Източване на лични данни

  • Пазете се от напускащи служители

    Над 60% от кражбите на вътрешна информация е дело на служители, които планират да напуснат работа. Това показва проучване на Securonix, озаглавено „Insider Threat Report”. То обхваща „стотици инциденти, за да изведе шаблони за засичане на потенциални инциденти с киберсигурността.“

    Един от основните изводи в проучването е, че планиращите напускане служители променят своето поведение на работното си място доста преди самото напускане, Обикновено това става между 2 до 8 седмици по-рано. Част от тази промяна е подготовката за неоторизираното изнасяне на вътрешна информация – или insider attack (атака от вътрешен човек, буквално преведено).

    Защо се краде информация?

    Както подсказва името, този тип атаки са дело на хора с права и привилегии в дадената организация, имащи достъп до огромно количество информация. А данните могат да бъдат използвани по много начини:

    • Да бъдат продадени на трети лица с цел финансова облага
    • За пробив в сигурността на компанията
    • За изнудване
    • За професионална облага

    Според Securonix, изтичането на информация от организациите продължава да бъде най-разпространения вид кибератака. Според нас – може би това е така, защото е доста улеснено, както за служителите, така и от страна на работодателите, които отказват да вземат мерки срещу подобни действия.

    Очевадни инструменти

    Най-често използваните инструменти при подобни действия са и най-често използваните в ежедневието на огромна част от интернет потребителите: разпращане на данни от служебни в лични имейли, ъплоудване в cloud услуги като Dropbox, Google Drive и др., чрез копиране на USB флашки.

    Един от примерите в доклада: служител на голяма компания копира конфиденциална информация за клиентите на текущия си работодател, за да я продаде на друга компания.

    Според Securonix, източването на вътрешна информация се среща най-често в секторите фармация, финанси и IT. Техните проблеми произтичат главно от невъзможността коректно да бъде определена коя информация е конфиденциална и коя чувствителна при назначаването на привилегии за достъп на служители.

    Препоръките на Securonix са все повече да се използват алгоритми, които изучават поведението на служителите, като при наличие на аномалии те да бъдат адресирани и разгледани в детайли. Това би могло да включва дори и измерване на обема трансферирани данни от потребителя ежемесечно, наблюдавайки за извършени нередности.

    Според тях традиционните методи за следене на изтичане на информация като Data Loss Prevention (DLP)  и Privilege Access Management (PAM) не са достатъчни, тъй като те не биха могли да засекат злонамерено поведение във все по-търсените облачни услуги днес.  Но са едно добро начало.

  • Facebook уязвимост на 10 години позволява кражба на потребителски акаунти

    Уязвимост във функционалността „Логин с Facebook“ позволява кражба на лични данни на потребители на социалната мрежа. Тя е разкрита от анализатора Amol Baikar и е на над 10 години.
    Благодарение на нея, хакерите,  използвайки фалшиви сайтове, на които вие се логвате (без да подозирате, че са такива) с OAuth 2.0 токени за достъп, се сдобиват с възможност да се представят за вас. По този начин, може да се присвои идентичност на потребител на Facebook, без да се крадат потребителското му име и паролата му. Това означава, че при кражба на токен, на практика, хакерът може да се автентикира пред Facebook (или външни сайтове, използващи функционалността за логин с Facebook) от името на жертвата си.
    Уязвимостта е отстранена, а разкриването и е донесло награда от 55 хил. USD на Baikar.

    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Над 250 млн. записа с логове от техническа поддръжка оставени публично достъпни от Microsoft

    Лични данни от над 250 млн. заявки за техническа поддържа на Microsoft са били оставени публично достъпни за 2 дни през декември 2019 г., съобщава welivesecurity.com. Причината е грешна конфигурацията на сървъри на компанията.

    Тъй като личните данни са били оставени достъпни без необходимост от автентикация, на практика всеки с интернет връзка е можел да ги свали.

    Сетът с над 250 млн. записа е бил съхраняван на пет отделни Elasticsearch сървъра, които са разкрити от изследователя Bob Diachenko на 29 декември 2019 г. Той е уведомил Microsoft незабавно, а компанията е започнала разследване и е заличила информацията в рамките на 2 дни.

    Според официалната позиция на Microsoft не са засечени потенциално опасни опити за достъп до данните.

    Прочетете още: Microsoft предупреди за нова уязвимост без патч в Internet Explorer

    Каква информация?

    Източената информация включва логове от комуникация между Microsoft и клиенти на компанията за период от 14 години между 2005 и 2019 г.

    Въпреки че най-чувствителните данни – за плащания – е била обфускирана, в базите данни са били съхранявани и множество записи в текстов формат. В тях е имало IP адреси, локации и вътрешни бележки към комуникацията, маркирани като „конфиденциални“, имейл адреси на клиентите, описания на тикети за поддръжка, мейли на служители на Microsoft и т.н.

    Защо?

    Официално съобщената до момента причина за оставената на показ информация е неправилна конфигурация на правилата за защита на данните на сървърите. Подобни грешки не са нещо ново или непознато.

    Ето 3 други примера:

    Преди няколко месеца грешка в конфигурацията на Elasticsearch сървър засегна почти цялото население на Еквадор, чийто лични данни бяха оставени публично достъпни.

  • ФБР спря сайт, предлагащ достъп до крадени лични данни срещу 2 USD

    Достъпът до домейна WeLeakInfo.com е бил спрян принудително от ФБР съвместно с организации за борба с организираната престъпност от Великобритания, Нидерландия и Германия.

    Собствениците му са предлагали достъп до над 12 млрд. записи с лични данни „нелегално придобити при повече от 10 хил. пробива“, съобщава WeLiveSecurity, позовавайки се на данни от институцията.

    Снимка: weleakinfo.com

    В тях се е съдържала информация като лични имена, имейли, потребителски имена, пароли, телефонни номера и др. Цената за 24-часов достъп до базите е била 2 USD, като са били налични и абонаменти за по-дълъг период.

    Задържани са и двама души, заподозрени в управлението на сайта – единият в Нидерландия а вторият – в Северна Ирландия.

    Това не е първият подобен случай. През май 2019 г. LeakedSource.com, предлагам база данни с над 3 млрд. крадени потребителски профила, е спрян, а собственикът му се признава за виновен за трафик на крадена информация.

    Важно е да знаете, че има и легитимни сайтове, в които може да проверите дали потребителското ви име и паролата ви не са жертва на кражба – например, haveibeenpwnd.com. Браузърите Chrome и Firefox предлагат подобни функционалности.

  • Четири начина да намалите рисковете от използването на лични лаптопи във фирмата

    Все повече компании позволяват на служителите си да използват собствени устройства, когато достъпват фирмени данни. Този модел, известен като Bring Your Own Device (BYOD) спестява разходи и осигурява по-голям комфорт на служителите.

    Но също така е свързан с определени рискове за информационната сигурност на компанията. Най-тривиалният пример е за служител, който забравя някъде лаптопа си, в който има чувствителна информация. Възможно е личният таблет на служителя да стане цел на малуер или хакерска атака, което отново е проблем за неговия работодател.

    Растяща популярност

    Общо 76% от компаниите в ИТ сектора позволяват на служителите си да използват собствени устройства, показва проучване на компанията за информационна сигурност Bitglass. Едва 15% от фирмите имат пълна забрана за използването на собствени устройства.

    Липсват мерки за сигурност

    В същото време компаниите са наясно, че този модел на работа крие опасности за информационната сигурност. Едва 30% от анкетираните фирми са уверени, че са предприели необходимите мерки за сигурност.

    Защитата на лични лаптопи, смартфони и таблети не се различава съществено от защитата на работните станции във вътрешната мрежа на компанията. Ето няколко решения, които могат да сведат до минимум риска от изтичане на данни.

    Антивирусен софтуер

    Антивирусният софтуер защитава устройството от повечето онлайн заплахи. Предвид факта, че повечето ви служители използват устройствата си основно за сърфиране в интернет, инсталирането на добро антивирусно решение е задължително.

    Софтуер за защита от източване на данни

    Софтуерът за защита от източване на данни (Data Loss Prevention) е препоръчителен независимо дали компания ви използва модела BYOD. Това е решение, което намалява риска от изтичане на данни от вътрешната мрежа. С него може да контролирате дейността на служителите, както и да контролирате достъпа, модифицирането и изпращането на чувствителна информация.

    Криптиране на устройствата

    Ако устройството на служителя бъде откраднато (или просто го изгуби), информацията на него може да бъде открадната. Криптирането на устройството решава този проблем. Ако данните на един лаптоп са криптирани, те не могат да бъдат разчетени от външно лице. За да се случи това е необходима парола, която се знае само от собственика на устройството.

    Избор на силни пароли

    Старото правило за избор на трудни за разбиване пароли никога няма да се изтърка. В случая трябва да обучите служителите си да го правят на своите устройства. Това е както в техен интерес, така и в интерес на компанията. Ето няколко прости правила за избор на сигурни пароли.

  • 773 млн. крадени имейл адреси са публикувани в интернет

    Гигантска база данни със 773 млн. имейл адреса е открита от специалиста по информационна сигурност Трой Хънт. Според него това е най-големият масив от крадени лични данни, който някога е публикувал в своя сайт Have I Been Pwned.

    Освен имейл адресите Хънт е открил и над 21 млн. хакнати пароли в дехеширан вид. С тях и откритите имейл адреси могат да се направят над 1.1 млрд. уникални комбинации, които да се използват от хакерите за разбиване на онлайн акаунти.

    Техниката се нарича credential stuffing: използвайки дълъг списък с крадени пароли, хакерът тества дали някоя от тях няма да отключи произволен акаунт. Процесът е автоматизиран и не коства никакви усилия на хакера.

    Защо изтичането е проблем

    За потребителите credential stuffing е заплаха, която много от тях не разбират. „Успехът на този метод се дължи на факта, че потребителите използват едни и същи пароли на много различни места. Вероятно и вашата парола е в списъка, защото преди години сте се регистрирали с нея в някой форум и после сте забравили. Но после паролата е била разбита, а вие продължавате да си я ползвате навсякъде. Това означава, че имате голям проблем„, коментира Хънт.

    Имейлите могат да бъдат използвани и от спамърите, за да разпращат масирани фишинг кампании.

    Хънт открива масивите с данни в облачната услуга MEGA под името Collection#1. Общият файл с размер от 87 гигабайта съдържа в себе си над 12 хил. файла. Всички открити данни са добавени в Have I Been Pwned и всеки може да провери дали имейлът или паролата му се намират там.

    Според Алекс Холдън от консултанткста компания Hold Security данните във файла всъщност са стари и за изтичането им се знае поне от няколко години; просто сега някой се е сетил да ги събере и да ги продава на едро. „Тези данни бяха популяризирани преди няколко години в даркнет от руски хакери“, коментира Холдън пред специализирания блог Krebs on Security.

    Съвети за потребителите

    • Не използвайте една парола за повече от един акаунт;
    • Ако ваша парола фигурира в Have I Been Pwned, спрете да я използвате веднага;
    • Използвайте трудни за отгатване пароли;
  • Какво знае Google за вас

    През първото деветмесечие на 2018 г. Alphabet, компанията-майка на Google, е генерирала 97 млрд. долара приходи. От тях 83.7 млрд. долара(или 86% от общия оборот) идват от реклама.

    За да поддържа този гигантски поток от пари, Google има нужда от възможно най-много потребителски данни. Търсачката и свързаните с нея услуги има обширно досие за дигиталната самоличност на потребителите си: какво търсят, какви места са посещавали, какви покупки са направили, какви клипове в Youtube са гледали, какво е здравословното им състояние (ако използват Google Fit), албумите им със снимки и много друга информация.

    Този масив от данни позволява на компанията да таргетира реклами в зависимост от интересите и необходимостите на потребителите, превръщайки се по този начин в ефективен маркетингов канал.

    Как да видите с какви данни за вас разполага Google

    Съгласно GDPR можете да видите на тази страница какви данни за вас пази Google, както и да поискате копие от тези данни. Имате възможност да избирате дали да свалите данни, събрани от всички продукти на Google, или само някои от тях.

    След като направите избора си, потвърдете го с Next.

    Следващата стъпка е да изберете в какъв формат да е файлът с вашите данни. Можете да избирате между два архивни формата: .zip и .tgz. Ще трябва да определите и какъв да е размерът на всеки архивен файл. Това е важно, ако съхранявате голям обем данни в продуктите на Google. Ако например размерът на вашите данни е 100 гигабайта, но изберете максимален размер на архивния файл от 2 гигабайта, данните ще бъдат разпределени в много архивни файлове с този размер.

    Последната стъпка е да изберете как искате да получите вашите данни. Можете да получите линк за сваляне на имейл, или да ги получите на облачна услуга като Google Drive, Dropbox или OneDrive. Линкът за сваляне е активен една седмица, след като го получите.

    След като сте приключили с всички настройки по създаването на архива, можете да го потвърдите с Create Archive.

  • Първата глоба за неспазване на GDPR в Германия е факт

    Чат платформата Knuddels е първата компания в Германия, глобена за неспазване на изискванията на евродирективата GDPR. Глобата е в размер на 20 хил. евро. Наложена е, защото 1.8 млн. потребителски имена и пароли на нейни потребители бяха публикувани в интернет.

    Кражбата на лични данни се е случила през юли 2018 г., твърди BleepingComputer. Knuddels не е криптирала по никакъв начин данните за достъп до потребителските профили. Tе са били откраднати  от сървърите й и качени в Pastebin, където традционно се публикуват крадени лични данни. Публикувани са и в облачната услуга Mega. Освен 1.8 млн. имена и пароли са изтекли и малко над 800 хил. имейл адреси.

    Knuddels е информирала потребителите си и местните регулатори за пробива. „Данни за достъп на наши потребители бяха публикувани в интернет. Нямаме данни за злоупотреба. Въпреки това временно деактивирахме всички профили, чиито данни са изтекли“, съобщава компанията в публикация в своя форум от началото на септември.

    GDPR влезе в сила в края на май 2018 г. и предвижда глоби до 20 млн. евро или 4% от годишния оборот на компанията (взима се по-голямото от двете) за неспазване на изискванията на директивата. При определяне размера на глобата се вземат различни фактори като брой на засегнатите потребители, превантивни мерки и взаимодействие с регулаторните органи.

  • Facebook Zero Day: Какви данни са откраднали хакерите?

    Личните данни на 29 млн. души са били откраднати заради уязвимост във Facebook, съобщи компанията-собственик на социалната мрежа. Първоначалните прогнози бяха, че атаката е засегнала поне 50 млн. потребителски профили.

    Колко профили са засегнати

    Организаторите на атаката са получили достъп до имената, телефонните номера и имейлите на 15 млн. потребители.

    За други 14 млн. потребители те са събрали много по-детайлна информация. Освен име, телефонен номер и имейл, тази информация включва още пол, религия, местоживеене, рожденна дата, видове използвани устройства за достъп до Facebook, образование, месторабота, места, на които потребителят се е тагнал, последните 15 търсения в търсачката на Facebook и други чувствителни данни.

    За 1 млн. потребители уязвимостта не е довела до кражба на лични данни. Техните профили обаче също са били достъпни и с тях общият брой на засегнатите от атаката се качва до 30 млн.

    Как е осъществена атаката

    По данни на Facebook атаката е осъществена със скрипт, който подобно на верижна реакция е получавал достъп до профил на човек, след това на неговите приятели, след това на приятелите на техните приятели и т.н. Това е било възможно заради уязвимост във функцията View as.

    Обикновено тази функция се използва, за да видите как изглежда профилът ви от името на ваш приятел. Но уязвимостта е направила възможно да се получи достъп до профила на човека, за когото се представяте с View as. Прочетете подробно описание на уязвимостта.

    За да експлоатират уязвимостта, хакерите най-напред са получили достъп до профилите на определено количество потребители. От там, следвайки принципа на верижната реакция, атаката е достигнала до общо 30 млн. души.

    Откраднати ли са чатове и лична кореспонденция

    Разследването на Facebook не е открило доказателства, че организаторите на атаката са можели да четат чатовете на хакнатите потребители. Има само едно изключение и то се отнася за потребителите, които са администратори на Facebook страница. Ако по времето на атаката Facebook страницата е получавала съобщения от потребители, хакерите са можели да прочетат кореспонденцията.

    Как да разбера дали профилът ми е засегнат

    Към момента Facebook е предприела мерки и за потребителите вече няма опасност от изтичане на лични данни. Ако искате да разберете дали сте пострадали от атаката, отворете този линк (преди това трябва да сте влезли във Facebook).

    Ако профилът ви не е засегнат, ще видите следното съобщение:

     

  • Microsoft свали руски сайтове, използвани за кибер-атаки срещу САЩ

    Експерти от Microsoft докладваха, че са открили редица фалшиви уебсайтове, които целят да копират правителствен организации, както и две политически такива. От компанията докладват, че страниците са дело на групата APT28 или Fancy Bear, за която се предполага, че има силни връзки с руското правителство.

    Откритите домейни са:

    my.iri.org
    hudson-my-sharepoint.com
    senate.group
    adfs-senate.services
    adfs-senate.email
    office365-onedrive.com

    Microsoft пояснява, че до момента не се знае за успешни опити за атака чрез тези страници. Няма и информация за организирани кампании, в които те се използват.

    Сайтовете бяха премахнати от отделът за борба с престъпленията към Microsoft, чрез съдебно решение. Правомощието за това беше отредено на технологичния гигант, тъй като сайтовете използват интелектуална собственост като „sharepoint“, „office365“ и „onedrive“. В последните две години, компанията е използвала съдебна помощ за премахването на общо 84 фалшиви страници, които също са били дело на APT28.

    Преди едва месец, вице-президентът на Microsoft – Том Бърт – разказа и за свалянето на домейн, който е бил използван за фишинг атаки към поне 3-ма кандидати за конгреса на САЩ.

Back to top button