Защита на лични данни

  • Данни на потребители на Radio.com източени от резервно копие на базата данни

    Лични данни, сред които номера на социални осигуровки, на неопределен брой потребители са били източени от резервно копие на база данни на сайта Radio.com. Той е собственост на втората по големина радио компания в САЩ Entercom.

    Пробивът в сигурността е осъществен на 4 август 2019 г. и е разкрит. Данните са били съхранявани на хостинг провайдър на компанията и освен номера на социални осигуровки (американският еквивалент на ЕГН) включват имена и номера на шофьорски книжки. Компрометирани са и потребителски имена и пароли.

    Прочетете повече по темата тук

    В рубриката Новините накратко подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Над 146 млн. записа лични данни източени от доставчик на безплатен Wi-Fi

    Безплатен ли е безплатния Wi-Fi? По-скоро не – или поне това показва разкритие на анализатора Jeremiah Fowler. Той е намерил публична база данни с над 146 млн. записа за потребители, използвали услугите на компания, предоставяща безплатни Wi-Fi хотспотове в различни публични обекти във Великобритания – ресторанти, магазини и др.

    За да използват безплатния Wi-Fi, потребителите е трябвало да въведат свои лични данни – имена, мейли и т.н. Именно на база данни с тази информация се е натъкнал Fowler. Тя е била оставена публично достъпна в интернет. Достъпът до базата данни е бил спрян, след като анализаторът съобщава за пропуска.

    Въпросът за потребителите обаче остава: склонни ли сте да споделите личните си данни, за да спестите някой и друг мегабайт от мобилния си план за интернет? Защото, макар и наглед безобидна, тази информация за вас може да бъде използвана. Най-малкото, ще се знае кои заведения или хотели посещавате, в кои магазини пазарувате – и на база това, може да бъдете профилирани.

    Прочетете повече по темата тук

     

    В рубриката Новините накратко подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Facebook уязвимост на 10 години позволява кражба на потребителски акаунти

    Уязвимост във функционалността „Логин с Facebook“ позволява кражба на лични данни на потребители на социалната мрежа. Тя е разкрита от анализатора Amol Baikar и е на над 10 години.
    Благодарение на нея, хакерите,  използвайки фалшиви сайтове, на които вие се логвате (без да подозирате, че са такива) с OAuth 2.0 токени за достъп, се сдобиват с възможност да се представят за вас. По този начин, може да се присвои идентичност на потребител на Facebook, без да се крадат потребителското му име и паролата му. Това означава, че при кражба на токен, на практика, хакерът може да се автентикира пред Facebook (или външни сайтове, използващи функционалността за логин с Facebook) от името на жертвата си.
    Уязвимостта е отстранена, а разкриването и е донесло награда от 55 хил. USD на Baikar.

    Прочетете повече по темата тук

     

    В рубриката Новините накратко подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Как да си върнете контрола на личните данни от Google

    28 януари се отбелязва от редица институции, включително и Комисията за защита на личните данни, като международен Ден за защита на личните данни. В този ден публикуваме материал, в който ще ви покажем как може да наложите контрол върху личните данни, които Google събира за вас. Очаквайте и други подобни съветници за това как да върнете контрола върху информацията, която споделяте за себе си.

    Темата „защита на лични данни“ е, а и най-вероятно ще става все по-значима за всеки от нас, който има компютър, смартфон, смарт хладилник, часовник и т.н. Ще става по-значима и за технологичните гиганти, които са обект на непрекъснат натиск да осигуряват адекватна защита на потребителските личните данни от една страна и прозрачност при събирането им, от друга. Пример и за двете е Google.

    През последната година лидерът в онлайн търсенето създаде множество инструменти, с които потребителите на компанията могат да контролират колко и какви лични данни събира тя за тях, както и как. Водещият от тях се нарича Privacy Checkup. На него  посветен и този текст. Ще преминем през настройките и ще ви покажем как да управлявате какво знаят за вас Search, YouTube, Maps и другите услуги, собственост на компанията. (Предупреждаваме, че дашбордът ви може да е различен от показаните тук, в зависимост от услугите, които използвате реално).

    Как да си върнете личните данни от Google

    Активност в мрежата и приложенията

    Ако тази опция е включена, Google съхранява информация за активностите ви както в сайтовете на компанията, така и в приложенията, които използвате. В случая с Chrome – това е историята на уебсайтовете, които посещавате. Ако имате Android смартфон или таблет, Google ще записва приложенията, с които работите, времето, в което ги ползвате и колко пъти сте ги използвали през деня.

    Активност в мрежата и приложенията

    Като причина за събирането на тази информация Google посочва желанието си да предоставя персонализирани услуги на потребителите си, например по-бързо търсене. Може да изключите всички едновременно (което значи, че няма да имате история на браузъра си, дейностите ви онлайн, както и устройствата и приложенията ви и гласовите бележки и аудиозаписи). Имате възможност да изтриете съхраняваната информация както автоматизирано (на 3 или 18 месеца), така и на ръка, във всеки един момент. Иначе – както Google казва, активността се запазва, докато не я изтриете ръчно.

    История на местоположенията

    Звучи простичко, но все пак, за да е ясно: Google създава карта на местоположението ви с устройствата, с които използвате техните услуги. В случая – история на местоположенията е изключена, което означава, че Google не събира информация за моите местоположения – но това не означава, че базата данни събрана преди изключването е изтрита. Ако е включена, ще се съхранява история за движението ви дори и когато не използвате активно приложенията на търсачката.

    История на местоположенията

    „Това ви предоставя подобрени търсения от картата и маршрути за пътуването до работното място и ви помага да преоткривате посетените от вас места и маршрутите, по които сте минавали,“ пише в официалното пояснение към услугата. Ако искате, може да видите историята на движението си ден по ден.

    Вижте историята си или я изтрийте в Google Maps Timeline. Настройките стигат дотам, че ви позволяват да определяте кои ваши устройства да споделят информация за местоположението ви – и кои не. Информацията може да се види само от вас, освен, ако някой не хакне профила ви или не споделяте потребителското си име и паролата си.

    Гласови и аудиозаписи

    Даването на гласови команди е доста по-лесно от писането, две мнения няма. Ако тази настройка е включена, всички гласови команди, които подавате, обаче, ще бъдат записвани и съхранявани. Както и гласово въвеждане на данни (например, търсене с гласова команда). Гласови и аудиозаписи

    Тези данни се използват за подобряване на алгоритмите за гласово разпознаване на Google. Настройката е свързана с Активност в мрежата и приложенията – откъдето може да изключите изцяло запазването на гласови записи.

    История в YouTube

    Ако функцията е включена, в профила ви ще се пази история на всички видеа, които сте търсили и гледали. На база на тази история, YouTube ще ви предлага свързано съдържание, което може да ви е интересно. Освен това ще помни докъде точно сте стигнали с гледането на всяко едно видео, за да не започвате от началото му всеки път.

    Историята на гледанията ви в YouTube може да казва много и за навиците и предпочитанията ви, което да се използва и за бъдещо таргетиране на реклами в мрежата на Google (дори и не само в YouTube). Повече вижте в това видео, публикувано от Team YouTube.

    История в YouTube

    YouTube обаче е много повече от сайт за видео споделяне – това е цяла социална мрежа. Затова на нея е отделен цял раздел в настройките. Можете да контролирате кой (освен вас) вижда историята на гледанията ви, плейлистите ви, за кои канали сте абонирани. Също така: с кого споделяте видеата си и кой вижда, когато качите ново или се абонирате за съдържание в сайта.

    Персонализиране на рекламите

    Не, не можете да изключите рекламите. Но може да определите дали рекламите, които виждате да са персонализирани – т.е. да пасват максимално на събраната информация за интересите, възрастта ви и всичко друго, което Google знае за вас. В секцията за персонализиране на рекламите ще видите и всички параметри, по които Google персонализира рекламите за вас. например, най-интересното, което видях за себе си е, че според профила ми се интересувам от цветя (не знам защо).

    Ако изключите персонализирането на рекламите, ще виждате „генерични реклами“ – т.е. всичко, което се рекламира.

    Какво другите виждат за вас

    На практика – това е вашия публичен профил, бившият Google+ (или нещо подобно). Ако не сте споделяли твърде много за себе си, той може да съдържа само името и снимката ви. Обърнете внимание на секцията за споделени препоръки – това са мненията, които сте оставяли в приложенията на Google за местата, на които сте били – рейтинги за ресторанти, продукти и др.

    По подразбиране, настройката е изключена. Съветваме ви, обаче, да проверите дали чекбоксът Въз основа на активността ми Google може да показва името и снимката на потребителския ми профил, както и активността ми, в споделени препоръки в реклами наистина е изключен. Ако не, мненията ви могат да бъдат използвани включително и за реклама.

    Защитата на личните ви данни е нещо, на което трябва да обърнете сериозно внимание, и то не само в рамките на един ден. Правете го всеки ден. Винаги може да останете изненадани.

  • Над 250 млн. записа с логове от техническа поддръжка оставени публично достъпни от Microsoft

    Лични данни от над 250 млн. заявки за техническа поддържа на Microsoft са били оставени публично достъпни за 2 дни през декември 2019 г., съобщава welivesecurity.com. Причината е грешна конфигурацията на сървъри на компанията.

    Тъй като личните данни са били оставени достъпни без необходимост от автентикация, на практика всеки с интернет връзка е можел да ги свали.

    Сетът с над 250 млн. записа е бил съхраняван на пет отделни Elasticsearch сървъра, които са разкрити от изследователя Bob Diachenko на 29 декември 2019 г. Той е уведомил Microsoft незабавно, а компанията е започнала разследване и е заличила информацията в рамките на 2 дни.

    Според официалната позиция на Microsoft не са засечени потенциално опасни опити за достъп до данните.

    Прочетете още: Microsoft предупреди за нова уязвимост без патч в Internet Explorer

    Каква информация?

    Източената информация включва логове от комуникация между Microsoft и клиенти на компанията за период от 14 години между 2005 и 2019 г.

    Въпреки че най-чувствителните данни – за плащания – е била обфускирана, в базите данни са били съхранявани и множество записи в текстов формат. В тях е имало IP адреси, локации и вътрешни бележки към комуникацията, маркирани като „конфиденциални“, имейл адреси на клиентите, описания на тикети за поддръжка, мейли на служители на Microsoft и т.н.

    Защо?

    Официално съобщената до момента причина за оставената на показ информация е неправилна конфигурация на правилата за защита на данните на сървърите. Подобни грешки не са нещо ново или непознато.

    Ето 3 други примера:

    Преди няколко месеца грешка в конфигурацията на Elasticsearch сървър засегна почти цялото население на Еквадор, чийто лични данни бяха оставени публично достъпни.

  • ФБР спря сайт, предлагащ достъп до крадени лични данни срещу 2 USD

    Достъпът до домейна WeLeakInfo.com е бил спрян принудително от ФБР съвместно с организации за борба с организираната престъпност от Великобритания, Нидерландия и Германия.

    Собствениците му са предлагали достъп до над 12 млрд. записи с лични данни „нелегално придобити при повече от 10 хил. пробива“, съобщава WeLiveSecurity, позовавайки се на данни от институцията.

    Снимка: weleakinfo.com

    В тях се е съдържала информация като лични имена, имейли, потребителски имена, пароли, телефонни номера и др. Цената за 24-часов достъп до базите е била 2 USD, като са били налични и абонаменти за по-дълъг период.

    Задържани са и двама души, заподозрени в управлението на сайта – единият в Нидерландия а вторият – в Северна Ирландия.

    Това не е първият подобен случай. През май 2019 г. LeakedSource.com, предлагам база данни с над 3 млрд. крадени потребителски профила, е спрян, а собственикът му се признава за виновен за трафик на крадена информация.

    Важно е да знаете, че има и легитимни сайтове, в които може да проверите дали потребителското ви име и паролата ви не са жертва на кражба – например, haveibeenpwnd.com. Браузърите Chrome и Firefox предлагат подобни функционалности.

  • Facebook плаща до 20 долара, за да събира лични данни от смартфони

    Facebook плаща на потребители ,за да инсталират на смартфоните си приложение, което събира личните им данни. От компанията са потвърдили тази информация пред TechCrunch.

    Става дума за приложение, наречено Facebook Research. От 2016 г. насам компанията е предлагала суми до 20 долара на всеки потребител, който си инсталира приложението на своя смартфон. Основната работа на Facebook Research е да следи активността на потребителя онлайн.

    Приложение, което изсмуква данни

    Според Уил Страфах, консултант по информационна сигурност в Guardian Mobile Firewall, приложението може буквално да изсмуче личните данни от устройството, на което е инсталирано. „Ако от Facebook използват пълния достъп, който получават с това приложение, те ще могат да събират лични съобщения от приложения за социални медии; месинджъри; изпратени снимки и видеа; имейли; търсени думи в търсачките; история на уеб сърфирането и дори данни за настоящото ви местоположение, стига да сте инсталирали на телефона си приложение за геолокация“, посочва Страфах.

    Пълен достъп до активността в приложенията

    Преди да инсталират приложението, потребителите виждат следното предупреждение, публикувано от Engadget: „С инсталирането на този софтуер вие се съгласявате да събираме данни от вашия телефон, които ще ни помогнат да разберем как сърфирате в интернет и как използвате приложенията, които сте свалили… Това означава, че давате право да събираме информация за приложенията на телефона, как и кога ги използвате, данни за активността и съдържанието в тези приложения, както и как другите потребители общуват с вас през тези приложения“.

    От Facebook потвърждават пред TechCrunch за съществуването на Facebook Research, което се разработва като част от Project Atlas. Според компанията целта на проекта е да събира информация за потребителските навици и е практика, която се използва и от други компании.

    Почти веднага след публикуваната информация Facebook обяви, че версията на Facebook Research за iOS ще бъде свалена. По подобен начин през август 2018 г. Facebook свали Onavo VPN. Представено като безплатно VPN решение, Onavo също събираше данни за потребителите по начин, който нарушава правилата на App Store.

    Facebook купи Onavo през 2013 г. именно за да следи потребителските навици на потребителите. Компанията използва данните от Onavo, за да види кои функции в конкурентните мобилни приложения са популярни сред потребителите, и така да може да направи свои алтернативи.

  • Над 95 хил. жалби за неспазване на GDPR са подадени за 8 месеца

    Над 95 хил. жалби на граждани за неспазване на GDPR са подадени от май 2018 г., когато директивата влезе в сила. България е една от петте страни в Европа, които закъсняват с практическото прилагане на директивата. Това са два от основните изводи в изявление на Европейския комитет за защита на данните.

    България е една от страните, където практическото приложение на GDPR все още изостава. Другите са Гърция, Словения, Португалия и Чехия. Съгласуваният с GDPR законопроект беше внесен в българския парламент през септември 2018 г., но беше окончателно гласуван едва на 24 януари 2019 г.

    От Европейския комитет за защита на данните отчитат, че до момента в ЕС се водят 255 разследвания за нарушения на изискванията по GDPR. Вече има и случаи на глобени компании.

    Най-голямата до момента глоба е за 50 млн. евро. Тя беше наложена на Google. Според френските регулатори интернет гигантът не информира достатъчно добре потребителите си за това как използва данните им за таргетирана реклама.

    През ноември Германия наложи глоба от 20 хил. евро на чат платформата Knuddels, след като хакери пробиха сървърите на компанията и откраднаха потребителски данни, които след това публикуваха в Pastebin.

    „Случаят Facebook/Cambridge Analytica, както и неотдавнашните пробиви в сигурността на личните данни, показаха, че сме на прав път. На риск е изложена не само защитата на неприкосновеността на личния ни живот, но и защитата на нашите демокрации и гарантирането на устойчивостта на нашите основани на данни икономики“, коментират от комитета.

  • Почти 60% от организациите по света твърдят, че са съвместими с изискванията на GDPR

    Около 59% от организациите изпълняват всички или почти изисквания по евродирективата GDPR. Това показват резултатите от проучване на Cisco сред 3200 експерти по информационна сигурност от цял свят.

    Подготвените за GDPR организации отчитат по-малък риск от пробив на данни и по-кратки забавяния в продажбите, показват още резултатите от проучването.

    Една трета ще са готови с GDPR след година

    Анкетата е направена с респонденти от 18 страни, включително и няколко европейски. Данните показват, че в ЕС за най-подготвени се считат респондентите в Испания (76%) и Италия (72%). Данни за България няма.

    29% от анкетираните очакват организацията им да покрива изискванията на GDPR, а други 9% казват, че ще им трябва повече от година.

    Какво показва практиката досега

    Проучването е установило, че компаниите, които са инвестирали в подготовка за GDPR, вече извличат ползи от това. Така например 74% от тях са регистрирали пробив на данни, но този дял е по-малък в сравнение на дела от компаниите(89%), които нямат готовност за GDPR.

    Компаниите, които покриват изискванията на директивата, отчитат забавяне от средно 3.4 седмици при реализацията на продуктите им на пазара. Това забавяне се дължи на факта, че клиентите им се притесняват за защитата на данните.

    При компаниите, които не покриват изискванията на директивата, този период е средно с две седмици по-дълъг: 5.4 седмици.

    „Тези резултати показват, че спазването на стандарти за поверителност и защита на данните вече е конкурентно предимство за много компании. Организациите следва да оптимизират ползите от своите инвестиции в защита на данните. Тези инвестиции може да надхвърлят задълженията, които трябва да се спазват съгласно една или друга регулация“, коментират от Cisco.

  • Франция глоби Google с 50 млн. евро за нарушения по GDPR

    Френският регулатор CNIL (Commission nationale de l’informatique et des libertés) глоби с 50 млн. евро интернет гиганта Google. Наказанието е за неспазване на евродирективата за защита на личните данни GDPR. Според CNIL американската компания не предоставя адекватна информация за начините, по които обработва лични данни при пласиране на онлайн реклами.

    Рекордна глоба

    Това е най-голямата глоба по GDPR, откакто евродирективата влезе в сила на 25 май 2018 г. Тя предвижда финансови наказания за компаниите, които оперират на територията на Европейския съюз и не могат да спазват правилата за защита на личните данни.

    „Това е първият случай, в който CNIL налага санкция съгласно GDPR. Размерът на глобата е съобразен със степента на неспазване на основните принципи на директивата. А те са прозрачност, информираност и съгласие“, коментира френския регулатор.

    Липса на прозрачност

    Google не е успяла да информира потребителите за начините, по които събира данните им и ги използва за пласиране на онлайн реклама, се казва в решението. Въпреки че самата компания твърди, че получава информирано съгласие от страна на потребителите, преди да започне да използва данните им, според регулатора това не е така.

    „Информацията за обработката на данни и персонализирането на рекламите е разводнена в няколко документа и не позволява на потребителя да добие представа за мащаба на процесите. Например в секция „Персонализиране на реклами“ няма как да се разбере ясно кои услуги, сайтове и приложения участват в обработката на данни (Google Search, Youtube, Google Home, Google Maps, Play Store, Google Pictures…)“, се казва в решението на френската комисия.

    Предварително зададено съгласие

    CNIL отчита факта, че потребителите могат да избират какви персонализирани реклами да виждат, когато си създават нов акаунт. „Това обаче не означава, че GDPR се спазва. Потребителят не само трябва да избере More Options, за да промени настройките, но и опцията за персонализация на реклами е избрана по подразбиране. Според GDPR обаче съгласието на потребителя е недвусмислено само ако той го е заявил с ясно изразено действие“, посочва френският регулатор.

    GDPR предвижда глоби до 20 млн. евро или до 4% от годишния оборот на компаниите (избира се по-голямото от двете), които не спазват директивата.

    През 2017 г. Google има приходи от 109.6 млрд. долара. Те формират 99% от консолидирания оборот на Alphabet, компанията-собственик на търсачката.

Back to top button
Close
Close