труда" девочки-попугайчика, всеми налогами и сборами потому что это официальный бизнес.
Три (разных) идиотки только за вчера.
> оплатой "труда" девочки-попугайчикагде-то ещё обзванивают живые люди?
С роботами не прокатилло - никто не хочет их слушать.
(и они теперь обзванивают как раз - клиентов, чтоб окончательно их достать)
у нас постоянно боты обзванивают
В день по сотне писем? Не пользоваться помойками вроде майл и яндекс не было мысли?
> А на служебную - по паре тысяч. И это я не директор microsoft, к сожалению.что ты не директор майкрософта, ето из примера видно
если тебе в инбаунд для человека прилетает две тысячи писем в день, у тебя что-то не так либо с организацией работы, либо с головой. это я тебе, голуба, как почвовед, говорю.
если ты тянешь 12 часовую смену в хотлайне на телефоне, у тебя есть 500 минут на ответы. бессердечная сцка арифметика посчитает, сколько у тебя времени на 2000 писем в инбаунде.
что касается спамерских звонков, у меня две девочки сидят на публичном номере, с полномочиями блочить любой номер, с которого звонит робот, и посылать нах... всех остальных продаванов. с личным номером я сам справляюсь, политика та же - нет в адресной книге, идешь в блок. пока работает.
> Три (разных) идиотки только за вчера.
ха. это ты как ип просто не регистрировался, вот на тебя внимания и не обращают. меня в первый месяц долбили как дятлы.
да, директор пожаловал в чат... Правда, подвальный.> если тебе в инбаунд для человека прилетает две тысячи писем в день, у тебя что-то не так
> либо с организацией работыпопробуй как-нибудь все же поработать не в подвале, узнаешь, сколько и чего прилетает в почту в конторе покрупнее. И да, кто не умеет настраивать фильтры - будет этой почтой похоронен.
> что касается спамерских звонков, у меня две девочки сидят на публичном номере,
зато одних курьеров у него сорок тыщ.
Поэтому и не пишет тебе никто - девочки не умеют, а больше ты никому и не нужен.
> ха. это ты как ип просто не регистрировался
я вообще очень старательно прячу свой номер. К сожалению, щастье на глазах прикрывается, и скоро останутся только номера, привязанные к твоему паспорту и десятку помойных "Айди".
(жаль что вряд ли какой бомж догадается открыть сервис "оплачу своим паспортом любые два десятка телефонных номеров о которых никогда до этого не слышал", сведя всю затею снова к ..ю)
> История показательна тем, что даже признанные специалисты в области компьютерной
> безопасности могут стать жертвами типового фишинга при определённом стечении обстоятельств.Это просто топчик. Чувак все ритуалы оттанцевал, с 2FA и прочим, и ... все равно наступил на классическую граблю :D
"Самое слабое звено в системе безопасности - это человек"
>> Вторым фактором стало то, что письмо вначале было просмотрено на iPhone с почтовым клиентом Outlook, который показал только имя отправителя и не отобразил emailНормальным десктопным клиентом нужно пользоваться, а не поносом на Electron.
>> Менеджер паролей 1Password автоматически не заполнил форму входа, но и это было проигнорировано.Доверил пароли корпорации = поел коровьего помета с лопаты.
Претензия к лопате?
> Претензия к лопате?Да тут ему вообще этой лопатой по сопатке заехали, с размаху так. От теперь и стоит с грязной рожей. И больно, и обидно, и воняет, и отплевываться приходится. Ну хоть честно признался что покушал с лопаты, а то мог бы еще делать вид что - конфеты, и вообще, вкуснота!
1Password как раз отработал отлично - не стал вводить пароль на левом сайте. А то, что пользователь руками скопировал и вставил пароль, кто ж ему запретит?
Например, при входе на mail.ru постоянно меняется порядок ввода пароля: вылезают какие-то левые окна (с предложением входа через VK, в котором меня отродясь не бывало, с помощью какого-то кода), криво сохраняется в менеджере паролей (когда продираешься до ввода пароля, просто так из менеджера он не берется, хотя показывается в окошке ввода). Все эти чудеса на любой системе и в любом браузере. Думаю, и другие сайты могут находиться в состоянии постоянных экспериментов над пользователями.
Так что человек из сабжа вполне мог ошибиться, и винить его не стоит.
Не пользоваться mail.ru вы не думали? В Gmail все работает с любого устройства и никаких окошек левых нет..
Все что нужно знать о специалисте по безопасности и директоре микрософта. Ничем не лучше/хуже других.
> Все что нужно знать о специалисте по безопасности и директоре микрософта.
> Ничем не лучше/хуже других.Все что надо знать о майкрософте, 2FA и безопасности которую они продвигают...
Он не настоящий директор. Настоящий директор работает только через секретаря.
Настоящий директор прикрывает своего секретаря, и его ошибки признает своими.
Пишете сценарий? Похоже на слоган... эээ... немецкого фильма.
А ты знаток!
но ты же не настоящий директор? и даже, как ты сам указал выше, не директор Microsoft, к твоему же собственному сожалению. выходит что ты - секретарь которого прикрывают! хватит тут гундеть, булки расслабь
Предлагаю в хороших менеджерах паролей сделать (отключаемую ;) фичу, котороя перед тем как разрешить пользователю скопировать пароль, проведет обучение и примет экзамен по трезвости мысли в области безопасности!
Так а какие именно данные утекли? Пароли?
UPD: Нашёл.
Compromised data: Email addresses, Geographic locations, IP addresses
Утекли не столько данные, сколько авторитет сабжа и работодателя. Впрочем, забудут, как и все предыдущие случаи.
Ничегошеньки Вы не понимаете. Это метод обучения, такой!Так что авторитет сабжа только вырос!
Авторитет работодателя, это отдельная (больная) темаю Оставим.
увы, но подобная утечка данных повлечёт за собой ещё большую волну подобного рода атак, где теперь для навязывания подлинности смогут использовать ещё и информацию о географической локации
Все косячат, но не все признают, особенно такие фейлы. А Трой Хант еще и стал умнее, тем более альтернатив не много.
"Теперь можно пользоваться HaveIBeenPwned"
Чувак, который вёл свой блог об ИБ, ответил на спам и решил об этом всем рассказать? 😆
никогда не хотел бы работать в InfoSec. слишком большая ответственность при высокой степени факапа. тут он сам лажанулся и сам съел субстанции (хотя остаются вопросы к Mailchimp и Cloudflare), а когда несёшь ответственность за 500 и более человек, из которых добрых 90% запросто могут вот так слажать... кому и где потом доказывать что принятых тобой мер было достаточно