Tor Project удалил часть узлов за сомнительную деятельность ради наживы

Tor Project удалил часть узлов за сомнительную деятельность ради наживы

Tor Project удалил часть узлов за сомнительную деятельность ради наживы

Организация Tor Project объяснила своё решение избавиться от ряда сетевых узлов, представлявших угрозу для безопасности и конфиденциальности всех пользователей сети Tor.

Работа Tor, как известно, прямо полагается на узлы (relay): «луковая» сеть работает тем лучше и стабильнее, чем больше пользователей запускают узлы. Именно они помогают анонимизировать трафик, скрывая его подлинный источник.

Узлами управляют добровольцы и энтузиасты, яро выступающие за анонимность, конфиденциальность и безопасность при работе в Сети.

Тем не менее представители Tor Project выяснили, что некоторые операторы узлов были вовлечены в подозрительные схемы с криптовалютами, которые обещали большую прибыль.

«Мы считаем, что эти узлы могут представлять угрозу для“луковой“ сети. Например, они не отвечают нашим требованиям. Кроме того, подобные финансовые схемы создают серьёзные риски для целостности сети и репутации нашего проекта», — пишет Tor Project.

Утверждается, что некоторые операторы, чьи узлы деактивировала Tor Project, просто не до конца разобрались, во что ввязываются. После удаления определённых узлов сообщество, конечно, взволновалось: у многих вызвали вопросы нарушения политики.

Именно поэтому организация решила объяснить свои действия. Как отметили в Tor Project, управлять узлами в корыстных целях и ради наживы — противоречит правилам комьюнити.

Напомним, в прошлом месяце Microsoft Defender детектировал Tor из-за обновлённого исполняемого файла tor.exe. Но ложноположительное срабатывание быстро поправили.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Фитнес-приложение Fitify слило138 тысяч фото юзеров в неглиже

В облаке Google в открытом доступе был обнаружен сервер Fitify, содержащий 373 тыс. файлов, в том числе 138 тыс. отчетов о прогрессе, сохраненных в виде фото и 3D-сканов фигуры полураздетого владельца фитнес-приложения.

Исследователи из Cybernews предупредили разработчика софта о своей находке, и тот вывел незащищенное хранилище из паблика. Однако оказалось, что в само приложение вшиты ключи, которые тоже открывают доступ к данным пользователей.

В Google Play за Fitify числится более 10 млн загрузок, популярное фитнес-приложение также доступно в Apple App Store. Суммарно на его долю, по оценкам, приходится 25 установок.

Большинство файлов, обнаруженных в открытом хранилище, содержат видео с руководством, персонализированные планы тренировок и аватары из профилей. Фотоотчеты о прогрессе сохранялись лишь в тех случаях, когда пользователь делился ими с ИИ-коучем.

Просмотр слитых в паблик данных также показал, что описание Fitify в магазине Google не соответствует действительности: там утверждается, что все данные при передаче на сервер шифруются.

 

Анализ среды разработки и производственной среды Fitify выявил жестко прописанные секреты, в том числе:

  • Android Client ID;
  • Google Client ID;
  • ключи к Google API;
  • Firebase URL;
  • Google App ID;
  • Project ID;
  • Facebook App ID;
  • токены Facebook Client;
  • привязанные к Firebase кастомные домены;
  • ключи к Algolia API.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru