Блокировка DNS-сервисов в РФ, скандал с ProtonMail и другие события кибербезопасности

Мы собрали наиболее важные новости из мира кибербезопасности за неделю.

Роскомнадзор предупредил о тестировании блокировки иностранных интернет-протоколов

В начале сентября Роскомнадзор попросил госкомпании сообщить о возможном использовании ими протоколов шифрования, скрывающих имя сайта, пишет «Ъ». Речь идет о DNS-сервисах Google, Cloudflare и сервисе DoH, который внедряют Mozilla и Google. 

Для устойчивой работы сетей компаниям предложили до 9 сентября подключиться к DNS-сервисам российских операторов связи или Национальной системе доменных имен. 

8 сентября сразу несколько экспертов сообщили, что тестирование блокировки началось. 

СМИ: WhatsApp регулярно расшифровывает личные сообщения пользователей

Мессенджер WhatsApp, принадлежащий Facebook, регулярно расшифровывает личные сообщения пользователей для проверки жалоб на контент. Об этом сообщило издание ProPublica.

По данным СМИ, для этого компания использует подрядчиков, изучающих контент, на который WhatsApp получил жалобу, с помощью специального ПО.

Издание отмечает, что у сотрудников есть доступ только к сообщениям, которые помечаются самими пользователями и автоматически перенаправляются в компанию как потенциально оскорбительные. 

«Проверка является одним из элементов более широкого мониторинга, в ходе которого компания также проверяет незашифрованные материалы, включая данные об отправителе и его учетной записи».

Компания изучает и незашифрованные данные, включая имена, номера телефонов, фото профиля пользователя, уникальный идентификатор мобильного телефона и IP-адрес и другое.

ProtonMail изменил политику конфиденциальности после раскрытия IP-адреса пользователя властям Франции

Зашифрованный почтовый сервис ProtonMail внес изменения в политику конфиденциальности после скандала с раскрытием IP-адреса пользователя французским властям.

Речь идет о клиенте ProtonMail, участвовавшего в акциях протеста против джентрификации в Париже в прошлом году. Французская полиция и Европол связались с властями Швейцарии, где находится штаб-картира ProtonMail, и попросили помощи в идентификации активиста. Впоследствии его арестовали.

В ProtonMail заявили, что получили приказ от швейцарских властей, который «обязаны соблюдать». 

Согласно законодательству, компания «может быть вынуждена собирать информацию об учетных записях пользователей, в отношении которых проводится уголовное расследование в Швейцарии». 

«Конечно, это не делается по умолчанию, а только в том случае, если Proton получит юридический приказ по конкретной учетной записи», — добавили в компании.

В результате ProtonMail измененила политику конфиденциальности. Как отмечает Ars Technica, ранее в ней было сказано, что компания «по умолчанию мы не ведет журналы IP-адресов, которые могут быть связаны с анонимной учетной записью электронной почты».

Фразу «мы не ведем журналы IP-адресов» удалили, заменив на следующую формулировку:

«ProtonMail — это электронная почта, которая уважает конфиденциальность и ставит людей (а не рекламодателей) на первое место».

Сайт группировки REvil снова заработал

Аналитики обнаружили, что Happy Blog, используемый хакерской группировкой REvil для публикации данных о жертвах, снова работает.

Пока никаких новых сообщений на сайте не появилось, потому неизвестно, означает ли это возрождение деятельности злоумышленников.

Напомним, в этом году жертвами REvil стали несколько крупных компаний. Хакеры стояли за атаками на крупнейшего в мире производителя мяса JBS, компанию Acer и американского разработчика ПО Kaseya. За дешифровку файлов они требовали выкуп в криптовалюте.

В июле сайты группировки внезапно ушли в офлайн. Позже в Kaseya заявили, что получили «универсальный ключ-дешифровщик» для затронутых атакой REvil файлов без выплаты выкупа. 

Хакеры взломали компьютерную сеть ООН

В начале года хакеры взломали компьютерные сети Организации Объединенных Наций (ООН) и похитили данные, которые могут быть использованы против учреждений и сотрудников организации, сообщает Bloomberg.

Предположительно злоумышленники проникли в сеть, используя украденные имя пользователя и пароль сотрудника ООН, купленные в даркнете.

Используемый хакерами аккаунт не был защищен двухфакторной аутентификацией.

Германия тайно купила шпионское ПО Pegasus

Федеральное управление уголовной полиции Германии «в условиях строжайшей секретности» купило шпионское ПО Pegasus израильской компании NSO Group, сообщили СМИ. В ведомстве подтвердили покупку.

В версии, купленной управлением, заблокированы некоторые функции для предотвращения злоупотреблений, уточнили представители властей.

«Однако неясно, как это работает на практике», — отмечают СМИ.

Сообщается, что управление приобрело версию вирусного ПО Pegasus Trojan в конце 2020 года. Его использовали в операциях по борьбе с терроризмом и организованной преступностью с марта этого года.

В открытый доступ попали почти полмиллиона логинов и паролей Fortinet VPN

Исследователи обнаружили на хакерских форумах базу из почти 500 000 имен и паролей для входа в Fortinet VPN. Предположительно их получили с уязвимых устройств прошлым летом.

Хакеры утверждают, что уязвимость в Fortinet уже исправили, но многие учетные данные все еще действительны.

«Эта утечка является серьезным инцидентом, поскольку учетные данные VPN могут позволить злоумышленникам получить доступ к сети для кражи данных, установки вредоносного ПО и выполнения атак программ-вымогателей», — указывает Bleeping Computer.

Также на ForkLog:

• «Яндекс» стал жертвой крупнейшей DDoS-атаки в истории интернета.
• Взломщик DeFi-протокола Cream Finance вернул $17,6 млн.

Что почитать на выходных?

В начале года вступили в силу поправки в законодательство РФ, регулирующие распространение информации в соцсетях. Они обязали владельцев таких сетей контролировать пользовательский контент. ForkLog разобрал с юристами, что означают введенные правила и чем чреваты для бизнеса и пользователей.