кибербезопасность

Пентагон отправил миллионы военных электронных писем в Мали из-за опечатки

Сотрудники Пентагона в течение многих лет отправляли миллионы электронных писем случайным жителям Мали вместо своих коллег. Причиной стала опечатка в почтовом адресе. Об этом сообщает Financial Times со ссылкой на нидерландского предпринимателя Йоханнеса Цурбье.

Цурбье обнаружил эту проблему ещё в 2013 году, когда занимался обслуживанием домена Мали «.ml». Оказалось, что сотрудники Министерства обороны США регулярно отправляют письма на адреса случайных малийцев вместо «.mil» — доменного имени Пентагона.

С января этого года Цурбье получил около 117 тысяч неверно отправленных военных писем — лишь за прошлую среду ему пришла тысяча имейлов. Скоро его контракт с правительством Мали на обслуживание домена «.ml» истечёт, и контроль за ним вернётся властям африканской страны.

Поскольку Мали близко сотрудничает с Россией, Цурбье просит властей США серьёзно воспринять эту информацию. По словам предпринимателя, он неоднократно сообщал об этой проблеме военному атташе США в Мали, старшему советнику Национальной службы кибербезопасности США и даже Белому Дому.

Некоторые ошибочно отправленные письма содержали личную информацию американских военнослужащих, подрядчиков и их семей. Среди них были медицинские снимки, документы, списки экипажей и сотрудников на военных базах, маршруты поездок, бронирования, налоговые и финансовые отчёты, доклады, контракты, фотографии и карты объектов, данные о внутренних расследованиях и уголовных жалобах на сотрудников.

По словам адмирала в отставке Майка Роджерса, который раньше возглавлял Агентство национальной безопасности и киберкомандование армии США, подобные ошибки происходят довольно часто. Он обеспокоен тем, что «даже из незасекреченной информации можно создать разведданные» и использовать их как преимущество против США.

Спикер Пентагона капитан-лейтенант Тим Гортман же сообщил, что Министерство обороны «в курсе проблемы» и «серьёзно воспринимает случаи несанкционированного раскрытия контролируемой информации». По его словам, письма, отправленные с домена «.mil» на малийские адреса «блокируются» и требуют подтверждения от отправителя — однако при отправке с личных адресов сотрудников такой системы нет.

Так, агент ФБР попытался переслать шесть сообщений на свой электронный адрес в Пентагоне — и случайно отправил их в Мали. В одном из них содержалось срочное письмо турецкой дипломатии о возможных действиях Рабочей партии Курдистана против турецких интересов в США. Этот же агент отправил малийцам брифинги по внутреннему терроризму США с пометкой «Только для служебного использования».

Новость на сайте bbc.com:

https://www.bbc.com/russian/articles/cqevyq0djl1o?ocid=wsrussian.social.in-app-messaging.telegram..russiantelegram_.edit&ref=svtv.org

Клиент банка "Lloyds" из Великобритании получил доступ к своему банковскому счету с помощью голосового ИИ

Клиент банка "Lloyds Bank" из Великобритании обнаружил, что может получить доступ к своему банковскому счету с помощью голосового ИИ через идентификацию по "Voice ID".

Пользователь Джозеф Кокс выяснил, что голосовой идентификатор нельзя использовать в качестве безопасного способа для входа в свою банковскую учётную запись. Он смог обмануть систему с помощью бесплатной версии решения от "ElevenLabs" для генерации своего синтетического голоса на основе пяти минут цифровой записи своего настоящего голоса.

Он проводил эксперимент несколько раз, так как изначально система "Lloyd Bank" сообщала, что не может аутентифицировать его голос. После внесения некоторых изменений в настройках "ElevenLabs" для генерации голоса, таких как чтение более длинного текста, чтобы каденции звучали более естественно, его сгенерированный голос успешно обошёл систему безопасности банка.

В итоге Кокс позвонил на автоматическую линию обслуживания банка и начал активировать файлы с генерацией своего голоса. Банк принял его фразу «Проверить мой баланс» и после этого попросил сказать две фразы – назвать свою дату рождения и прочитать «мой голос – мой пароль».

Кокс набрал на клавиатуре нужный текст и запустил генерацию голоса. «Мой голос – мой пароль», — сказал ИИ его голосом. Система безопасности банка потратила несколько секунд на идентификацию этого голосового фрагмента. «Спасибо», — сказал банк, а Кокс попал внутрь своего аккаунта.

«Я не мог в это поверить – это сработало. Я использовал реплику своего голоса с помощью ИИ, чтобы взломать свой банковский счёт. После этого у меня был доступ к информации об учётной записи, включая баланс и список последних транзакций и переводов», — уточнил Кокс.

На веб-сайте "Lloyds Bank" сообщается, что опция "Voice ID" абсолютна безопасна. «Ваш голос подобен отпечатку пальца и уникален для вас», — утверждает банк. — "Voice ID" анализирует более 100 различных характеристик вашего голоса, которые, как и ваш отпечаток пальца, уникальны для вас. Например, как вы используете свой рот и голосовые связки, какой у вас акцент и как быстро вы говорите. Система также распознает вас, если у вас простуда или боль в горле», — уточнено на сайте банка в описании этой технологии.

Представитель "Lloyds Bank" заявил, что опция "Voice ID" обеспечивает высокий уровень защиты, чем традиционные методы аутентификации. По мнению банка, синтетические голоса не так привлекательны для мошенников, как другие методы для компрометации данных клиентов.

В "Lloyds Bank" в курсе об угрозе клиентам от синтетических голосов и там постоянно дорабатывают проверку голоса. В банке сообщили, что голосовая идентификация "Voice ID" уже привела к значительному снижению мошенничества с телефонным банкингом.

Профильные эксперты пояснили, что всем клиентам, использующим голосовую аутентификацию в банках, лучше переключиться на безопасный метод проверки личности, такой как многофакторная аутентификация, как можно скорее. Они опасаются, что репликация голосов в этом году будет одним из векторов атак на учётные записи пользователей в банках, так как злоумышленники в курсе информации о дне рождения жертвы, а получить запись голоса можно также разными способами.

Аналогичную голосовую идентификацию предлагают банки в США, например, "TD Bank" (опция "VoicePrint"), банк "Chase" (также "Voice ID") и "Wells Fargo" (функция "Voice Verification"), которые, согласно описанию, «эффективно защищают личность клиента».

Ранее исследователи с помощью нейросети "elevenlabs.io" и "ChatGPT" рассказали голосом Стива Джобса про "ChatGPT". Особенность "elevenlabs.io" заключается в том, что нейросети достаточного слушать оригинальный голос в течение всего нескольких секунд, чтобы потом воспроизвести его.

В начале января "Microsoft" объявила о создании инструмента "VALL-E" для имитации любого голоса. Этому ИИ достаточно трёхсекундного образца для генерации полноценного голоса человека. Услышав конкретный голос, "VALL-E" создаст аудиозапись того, как человек говорит что-то, причём постарается сохранить даже его эмоциональный тон.

Источник:  "Хабр", @denis-19.

За пользователями "Telegram" можно следить с помощью самого мессенджера, а российские спецслужбы, похоже, научились читать даже зашифрованные чаты

Главное из материала "Wired" о уязвимостях в проекте Павла Дурова.

Слежку за пользователями "Telegram" можно организовать с помощью обычных API-инструментов мессенджера. Обычно их используют сторонние разработчики для создания ботов, сбора данных или проведения исследований. Однако API "Telegram" позволяет архивировать «почти весь» мессенджер – включая небольшие каналы и публичные группы. После этого, зная телефон пользователя, можно будет получить все сообщения, которые он отправлял в любую публичную группу. OSINT-специалисты ("open-source intelligence") могут создавать "армию ботов", чтобы отслеживать пользователей "Telegram" по имени, подпискам и публичным группам. Всё это позволяет получить подробный портрет того или иного человека.

Не всё прозрачно и с "секретными чатами". Возможно, даже их могут читать спецслужбы. Так, оппозиционная активистка Анна Курбатова рассказала изданию, что в начале мая все отправляемые ею сообщения, включая зашифрованные, помечались "Telegram" как прочитанные – хотя она точно знала, что получатель их не читал. Та же проблема возникла у активиста Ивана Асташина. В апреле похожей историей поделилась петербургская кандидатка в депутаты Рина Мацапулина. Она рассказала, что силовики прямо перед обыском читали все её сообщения друзьям в реальном времени. Об этом, со слов девушки, ей рассказал сам следователь. Стоит отметить, что о взломах секретных чатов известно только со слов пользователей. Как это возможно сделать технически – пока неизвестно.

Представитель "Telegram" заявил, что компания никогда не передавала данные пользователей ФСБ или Кремлю. Сам Павел Дуров отказался разговаривать с "Wired". Его давний соратник Георгий Лобушкин объяснил журналистам, что российский рынок «очень важен» для предпринимателя. Создатель мессенджера, по его словам, «никогда не будет сотрудничать с российскими властями» и скорее покинет местный рынок, чем пойдёт на подобное.

Есть ли среди на белые хакеры?

Здраствуйте, короче я тут надумал пойти в айти сферу и выбрал направление защиты, Мне хотелось бы услышать мнение рассказы и если есть опыт этих самых хакеров. Возможно они есть и среди нас дорогие пидоры.

Буду очень рад почитать и услышать именно ваше мнение ребята.

Взломали LastPass, компания утверждает что волноваться не о чем

Полное руководство по кибербезопасности

Детская игрушка взломана хакерами

Когда пытаешься здать другого, но дед уже выбрал тебя.

Киберзащитник

Анон, если настроен серьезно по поводу своей безопасности и анонимности - бери пример с гуру в деле кибербезопасности