GDPR

  • Промените в политиката за поверителност на WhatsApp се отлагат

    WhatsApp отлага въвеждането на промени в практиката си за споделяне на данните на потребителите си. Компанията обяви, че ще работи за „изчистване на дезинформацията“ около политиката си за поверителност.

    Притежаваната от Facebook компания прибегна към това „замразяване“, след бурна реакция от страна на потребителите по цял свят. Планираните промени, които трябваше да бъдат приложени на 8 февруари 2021 г., изискваха ползвателите на чат-приложението извън ЕС задължително да се съгласят данните им да бъдат споделяни с Facebook.

    Новината предизвика масово недоволство и провокира хората да се обърнат към други приложения (Signal, Telegram).

  • Съгласявате се личните ви данни да бъдат споделяни с Facebook или акаунтът ви в WhatsApp ще бъде изтрит – кои потребители ще бъдат засегнати

    Последен ъпдейт на 16 януари 2021 в 03:55 ч.

    Новата Политика за поверителност на WhatsApp ще влезе в сила на 8 февруари 2021 г., за което голяма част от потребителите вече бяха уведомени.

    Как реално промените ще засегнат вашата поверителност

    Даването на съгласие за споделяне на личните данни, като задължително условие да продължат да ползват WhatsApp акауните си, се отнася за всички извън Европейския съюз (сред които вече попадат и живеещите на територията на Великобритания).

    Личните данни на европейските граждани обаче няма да бъдат споделяни със социалната мрежа – това е така, поради ограниченията, налагани от Общия регламент за защита на личните данни (GDPR).

    В действителност, за никого не е тайна, че WhatsApp споделя данните на потребителите си с Facebook още от 2014 г. – заложените промени в новата Политика за поверителност просто ще официализират действията.

    Важно е да отбележим, че новите условия всъщност не променят крайната енкрипция на съобщенията, снимките и останалата информация, която изпращате чрез приложението.

    Най-същественото, което трябва да знаете като потребители е, че WhatsApp и Facebook няма как да проследят вашата комуникация. Информацията, която ще бъде споделена между компаниите включва телефонния ви номер, логове за това колко, къде и кога използвате приложението, устройството на което го използвате и т.н.

    По-важно е вниманието ви да бъде насочено към това, че личната ви информация изобщо се събира. Да, Facebook и WhatsApp си обменят данни за вас, но по-притеснителен е фактът, че същото прави всяка друга безплатна услуга.

    Как WhatsApp промени поведението си през изминалите години

    Добре известно е, че за “безплатното” понякога трябва да платим доста скъпо. Често цената е личната ни информация (privacy) и повечето от потребители на социалните мрежи и приложенията за комуникация са наясно с това. Тогава защо промяната в условията за ползване на WhatsApp е обект на такова внимание?

    Потребителите на чат приложението имат основателна причина да бъдат ядосани: През 2014 г. WhatsApp обяви, че лични данни от акаунтите няма да бъдат предоставяни на току-що придобилия дялове социален гигант – Facebook.

    Две години по-късно обаче (през 2016 г.), след като компанията на Mark Zuckerberg увеличи присъствието си в WhatsApp, приложението „реши“ да започне да споделя информация от акаунтите на потребителите си със социалната мрежа, „за да подобри рекламите и продуктовото позициониране“. Тогава обаче на потребителите беше дадена еднократна възможност да не се съгласят с тази промяна и да отхвърлят възможността личните им данни да бъдат споделяни.

    Точно това право на избор липсва в последната версия на Политиката за поверителност на WhatsApp, отнасяща се за потребителите извън територията на ЕС.

    Препоръка

    Съветът ни към вас е обичайният: Ако желаете да използвате безплатна услуга като Facebook, Viber, WhatsApp, Gmail и т.н, първо се запознайте с условията за ползване. Ясно е, че няма безплатен обяд, но е важно да знаете по какъв начин сте заплатили и дали той е приемлив за вас.

  • Как визуализацията на линкове в чат приложения може да ви компрометира

    Визуализацията (краткият предварителен преглед) на линковете, които си разменяме през чат приложенията, е много удобна функционалност. Тя съдържа картинка и кратък текст, които ни насочват какво е прикаченото съдържание. Оказва се обаче, че това улеснение може да доведе до сериозни нарушения на поверителността и сигурността ви.

    Как е възможно една обикновена функция да се превърне в заплаха

    За да създаде подходяща визуализация, чат приложението трябва да посети връзката, да отвори файла там и да проучи какво има в него. В резултат на това, изпращането/получаването на линкове в някои чат приложения може да отвори вратички, които недоброжелатели да използват.

    Instagram сървърите например изтеглят всеки един директен линк, който се изпраща в съобщение, независимо от големината му. Това означава, че хакерите спокойно могат да инжектират Java script в сървърите на Инстаграм.

    Визуализацията на линковете е внедрена в най-популярните приложения за чат на iOS и Android. Кликайки върху нея може да се окаже, че давате достъп до IP адреси, излагате връзки, споделени в криптираните от край до край чатове или  изтегляте значителен обем ненужна информация.

    Как чат приложенията генерират визуализация на линковете

    Използват се следните различни подходи:

    1. Не се генерира визуализация

    Най-добрият вариант е да се откажете от прегледа на линкове. Оставете линкът, така както ви е изпратен, така че приложението да не го отваря, без да сте го посетили. Малко от приложенията обаче предлагат тази опция: Signal, Threema, TikTok, WeChat.

    1. Подателят генерира визуализацията на линка

    При изпратен линк, приложението изтегля данните, генерира кратък преглед на страницата и го изпраща, прикачен към линка. Получателят има възможност бързо да погледне за какво става дума, без да е нужно да посещава линка – това го защитава от злонамерени съобщения. Така работят iMessage, Signal, Viber, WhatsApp.

    1. Получателят генерира визуализацията на линка

    В този случай приложението автоматично отваря всеки получен линк, за да създаде кратък преглед. Това се случва без дори да кликате върху линка – достатъчно е само да отворите чата.
    Защо това е най-лошият вариант и не се използва от популярните приложения? Подобно на уеб браузърите, чат приложенията посещават адреса (линка) и зареждат съдържанието чрез GET заявка. В нея включват IP адреса на телефона, за да знае сървърът къде да изпрати данните обратно. Това би било от полза за вас ако планирате да отворите линка. Но ако някой иска да узнае къде се намирате?

    1. Сървър генерира визуализацията

    Това означава, че когато изпратите линк, той отива във външен сървър, който генерира визуализацията и я изпраща обратно на получателя и/или подателя. На пръв поглед този вариант изглежда по-приемлив от предходния. Но не и когато изпращате лични данни, а сървърът им направи копие, за да генерира визуализация.

    Тук възниква и въпросът: Запазва ли сървърът тези данни? Ако отговорът е ДА, то за колко време и какво друго прави той с тях?

    Приложенията, които работят по този начин са Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter, Zoom

    Какви са рисковете и последиците за поверителността

    1. Създаване на неразрешени копия на лична информация

    Споделените в чатовете линкове към документи могат да съдържат лична информация, предназначена само за получателите. Това могат да бъдат сметки, договори, медицински досиета или друга поверителна информация. Приложенията, които разчитат на сървъри за генериране на визуализации на линкове, могат да нарушават поверителността на своите потребители, като изпращат линковете, споделени в личен чат на своите сървъри. Въпреки че приложението се доверява на тези сървъри, не е сигурно какво точно изтеглят те. В държавите от ЕС действа Общ регламент за защита на личните данни (GDPR), който налага ограничения относно събирането, обработката и съхранението на лични данни.

    1. Изтегляне на голямо количество информация

    Повечето чат приложения, които разчитат на сървъри за генериране на визуализации на линковете, слагат ограничение на изтегляните данни. Причината за това е, че изтеглянето на твърде голям обем данни може да запълни капацитета на сървъра и да причини прекъсвания на услугите. Има приложения обаче – Facebook Messenger и Instagram – чиито сървъри могат да изтеглят дори много големи файлове (gigabytes).

    1. Сриване на приложения и източване на батерията

    Този проблем възниква при чат-приложенията, които не ползват сървъри за генериране на визуализация на линкове и когато приложението не е ограничило данните, които да се изтеглят. Негативният резултат ще е за вас: изтощена батерия и изразходвани данни. Това също може да доведе до непредвидено изчерпване на системни ресурси.

    1. Разкриване на IP адреси

    За да отвори връзка, телефонът ви трябва да комуникира със сървъра, към който сочи линка. Това означава, че сървърът ще знае IP адреса на вашия телефон, което може да разкрие приблизителното ви местоположение. Обикновено това не би представлявало голям проблем, ако можете да избегнете отварянето на връзки, които смятате за злонамерени. Но може ли да сте сигурни в това?

    1. Изтичане на криптирани връзки

    Някои приложения за чат криптират съобщенията от край до край. Това означава, че само подателят и получателят да ги прочетат. В такъв случай опцията за отваряне на визуализация от сървър трябва да е невъзможна. Но при някои приложения това не е така, например LINE.

    1. Изпълнение на потенциално злонамерен код върху сървърите за визуализация на линкове

    Понастоящем повечето уебсайтове съдържат код на Javascript, за да ги бъдат по-интерактивни. Такива са и рекламите, които ни облъчват.  Когато генерирате визуализации на линкове е добре да избягвате изпълнението на какъвто и да е код от тези уебсайтове. Никога не трябва да се доверявате напълно на линкове, които получавате в чата, още повече – от непознат.

    Чат приложенията не изчерпват списъка

    Чат приложенията не са единствените, които генерират визуализация на линкове. Много приложения за електронната поща, бизнес приложения, приложения за запознанства, игри с вграден чат и др. могат да генерират визуализации на линкове по начин, който да окаже негативно влияние върху сигурността и поверителността ви.

    Повече информация по темата може да прочетете в това проучване.

  • Marriot: Сагата с източените данни продължава с дела от засегнати потребители

    Какви може да са последиците за бизнеса на една организация в случай на успешно източени лични данни на потребители? Двата случая с източените от хотелската верига Marriot лични данни се превръщат в пример за това. След рекордните глоби от регулаторите, сега на дневен ред са исковете от засегнатите потребители.

    Според публикации в местната преса, Marriott International е обект на съдебно дело в Обединеното кралство, заведено от милиони бивши гости. Те търсят обезщетение за компрометирането на личните им данни.

    Делото идва в отговор на инцидент със сигурност, при който хакери са откраднали информация за повече от 300 млн. души между юли 2014 г. и септември 2018 г.

    Нарушението, разкрито за първи път през 2018 г., включва данни като имейл адреси, телефонни номера, данни за кредитни карти и паспортни данни на хората, които са направили резервации през веригата Starwood Hotels, собственост на Marriott.

    През февруари 2020 г. последва втора атака, която, макар и по-малка по мащаб на пораженията от предходната, показва, че хотелската верига има сериозен проблем със сигурността.

    Точно това е и основният мотив на живеещия във Великобритания Martin Bryant – инициатор на масовото съдебно преследване. В изявление той казва, че е завел делото, защото хотелските оператори не са „предприели адекватни стъпки за гарантиране на сигурността на личните данни на гостите и за предотвратяване на неразрешено и незаконно обработване на тези данни“.

    Във Великобритания все още тече паралелно дело срещу Marriott International, по което през 2019 г. беше предложено налагането на 99.2 млн. GBP глоба (133 млн. USD по това време) във връзка с нарушение, което компрометира данните за около 7 млн. жители на кралството.

  • GDPR две години по-късно: има още много работа за малкия и среден бизнес

    Малко повече от две години след превръщането на Общия регламент за защита на личните данни (GDPR) в закон, всички държави от Европейския съюз, включително Обединеното кралство, го приеха или го приспособиха към националните си законодателства за защита на данните. Единствената страна-членкакоято не е направила това, е Словения. 

    Равносметката: Макар по-големите организации като цяло да се адаптират към GDPRситуацията при малките и средните предприятия (МСП) е различна. Само една от три малки и средни компании отговарят на изискванията на Регламента. Причините, които изтъкват: липсата на финансови средства, използването на остарели технологии и софтуер, нуждата от постоянно преразглеждане на процесите. 

    Самото прилагане на Регламента обаче е самостоятелна отговорност на всяка една държава – членкаРезултатът: липса на последователност и фрагментация, които се отразяват върху трансграничния бизнес, особено що се отнася до новите технологични разработки и продуктите за киберсигурност. 

     

  • Данни на потребители на Radio.com източени от резервно копие на базата данни

    Последен ъпдейт на 8 април 2020 в 10:13 ч.

    Лични данни, сред които номера на социални осигуровки, на неопределен брой потребители са били източени от резервно копие на база данни на сайта Radio.com. Той е собственост на втората по големина радио компания в САЩ Entercom.

    Пробивът в сигурността е осъществен на 4 август 2019 г. и е разкрит. Данните са били съхранявани на хостинг провайдър на компанията и освен номера на социални осигуровки (американският еквивалент на ЕГН) включват имена и номера на шофьорски книжки. Компрометирани са и потребителски имена и пароли.

    Прочетете повече по темата тук

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

  • Нов вид криптовируси: крадат и изнудват

    2020 г. започва с нова тенденция при криптовирусите и начините, по които хакерите изнудват жертвите си за откупи.

    Досега, криптовирусите криптираха вашата информация и искаха откуп за нея. Някои плащаха, други не. Сега, за да увеличат шанса да платите, те предприемат нов подход – преди да криптират, източват вашата информация, за да могат да ви изнудват с публикуването й , споделянето й на конкуренти, или излагането й на обществено място с цел да спечелят пари.

    За разлика от sextorsion изнудването, където обикновено се играе на блъф, при Sodinokibi, Maze и Nemty  заплахата е истинска. Това са първите, но вероятно няма да са последните криптовируси, които източват данните на жертвите си преди да ги криптират.

    Как работи измамата

    Досега стандартните криптовируси действаха по добре позната система:

    1. Зараза. Най-често през фишинг имейл, в който има прикачен файл – с привидна сметка, фактура и т.н. Ако жертвата направи грешката да отвори файла, без да разберете, вирусът активира payload, който криптира файловете на системата.
    2. В моментът, в който вирусът криптира данните ви, виждате съобщение, в което се описва исканият откуп и bitcoin портфейл, на който да бъде преведен. Откуп, който много хора отказваха да платят, въпреки загубата на снимки или информация.
    3. Новата стъпка. Отворили сте мнимата фактура или сметка, видели сте, че не е за вас и продължавате с обичайните си ангажименти. Междувременно, информацията ви се източва. След източването на информацията ви на хакерски сървър и криптирането на компютъра ви, виждате на екрана си.  Ако откажете да платите, както много правеха досега, следва новата измама – заплаха, че данните ви ще бъдат дадени на конкуренцията или ще бъдат използвани срещу вас чрез публикуването им. С това хакерите увеличават вероятността да платите и да спечелят повече.

    Така действат Sodinokibi, Maze и Nemty. Ето едно примерно съобщение:

    Съобщение към жертва на Sodinokibi. Снимка: bleepingcomputer.com
    Съобщение към жертва на Sodinokibi. Снимка: bleepingcomputer.com

    Ето и пример. На скрийншота по-горе се вижда как хакерите твърдят, че са откраднали над 50 гигабайта информация. Жертви са компютрите на немската GEDIA Automotive Group, доставчик на компоненти за автомобилно производство с дейност в Германия, Китай, Унгария, Индия, Мексико, Полша, Испания и САЩ. В източените данни фигурират чертежи, данни за служители (над 4 300 души) и клиенти.

    Вижте и: Криптовирус забави работата на 4 болници в Румъния

    Като доказателство за твърдението си, хакерите публикуват Excel файл, в който се съдържа AdRecon репорт за Active Directory средата на GEDIA.

    Заплахата е ясна: платете откупа, в противен случай ще пуснем данните за продажба, а седмица по-късно – и напълно безплатно за сваляне.

    Групата зад Maze стига още по-далеч. Хакерите публикуваха над 700 мегабайта източена от Allied Universal информация – или 10% от общия обем откраднати и криптирани данни. Те дори са се свързали с bleepingcomputer.com, за да разкажат историята си и да споделят част от източените файлове като доказателство:

    Част от източените от Allied Universal данни. Снимка: bleepingcomputer.com
    Част от източените от Allied Universal данни. Снимка: bleepingcomputer.com

    Исканият от тях откуп е бил 300 биткойна или около 2.3 млн. USD. 

    Най-интересната част от комуникацията, според нас, е зададеният въпрос: какви са гаранциите, че след плащането на откупа източените файлове ще бъдат заличени и, че няма да се поиска откуп повече от веднъж. Отговорът е красноречив:

    Не ни интересуват данните. Интересуват ни само парите. Логиката е проста. Ако публикуваме източените данни след откупа, кой ще ни повярва в бъдеще? Нямаме интерес и ще бъде глупаво да публикуваме източените данни, защото няма да спечелим нищо от това. Трием информацията, защото за нас тя не е нещо интересно. Ние не сме шпиони.

    Цялата история на комуникацията между авторите на Maze, Allied Universal и bleepingcomputer.com прочетете тук.

    Собствена мрежа за споделяне на информация

    Видимо, тактиката има смисъл, защото авторите на третия известен подобен вирусNemty – стигат дотам, че планират да създадат собствен сайт, в който под формата на каталог да публикуват данните на жертвите си. Новината е изпратена под формата на пресрилийз, отново до bleepingcomputer.com:

    Плановете на авторите на Nemty, изпратени като пресрилийз. Снимка: bleepingcomputer.com
    Плановете на авторите на Nemty, изпратени като пресрилийз. Снимка: bleepingcomputer.com

    Подобни планове имат и авторите на Maze.

    Nemty е екипиран и да атакува фирми директно. Това ни показва моделът му за централизирана администрация – например, всички засегнати от него компютри в една мрежа, вече могат да бъдат декриптирани с един ключ.

    Много повече от криптиране

    Основният проблем, с който може да се сблъскате, ако станете жертва на подобен вирус, е че последиците няма да се ограничат до загубата на данни.

    Още по темата: Криптовирус принуждава две химически компании да купуват „стотици нови компютри“

    След масовите зарази с криптовируси през последните 2 години, поддържането на бекъп се превърна от бутиково начинание в необходимост и вече много фирми го правят по най-различни начини. Навлизането на услуги в облака също спомогна бизнесите да се почувстват една идея по-защитени от потенциални зарази с ransomware. Все пак, в облака се пази резервно копие на информацията им – което дори в очите на някои обезсмисля закупуването на решение за бекъп.

    Новата тактика, обаче носи допълнителни главоболия. Дори и да имате актуално копие на информацията, в случай, че не бъде платен откупа, не знаете какви данни може да са били източени от компанията ви. Te може да са:

    • Договори
    • Стратегии и планове
    • Лични данни на клиенти и служители
    • Дизайни и чертежи
    • Ноу-хау
    • Бази данни с клиенти
    • Информация за продажби

    А това е само част от възможностите. На практика, публикуването им може да доведе до допълнителни санкциинапример, по GDPR, което може да се окаже сериозна финансова пречка за съществуването на един бизнес.

    Какво да направя в такава ситуация

    Направете всичко възможно да не стигате до нея. Защитете работните си станции с многопластови решения за киберсигурност. Само наличието на антивирусно решение или само на защитна стена вече не достатъчно. Мислете проактивно – защитете организацията си на няколко нива, за да ограничите риска от това да се превърнете в жертва на тази нова вълна.

    Какви са последиците от един криптовирус? Вижте тук. 

    Разчитайте на еволюирали решения за киберсигурност, настроени и поддържани от професионалисти. Потърсете Security Operations Center, който да следи и анализира непрекъснато случващото се в мрежата ви и да реагира в случай на потенциален проблем. Например, да засече, че базите ви данни биват източвани и да ги предпази.

    Хакерите ще стават все по-изобретателни. Еволюирайте, както го правят и те.

     

  • Над 250 млн. записа с логове от техническа поддръжка оставени публично достъпни от Microsoft

    Лични данни от над 250 млн. заявки за техническа поддържа на Microsoft са били оставени публично достъпни за 2 дни през декември 2019 г., съобщава welivesecurity.com. Причината е грешна конфигурацията на сървъри на компанията.

    Тъй като личните данни са били оставени достъпни без необходимост от автентикация, на практика всеки с интернет връзка е можел да ги свали.

    Сетът с над 250 млн. записа е бил съхраняван на пет отделни Elasticsearch сървъра, които са разкрити от изследователя Bob Diachenko на 29 декември 2019 г. Той е уведомил Microsoft незабавно, а компанията е започнала разследване и е заличила информацията в рамките на 2 дни.

    Според официалната позиция на Microsoft не са засечени потенциално опасни опити за достъп до данните.

    Прочетете още: Microsoft предупреди за нова уязвимост без патч в Internet Explorer

    Каква информация?

    Източената информация включва логове от комуникация между Microsoft и клиенти на компанията за период от 14 години между 2005 и 2019 г.

    Въпреки че най-чувствителните данни – за плащания – е била обфускирана, в базите данни са били съхранявани и множество записи в текстов формат. В тях е имало IP адреси, локации и вътрешни бележки към комуникацията, маркирани като „конфиденциални“, имейл адреси на клиентите, описания на тикети за поддръжка, мейли на служители на Microsoft и т.н.

    Защо?

    Официално съобщената до момента причина за оставената на показ информация е неправилна конфигурация на правилата за защита на данните на сървърите. Подобни грешки не са нещо ново или непознато.

    Ето 3 други примера:

    Преди няколко месеца грешка в конфигурацията на Elasticsearch сървър засегна почти цялото население на Еквадор, чийто лични данни бяха оставени публично достъпни.

  • GDPR: Над 160 000 оплаквания за 18 месеца, очакват се големи глоби

    Последен ъпдейт на 8 април 2020 в 10:58 ч.

    Средно 247 оплаквания на ден или общо над 160 000 жалби са постъпили в европейските регулатори за защита на личните данни за първите 18 месеца след влизането в сила на GDPR. Общата сума на санкциите по регламента до момента е 114 млн EUR.

    Повече по темата: Над 6 млн. лв. глоби по GDPR в България за 24 часа

    Прочетете повече по темата тук

     

    В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

     

  • British Airways и Mariott глобени с общо 314 млн. EUR по GDPR

    Авиопревозвачът British Airways и хотелската верига Marriott ще бъдат глобени с общо 314 млн. EUR заради слаби мерки за защита. Те са довели до източването на лични данни на общо над 339 млн. потребители, за които и двете компании признаха през 2018 г. Санкциите са и най-големите, налагани по GDPR до момента.

    Рекордните глоби бяха обявени само за седмица от британския регулатор за защита на личните данни Information Commissioner’s Office (ICO).

    Първата обявена глоба бе за British Airways. През 2018 г. авиопревозвачът призна за пробив в системите си, от който са засегнати 380 хил. души. Благодарение на уязвимост в сайта и мобилното приложение за резервация на билети, престъпна група с името Magecart е успяла да се сдобие с лични данни и информация за кредитни карти на засегнатите клиенти. Заради пропуска в защитата си, компанията ще трябва да плати малко над 204 млн. EUR (183 млн. GBP).

    Два дни след рекордната санкция, ICO обяви, че заради признатия през ноември ноември 2018 г. пробив в системите за сигурност на Marriott International е глобена със 110 млн. EUR (99.2 млн. GBP). Причината е, че собственикът на вериги като Le Méridien и Sheraton, призна за пробив в системите си, довели до източването на лични данни на над 339 млн. нейни клиенти. Източената информация включва данни за кредитни карти, номера на паспорти, рождени дни и др.

    И двете компании ще могат да обжалват санкциите. Преди тези глоби, най-мащабната санкция, обявена от ICO, беше в размер на 557 хил. EUR за Facebook след скандала с Cambridge Analytica.

     

Back to top button