Компания Hola VPN (https://en.wikipedia.org/wiki/Hola_(VPN))  сообщила (http://hola.org/blog#chrome-compromise) о компрометации учётной записи одного из разработчиков проекта, в результате чего злоумышленники смогли подменить официальное дополнение Hola VPN (https://chrome.google.com/webstore/detail/unlimited-free-vpn... к браузеру Chrome. Дополнение насчитывает около 8.7 млн пользователей.

После получения параметров аутентификации разработчика  в сервисах Google злоумышленники опубликовали модифицированную версию дополнения, в которой был встроен скрытый проброс (https://twitter.com/myetherwallet/status/1016542460552495104) на поддельную фишинг-страницу, срабатываюзий при открытии сайта MyEtherWallet.com с реализацией web-кошелька для криптовалюты Ethereum. В настоящее время контроль над учётной записью возвращён и в каталоге Chrome Web Store размещено корректное дополнение. Информации о методе получения контроля за учётной записью разработчика Hola VPN  пока не раскрывается.

Всем пользователям MyEtherWallet, которые вчера обновляли или устанавливали Chrome-дополнение Hola VPN рекомендуется срочно завести новую учётную запись и перевести на неё имеющиеся в электронном кошельке средства. Это вторая действенная атака против MyEtherWallet за последние месяцы - в апреле злоумышленникам  удалось (https://www.opennet.ru/opennews/art.shtml?num=48494) через манипуляции с BGP перенаправить трафик DNS-сервиса Amazon Route 53 на свой хост и на несколько часов подменить сайт MyEtherWallet.com.

URL: http://hola.org/blog#chrome-compromise
Новость: https://www.opennet.ru/opennews/art.shtml?num=48947

• Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 23:13 , 10-Июл-18
  • Зафиксирована подмена злоумышленниками официального Chrome-д...,Шо, 23:18 , 10-Июл-18
    • Зафиксирована подмена злоумышленниками официального Chrome-д...,999, 10:10 , 11-Июл-18
  • Зафиксирована подмена злоумышленниками официального Chrome-д...,NixMan, 13:04 , 11-Июл-18
    • Зафиксирована подмена злоумышленниками официального Chrome-д...,J.L., 15:32 , 11-Июл-18
      • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 20:39 , 11-Июл-18
        • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 04:47 , 12-Июл-18
      • Зафиксирована подмена злоумышленниками официального Chrome-д...,tdykunlogged, 23:40 , 11-Июл-18
• Зафиксирована подмена злоумышленниками официального Chrome-д...,Шо, 23:16 , 10-Июл-18
• Зафиксирована подмена злоумышленниками официального Chrome-д...,user90, 23:24 , 10-Июл-18
  • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 08:02 , 11-Июл-18
    • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 11:48 , 11-Июл-18
      • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 12:53 , 11-Июл-18
        • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 20:03 , 11-Июл-18
          • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 20:57 , 11-Июл-18
  • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 13:17 , 11-Июл-18
    • Зафиксирована подмена злоумышленниками официального Chrome-д...,чебурнет.рф, 05:37 , 15-Июл-18
  • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 13:27 , 11-Июл-18
• Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 23:41 , 10-Июл-18
  • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 13:00 , 11-Июл-18
    • Зафиксирована подмена злоумышленниками официального Chrome-д...,нах, 14:32 , 11-Июл-18
  • Зафиксирована подмена злоумышленниками официального Chrome-д...,нах, 14:31 , 11-Июл-18
    • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 16:42 , 11-Июл-18
      • Зафиксирована подмена злоумышленниками официального Chrome-д...,товарищ майор, 09:20 , 12-Июл-18
    • Зафиксирована подмена злоумышленниками официального Chrome-д...,чебурнет.рф, 05:44 , 15-Июл-18
      • Зафиксирована подмена злоумышленниками официального Chrome-д...,holavpn, 14:03 , 27-Июл-18
• Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 23:57 , 10-Июл-18
  • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 02:50 , 11-Июл-18
    • Зафиксирована подмена злоумышленниками официального Chrome-д...,Xasd, 09:17 , 11-Июл-18
      • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 12:08 , 11-Июл-18
        • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 13:46 , 11-Июл-18
  • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 13:31 , 11-Июл-18
    • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 17:45 , 11-Июл-18
      • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 20:32 , 11-Июл-18
        • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 20:48 , 11-Июл-18
• Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 01:52 , 11-Июл-18
  • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 08:06 , 11-Июл-18
    • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 11:53 , 11-Июл-18
  • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 08:11 , 11-Июл-18
  • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 13:29 , 11-Июл-18
• Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 03:47 , 11-Июл-18
• Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 06:57 , 11-Июл-18
  • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 10:36 , 12-Июл-18
• Зафиксирована подмена злоумышленниками официального Chrome-д...,robot228, 09:22 , 11-Июл-18
  • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноне, 09:27 , 11-Июл-18
  • Зафиксирована подмена злоумышленниками официального Chrome-д...,Bakunin, 13:24 , 11-Июл-18
• Зафиксирована подмена злоумышленниками официального Chrome-д...,Анонимчик, 10:37 , 11-Июл-18
  • Зафиксирована подмена злоумышленниками официального Chrome-д...,123, 11:27 , 11-Июл-18
    • Зафиксирована подмена злоумышленниками официального Chrome-д...,Анонимчик, 11:36 , 11-Июл-18
      • Зафиксирована подмена злоумышленниками официального Chrome-д...,123, 11:58 , 11-Июл-18
        • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 20:55 , 11-Июл-18
          • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 08:22 , 15-Июл-18
  • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 13:25 , 11-Июл-18
• Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 10:49 , 11-Июл-18
  • Зафиксирована подмена злоумышленниками официального Chrome-д...,Анонимчик, 12:11 , 11-Июл-18
    • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 13:19 , 11-Июл-18
      • Зафиксирована подмена злоумышленниками официального Chrome-д...,Я, 13:48 , 11-Июл-18
        • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 14:32 , 11-Июл-18
        • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 16:32 , 11-Июл-18
          • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 16:41 , 11-Июл-18
  • Зафиксирована подмена злоумышленниками официального Chrome-д...,Аноним, 17:17 , 12-Июл-18
• Зафиксирована подмена Chrome-дополнения Hola VPN, имеющего 8...,Аноним, 20:11 , 11-Июл-18
  • Зафиксирована подмена Chrome-дополнения Hola VPN, имеющего 8...,Мой тебе совет внучок, 20:51 , 11-Июл-18
  • Зафиксирована подмена Chrome-дополнения Hola VPN, имеющего 8...,Аноним, 10:37 , 12-Июл-18
    • Зафиксирована подмена Chrome-дополнения Hola VPN, имеющего 8...,ping, 11:05 , 12-Июл-18

Вот те и VPN

VP[rivate]N

))))

VP[irate]N

Любитeли xaлявы дoлжны cтрaдать. Нормальный VРN таки стоит денег.

> Любитeли xaлявы дoлжны cтрaдать. Нормальный VРN таки стоит денег.

как будто владелец твоего VPN (который ты арендуешь, за таки деньги) не может сделать тоже самое

должен быть децентрализованный протокол типо ipfs/tox/i2p

Владелец моего VPN - я. Да, пришлось сесть за буквари и освоить докер. Владельцу хостинга придётся сделать много телодвижений, чтобы поиметь меня через этот VPN так, чтобы я этого не заметил. Обходится примерно в 70 р. в месяц ($1 + комиссии).

>сделать много телодвижений

Значительно меньше, чем залить поддельное дополнение. Всего-то надо перенаправить твой трафик в другой контейнер. Делается в 3½ команды.

переводил как-то вайтпейпер одного  vpn стартапа, там в реализации впн днс записи проверяться будут по консенсусу всех участников (в роли выходных нод) сети - думаю, как раз то, что нужно. ( гуглится по словам "голос белая книга впн")

Эта вакханалия вокруг крипто-кошельков уже перестала удивлять применяемыми методами... Дырок полно, выбирай любую и вперёд...

На самом деле эта "новость" про то, что любой Google * Store - банальная свалка.

Как и гугловский же Play market

Интернет вообще помойка, глупо доверять пустым лейблам. Надо сохранять бдительность, все хотят поиметь твои данные, и без боя не сдаваться. А такие как Гугл делают всё, что бы усыпить бдительность юзеров. Придумывают всякие "зеленые" индикаторы, новости выпускают о безопасности. Но никто не позабодится о ТВОЕЙ безопасности, кроме тебя.

Это как мытье рук и вытирание жопы - нужно все делать тщательно самому. И даже если мелкие- будут обещать -мягкость ощущений - они это делают только лишь для собственного удовлетворения.

Ну а зачем ты на помойку лезешь тогда? Откажись от неё, жили же люди до интерентеов этих ваших с гуглями. Ну там девки-сеновалы, утром покос - вечером надои...

> Ну а зачем ты на помойку лезешь тогда? Откажись от неё, жили же люди до интерентеов этих ваших с гуглями. Ну там девки-сеновалы, утром покос - вечером надои...

Да, появление интернета позволило провести промышленную революцию и индустриализацию. А ветер дует потому что деревья кочаются.
> утром покос - вечером надои

ночью домкраты?

>появление интернета позволило провести промышленную революцию и индустриализацию

Скорее угробило их результаты. Вместо того, чтобы на заводе работать, народ теряет время в интернетах

Толсто. В 2018 году так не вбрасывают. :)

ios-маркет такая же свалка, с чуть более строгой модерастией.

> ios-маркет

Что это?

В чем проблема то? Юзай фридройд.

Так это Hola сама с душком. Помню скандал был что они трафик продают.

Мне недавно на рабочую почту спам от них был, довольно настойчивый. Типа, давайте вы вставите в ваш виндовый инсталлятор наш блоб, а мы вам заплатим. Проект называется luminati)

и чо - ты лоханулся и остался без бабла?

там не в том дело что продают, там в том дело, кого продают.
Они продают своих "бесплатных" пользователей - в качестве выходных релеев.
То есть каждый пользователь бесплатного трэша - автоматически и без возможности на это влиять (и без особо заметного сообщения ему об этом - никто не читает eula) становится кандидатом на соседство по камере с псевдоматематиком Богатовым (уже, наверное, признавшегося в том, что он никакой не математик, а мериканский шпиен, а так же ируканский и соанский)

Богатов свободен. Вылезай из криокамеры.

ты тоже будешь свободен сразу, как подпишешь вот это, вот это, и вооон то.

Это как? Пока я сижу под каким-то норвежским ip, кто сидит под моим?

ну да, именно так. И, кажетсо, транзитным узлом тоже можешь побыть - но это-то почти безопасно, в отличие от релеинга хз чьего траффика в паблик.

причем это - платный юзер сидит, свой адрес он так не палит, и, как ты понимаешь, если он заплатил за эту услугу - он ни разу не на опеннете спамить приходил.

в общем, "если где-то тебе что-то дают забесплатно - значит товар это ты".

Отдельный браузер без расширений для всего этого вот того.

Лучше мобильный клиент всех возможных HTTP-сайтов (не браузер), с открытым кодом, без жабоскрипта и СМС, причем чтобы можно было при компиляции выбрать, какие полтора сайта нужны. Сжечь на кострах весь нынешний вебдваноль.

> Сжечь на кострах весь нынешний вебдваноль.

а разве в web-2.0 что-то было про любителей изнасиловать себя браузерными расширениями?

вся суть в web-2.0 как раз была -- наоборот -- в том чтобы можно было бы обойтись только лишь чистым браузером.

Ага, конечно.
Суть Web 2.0 - динамический контент, подгружаемый (оптимистик дизайн, да) в рантайме.
А это, на секундочку, стопроцентный джаваскрипт.

Другое дело, что старый кондовый статичный веб уже наxрен не нужен, точно так же как и морзянка в gsm сетях.

> Ага, конечно.
> Суть Web 2.0 - динамический контент, подгружаемый (оптимистик дизайн, да) в рантайме.

Суть веб 2.0 - много-много базвордов и специально подогнанная под пользателя реклама.

> А это, на секундочку, стопроцентный джаваскрипт.
> Другое дело, что старый кондовый статичный веб уже наxрен не нужен,

146%. Кстати, опеннет как ресурс вполне работает и без ЖС. Значит ли что он статичен, не нужен или просто переоценку ЖС макак незаменимости себя любимых?

И вот ты изобрел Tor...

Но он с расширениями.

tor =/= torbrowser. Ну а в последнем расширения отключаются - это не хромог с захардкожеными

Но чем меньше аддонов в тор-браузере - тем лучше. Этож своего рода фингерпринт!

Да уж. Проблема века. С другой стороны - необходимость в впн для интернета в интернете тот еще костыль.

Это не костыль, это данность времени. А всяческие DPI и композоры - рак современности и интернета. Удивляет, насколько мерзкие людишки работают во всяких разных infowatch

Бизнес есть бизнес. Не хотят вот, чтобы ты свой представляющий коммерческую тайну говнокод конкуренту сливал - заказывают DPI. Спрос рождает предложение.

Ну а потом появляются идеи о более масштабной цензуре, да.

А как без этого?
https://www.opennet.ru/opennews/art.shtml?num=46944

Не распарсил что ты сказал. Интернета в интернета? WHAT?!

DotVPN работает? Hola написан индусами для индусов.

>криптовалюты
>Chrome

Вот это анекдот!

Мой хром до сих пор майнит на компе моей сестры. Че делать то?

Каким надо быть дауном чтобы это юзать? Не важно угнали учётку или нет, сам факт вот этих вот фри впн умиляет.

Для целей, соответствующих вашему нику, да, а прон глянуть кому-то может и достаточно.

Юзаю бесплатные ВПНы 5 лет - проблем нет. Хороший ВПН настраивается через openvpn, а не левые плагины. На сайты без шифрования не ходи и все (не знаю, остались еще такие?). Ты себя еще айтишником называешь? Ты домохозяйка-параноик.

Midori спасет отца русской десократии,минимум дополнений,одни js

Судя по ланчпаду и новостям проекта, он тихо умер в 2016 году.

Неее...Он как Ильич - живее всех живых.:)

> Он как Ильич

Валяется дохлым у всех на виду?

Не по-христиански это - превращать человеческие трупы в достопримечательность. Надо бы похоронить.

Да ладно.
Как раз мощи и всё такое.
Очень даже по-христиански

Но он не развивается давно.

>hola

это те, которые использовали пользователей как гейты для их же впн?

Примерно так, но некрофилы вроде меня ценят такие проекты и  как оказалось совсем не зря.

Чем ты занимаешься через впн?

он же написал - НЕКРОФИЛЫ вроде него.

Может, трупы покупает, может, видосы смотрит/заливает

Клуб анонимных трупоедов?

На тематику FreeBSD?

Тёмными ночами он пытается пропатчить...

Не использовали, а используют.

Вот поэтому ставьте расширения в браузеры из репозиториев дистрибутива, а не с мусоросборки.

Аддонов для браузера на сайте Mozilla - миллионы.

Аддонов для браузера в репозитории - кот наплакал.

Истина в том, чтобы ставить только аддоны с пометкой "featured", т.к. они проходят аудит Mozilla.

Да ты наркоман похоже!

комбайнёр