Wired публикует детали истории с утечкой в AT&T. Оказывается, AT&T заплатили выкуп одному из участников хакерской группы в размере 5.7 биткоина (примерно 373 тысячи долларов) еще в мае, потребовав доказательства уничтожения скачанной информации. Корреспондент Wired видел это видео, но AT&T ничего не комментирует.

К взлому вроде бы действительно причастен Джон Биннс, ранее признавший своё участие во взломе T-Mobile в 2021 году, и именно он начинал переговоры о выкупе, но примерно 5 мая он был арестован в Турции, где жил со своей матерью, и вместо него на связь со специалистом по кибербезопасности, который был посредником в сделке, вышел другой член группы. Первоначальная сумма выкупа составляла 1 млн долларов, но после торговли хакеры согласились на треть суммы.

Впрочем, никаких гарантий, что данные абонентов AT&T теперь в безопасности, разумеется, нет — нет даже гарантий, что удаленная копия данных была единственной.

Apple одобрила полноценный эмулятор PC для iOS. Приложение первоначально было отклонено в App Store, но после доработки прошло модерацию. UTM SE позволяет установить в виртуальной машине Windows, DOS и даже Mac OS Classic. Правда, изначально оно никаких образов не содержит, так что всю установку придется проводить самостоятельно.

Приложение доступно для iOS, iPad OS и visionOS — так что можно будет поиграться в старые игрушки на iPad.

Крупнейшая в истории утечка данных из AT&T, где хакеры получили доступ к истории звонков и SMS почти всех абонентов за несколько месяцев 2022 года, связана с атакой на Snowflake в июне этого года. Эту атаку уже признавали причиной утечки данных из Ticketmaster и ряда других сервисов.

Правда, говорят, что последствия атаки на Snowflake менее серьезны, чем в случае с Okta — Snowflake не занимается безопасностью и лишь позволяет хранить и анализировать большие объемы информации. Но, в случае с AT&T, данные достаточно чувствительны — история звонков содержит еще и ID базовой станции для некоторых клиентов, а это фактически геолокация.

Пишут также, что к атаке причастен Джон Биннс, ранее признавший свою причастность к взлому T-Mobile в 2021 году. Биннс живет в Турции, где и был арестован и сейчас содержится под стражей.

OpenAI разработала новую шкалу прогресса AI систем в деле достижения AGI. Компания выделяет пять стадий — ChatBots, Reasoners, Agents, Innovators и Organizations, — и считает, что сейчас находится чуть ниже второго уровня — Reasoners, когда AI может демонстрировать человеческий уровень решения проблем.

Меня немного тревожит, что, кажется, мы знаем, что как минимум одну из Organizations в итоге назовут Skynet.

Еврокомиссия решила замахнуться на Илона нашего Маска — после предварительного расследования комиссия выяснила, что возможность любого получить голубую отметку “верифицированного пользователя” после покупки платной подписки в Twitter вводит аудиторию в заблуждение относительно аутентичности аккаунтов и контента в них.

Если вывод приведет к решению, то, в соответствии с Digital Services Act (а этот закон ЕС определяет принципы относительно модерирования онлайн-контента, борьбы с дезинформацией и так далее) компанию могут оштрафовать на сумму до 6% от глобального оборота.

Заодно и этот самый оборот узнаем.

Chainalysis насчитали более 100 млрд долларов подозрительных и нелегальных средств в обороте крипторынка с 2019 года. Причем большинство этих средств в последние годы обращаются в стейблкоинах типа USDT и USDC и зачастую — при помощи централизованных бирж. Впрочем, в последние месяцы оборот таких средств на биржах падает благодаря мерам мониторинга.

Если учесть, что весь объем рынка стейблкоинов оценивается в 160 млрд долларов, теневой оборот выглядит внушительно.

Signal наконец уговорили, что у него есть проблема с безопасностью. Я уже неделю слежу за развитием ситуации, которая началась с того, что одному из исследователей удалось склонировать сессию десктопного приложения на mac os, и она успешно поднялась на другой машине (в виртуалке), причем сам Signal не показывал нигде новое устройство с сессией, хотя исправно посылал на него сообщения.

Оказалось, что ключ, которым зашифрована локальная база данных, генерируется Signal самостоятельно (то есть это не пароль, вводимый пользователем, и не какие-то производные от него) и хранится в plain-text на этой же машине. То есть при наличии физического или программного доступа к системе шифрование базы становится ничтожным.

В общем, там и Маск подключился, и президент Signal Мередит Уитейкер много отвечала, что, мол, раз у злоумышленника есть полный доступ к системе, то они и не смогут ничего защитить и никогда не собирались, но в итоге согласилась, что этим надо заняться — тем более, что решение практически уже существует, разработанное независимым разработчиком и использующее safeStorage API в Electron (ну да, десктопные приложения Signal на нем написаны) для хранения ключей в системных хранилищах типа keychain.

Что доказывает простую истину — безопасных мессенджеров вообще не существует и самое уязвимое место в любом системе — это прокладка между креслом и клавиатурой. Даже если у неё титул президента.

Apple на 10 лет откроет в Европе технологию tap and go для оплаты на iPhone для конкурирующих платежных решений. Это результат соглашения с Еврокомиссией — таким образом, компания избежит возможного штрафа за нарушение DMA, который мог составить до 10% годового дохода во всем мире.

Практически, это означает, что Paypal или Google смогут сделать собственные кошельки для работы на iPhone/Apple Watch. Но только в Европе 😊.

Многие читатели канала — одесситы, так что вам будет интересно. Завтра, 11 июля, в Одесском художественном музее состоится лекция аналитиков группы OSINT “Мольфар”. Хотя вы знаете мой легкий скепсис относительно многих современных аналитиков, но результаты работы этой группы вполне солидные — они, например, уже оперативно установили по открытым источникам личности летчиков, разбомбивших “Эпицентр” в Харькове, и тех, кто бомбил “Охматдит” позавчера в Киеве.

Так что ребятам есть чем поделиться в плане опыта и методов работы. Мероприятие пройдет в укрытии. Условие входа — донат на нужды 126 бригады ТРО (той самой, которой мы покупали массу электроники и не только).

Spotify запускают комментарии к подкастам — как показывают измерения компании, слушатель, взаимодействовавший с подкастом любым образом, в четыре раза более склонен возвращаться к его прослушиванию.

У них уже были комментарии — для подкастов, которые выходили на купленной ими платформе Anchor, была опция аудиокомментариев. Кажется, она не полетела вовсе.

Как пойдет дело сейчас — интересно. Правда, есть пара отличий от того же YouTube — комментарии надо включить (у меня это не получилось, something gone wrong, наш звонок очень важен для вас, попробуйте еще раз) и у комментариев обязательна премодерация. То есть автор подкаста должен проверить каждый комментарий, прежде чем он будет опубликован на странице выпуска в Spotify. Резоны понятны, но практически это гарантирует отсутствие комментариев к большим подкастам. Или стимулирует Spotify к разработке механизмов автомодерации.