En fouillant les fonctionnalités du driver, celui-ci a découvert un morceau de code anciennement utilisé pour les opérations de debug du driver. Celui-ci présentait une faille de sécurité et un utilisateur qui en connaît l’existence peut modifier le registre du système afin d’activer les fonctionnalités de capture de frappe au clavier laissées par inadvertance au sein du driver.

Une fonctionnalité qui pourrait se révéler particulièrement intéressante pour un malware qui en connaîtrait l’existence, puisqu’elle permettrait de faire fonctionner un keylogger sans avoir besoin d’exécuter du code inconnu sur la machine, mais en modifiant simplement une valeur du registre et en récupérant les données capturées par le driver de HP.

[...]

Si HP se montre si réactif, c’est peut-être parce que le constructeur a souffert de mauvaise presse cette année suite à des problèmes similaires. Au mois de mai, le constructeur avait en effet déjà été épinglé pour avoir livré un driver audio disposant de fonctionnalités de capture de frappe.

Don't laugh. Epson printer/fax machines dating back to 1999 have this problem

A Massive Resource for Cybercriminals Makes it Easy to Access Billions of Credentials.

TL;DR:
HP had a keylogger in the keyboard driver. The keylogger saved scan codes to a WPP trace. The logging was disabled by default but could be enabled by setting a registry value (UAC required).
Get the list of affected hardware and patch here: https://support.hp.com/us-en/document/c05827409

How Maria Ressa became the target.

A serious vulnerability (CVE-2017-13156) in Android allows attackers to modify the code in applications without affecting their signatures. The root of the problem is that a file can be a valid APK file and a valid DEX file at the same time. We have named it the Janus vulnerability, after the Roman god of duality.

"OK Google, es-tu dangereux pour la vie privée ?"

The Amazon Echo is vulnerable to a physical attack that allows an attacker to gain a root shell on the underlying Linux operating system and install malware without leaving physical evidence of tampering. Such malware could grant an attacker persistent remote access to the device, steal customer authentication tokens, and the ability to stream live microphone audio to remote services without altering the functionality of the device.

Amazon Key might help you avoid package theft, but the smart lock and camera aren't good enough to warrant giving Amazon control of your door.

"But Amazon doesn't carry Google products like Chromecast and Google Home, doesn't make Prime Video available for Google Cast users, and last month stopped selling some of Nest's latest products. Given this lack of reciprocity, we are no longer supporting YouTube on Echo Show and FireTV. We hope we can reach an agreement to resolve these issues soon."

The Kromtech Security Center has discovered a massive amount of customer files leaked online and publically available. Researchers were able to access the data and details of 31,293,959 users. The misconfigured MongoDB database appears to belong to Ai.Type a Tel Aviv-based startup that designs and develops a personalized keyboard for mobile phones and tablets for both Android and iOS devices.

Uber announced on Nov. 21 that the personal data of 57 million users, including 600,000 drivers in the United States, were stolen in a breach that occurred in October 2016, and that it paid the hacker $100,000 to destroy the information. But the company did not reveal any information about the hacker or how it paid him the money.

« Nous croyons en l'enseignement et au partage de connaissance, la transparence est un engagement. NumWorks est la première calculatrice engagée. Notre objectif est d’offrir une nouvelle vision de l’apprentissage des mathématiques avec un outil à l’image de la science : en perpétuelle évolution, ouvert et participatif », s’enthousiasme Romain Goyet. Car NumWorks est une calculette open source : toutes ses connaissances sont disponibles en ligne sous licence Creative Commons, ainsi que les plans techniques.

La capitalisation boursière d’Amazon a atteint 586 milliards de dollars vendredi, faisant gagner à son premier actionnaire 2,4 milliards de dollars en une journée.

La plateforme de partage d’images Imgur a été victime d’un piratage en 2014. Celui-ci n’a été découvert que récemment, mais concerne 1,7 million de comptes sur les 150 millions d’utilisateurs du service.

En deux jours, coup sur coup, Facebook a annoncé déployer ses outils de surveillance de masse pour détecter les comportements suicidaires puis pour lutter contre le terrorisme. La concomitance de ces annonces révèle parfaitement la politique de fond du réseau social hégémonique : se rendre aussi légitime que les États et, avec l'accord bien compris des « démocraties libérales », remplacer celles-ci pas à pas.