GDPR

Визуализацията (краткият предварителен преглед) на линковете, които си разменяме през чат приложенията, е много удобна функционалност. Тя съдържа картинка и кратък текст, които ни насочват какво е прикаченото съдържание. Оказва се обаче, че това улеснение може да доведе до сериозни нарушения на поверителността и сигурността ви.

Как е възможно една обикновена функция да се превърне в заплаха

За да създаде подходяща визуализация, чат приложението трябва да посети връзката, да отвори файла там и да проучи какво има в него. В резултат на това, изпращането/получаването на линкове в някои чат приложения може да отвори вратички, които недоброжелатели да използват.

Instagram сървърите например изтеглят всеки един директен линк, който се изпраща в съобщение, независимо от големината му. Това означава, че хакерите спокойно могат да инжектират Java script в сървърите на Инстаграм.

Визуализацията на линковете е внедрена в най-популярните приложения за чат на iOS и Android. Кликайки върху нея може да се окаже, че давате достъп до IP адреси, излагате връзки, споделени в криптираните от край до край чатове или  изтегляте значителен обем ненужна информация.

Как чат приложенията генерират визуализация на линковете

Използват се следните различни подходи:

1. Не се генерира визуализация

Най-добрият вариант е да се откажете от прегледа на линкове. Оставете линкът, така както ви е изпратен, така че приложението да не го отваря, без да сте го посетили. Малко от приложенията обаче предлагат тази опция: Signal, Threema, TikTok, WeChat.

2. Подателят генерира визуализацията на линка

При изпратен линк, приложението изтегля данните, генерира кратък преглед на страницата и го изпраща, прикачен към линка. Получателят има възможност бързо да погледне за какво става дума, без да е нужно да посещава линка – това го защитава от злонамерени съобщения. Така работят iMessage, Signal, Viber, WhatsApp.

3. Получателят генерира визуализацията на линка

В този случай приложението автоматично отваря всеки получен линк, за да създаде кратък преглед. Това се случва без дори да кликате върху линка – достатъчно е само да отворите чата.
Защо това е най-лошият вариант и не се използва от популярните приложения? Подобно на уеб браузърите, чат приложенията посещават адреса (линка) и зареждат съдържанието чрез GET заявка. В нея включват IP адреса на телефона, за да знае сървърът къде да изпрати данните обратно. Това би било от полза за вас ако планирате да отворите линка. Но ако някой иска да узнае къде се намирате?

4. Сървър генерира визуализацията

Това означава, че когато изпратите линк, той отива във външен сървър, който генерира визуализацията и я изпраща обратно на получателя и/или подателя. На пръв поглед този вариант изглежда по-приемлив от предходния. Но не и когато изпращате лични данни, а сървърът им направи копие, за да генерира визуализация.

Тук възниква и въпросът: Запазва ли сървърът тези данни? Ако отговорът е ДА, то за колко време и какво друго прави той с тях?

Приложенията, които работят по този начин са Discord, Facebook Messenger, Google Hangouts, Instagram, LINE, LinkedIn, Slack, Twitter, Zoom

Какви са рисковете и последиците за поверителността

1. Създаване на неразрешени копия на лична информация

Споделените в чатовете линкове към документи могат да съдържат лична информация, предназначена само за получателите. Това могат да бъдат сметки, договори, медицински досиета или друга поверителна информация. Приложенията, които разчитат на сървъри за генериране на визуализации на линкове, могат да нарушават поверителността на своите потребители, като изпращат линковете, споделени в личен чат на своите сървъри. Въпреки че приложението се доверява на тези сървъри, не е сигурно какво точно изтеглят те. В държавите от ЕС действа Общ регламент за защита на личните данни (GDPR), който налага ограничения относно събирането, обработката и съхранението на лични данни.

2. Изтегляне на голямо количество информация

Повечето чат приложения, които разчитат на сървъри за генериране на визуализации на линковете, слагат ограничение на изтегляните данни. Причината за това е, че изтеглянето на твърде голям обем данни може да запълни капацитета на сървъра и да причини прекъсвания на услугите. Има приложения обаче – Facebook Messenger и Instagram – чиито сървъри могат да изтеглят дори много големи файлове (gigabytes).

3. Сриване на приложения и източване на батерията

Този проблем възниква при чат-приложенията, които не ползват сървъри за генериране на визуализация на линкове и когато приложението не е ограничило данните, които да се изтеглят. Негативният резултат ще е за вас: изтощена батерия и изразходвани данни. Това също може да доведе до непредвидено изчерпване на системни ресурси.

4. Разкриване на IP адреси

За да отвори връзка, телефонът ви трябва да комуникира със сървъра, към който сочи линка. Това означава, че сървърът ще знае IP адреса на вашия телефон, което може да разкрие приблизителното ви местоположение. Обикновено това не би представлявало голям проблем, ако можете да избегнете отварянето на връзки, които смятате за злонамерени. Но може ли да сте сигурни в това?

5. Изтичане на криптирани връзки

Някои приложения за чат криптират съобщенията от край до край. Това означава, че само подателят и получателят да ги прочетат. В такъв случай опцията за отваряне на визуализация от сървър трябва да е невъзможна. Но при някои приложения това не е така, например LINE.

6. Изпълнение на потенциално злонамерен код върху сървърите за визуализация на линкове

Понастоящем повечето уебсайтове съдържат код на Javascript, за да ги бъдат по-интерактивни. Такива са и рекламите, които ни облъчват.  Когато генерирате визуализации на линкове е добре да избягвате изпълнението на какъвто и да е код от тези уебсайтове. Никога не трябва да се доверявате напълно на линкове, които получавате в чата, още повече – от непознат.

Чат приложенията не изчерпват списъка

Чат приложенията не са единствените, които генерират визуализация на линкове. Много приложения за електронната поща, бизнес приложения, приложения за запознанства, игри с вграден чат и др. могат да генерират визуализации на линкове по начин, който да окаже негативно влияние върху сигурността и поверителността ви.

Повече информация по темата може да прочетете в това проучване.

Какви може да са последиците за бизнеса на една организация в случай на успешно източени лични данни на потребители? Двата случая с източените от хотелската верига Marriot лични данни се превръщат в пример за това. След рекордните глоби от регулаторите, сега на дневен ред са исковете от засегнатите потребители.

Според публикации в местната преса, Marriott International е обект на съдебно дело в Обединеното кралство, заведено от милиони бивши гости. Те търсят обезщетение за компрометирането на личните им данни.

Делото идва в отговор на инцидент със сигурност, при който хакери са откраднали информация за повече от 300 млн. души между юли 2014 г. и септември 2018 г.

Нарушението, разкрито за първи път през 2018 г., включва данни като имейл адреси, телефонни номера, данни за кредитни карти и паспортни данни на хората, които са направили резервации през веригата Starwood Hotels, собственост на Marriott.

През февруари 2020 г. последва втора атака, която, макар и по-малка по мащаб на пораженията от предходната, показва, че хотелската верига има сериозен проблем със сигурността.

Точно това е и основният мотив на живеещия във Великобритания Martin Bryant – инициатор на масовото съдебно преследване. В изявление той казва, че е завел делото, защото хотелските оператори не са „предприели адекватни стъпки за гарантиране на сигурността на личните данни на гостите и за предотвратяване на неразрешено и незаконно обработване на тези данни“.

Във Великобритания все още тече паралелно дело срещу Marriott International, по което през 2019 г. беше предложено налагането на 99.2 млн. GBP глоба (133 млн. USD по това време) във връзка с нарушение, което компрометира данните за около 7 млн. жители на кралството.

Малко повече от две години след превръщането на Общия регламент за защита на личните данни (GDPR) в закон, всички държави от Европейския съюз, включително Обединеното кралство, го приеха или го приспособиха към националните си законодателства за защита на данните. Единствената страна-членка, която не е направила това, е Словения. 

Равносметката: Макар по-големите организации като цяло да се адаптират към GDPR, ситуацията при малките и средните предприятия (МСП) е различна. Само една от три малки и средни компании отговарят на изискванията на Регламента. Причините, които изтъкват: липсата на финансови средства, използването на остарели технологии и софтуер, нуждата от постоянно преразглеждане на процесите. 

Самото прилагане на Регламента обаче е самостоятелна отговорност на всяка една държава – членка. Резултатът: липса на последователност и фрагментация, които се отразяват върху трансграничния бизнес, особено що се отнася до новите технологични разработки и продуктите за киберсигурност. 

 

Последен ъпдейт на 8 април 2020 в 10:13 ч.

Лични данни, сред които номера на социални осигуровки, на неопределен брой потребители са били източени от резервно копие на база данни на сайта Radio.com. Той е собственост на втората по големина радио компания в САЩ Entercom.

Пробивът в сигурността е осъществен на 4 август 2019 г. и е разкрит. Данните са били съхранявани на хостинг провайдър на компанията и освен номера на социални осигуровки (американският еквивалент на ЕГН) включват имена и номера на шофьорски книжки. Компрометирани са и потребителски имена и пароли.

[button color=“green“ size=“big“ link=“https://www.welivesecurity.com/2020/03/13/radiocom-users-affected-data-breach/“ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

2020 г. започва с нова тенденция при криптовирусите и начините, по които хакерите изнудват жертвите си за откупи.

Досега, криптовирусите криптираха вашата информация и искаха откуп за нея. Някои плащаха, други не. Сега, за да увеличат шанса да платите, те предприемат нов подход – преди да криптират, източват вашата информация, за да могат да ви изнудват с публикуването й , споделянето й на конкуренти, или излагането й на обществено място с цел да спечелят пари.

За разлика от sextorsion изнудването, където обикновено се играе на блъф, при Sodinokibi, Maze и Nemty  заплахата е истинска. Това са първите, но вероятно няма да са последните криптовируси, които източват данните на жертвите си преди да ги криптират.

Как работи измамата

Досега стандартните криптовируси действаха по добре позната система:

1. Зараза. Най-често през фишинг имейл, в който има прикачен файл – с привидна сметка, фактура и т.н. Ако жертвата направи грешката да отвори файла, без да разберете, вирусът активира payload, който криптира файловете на системата.
2. В моментът, в който вирусът криптира данните ви, виждате съобщение, в което се описва исканият откуп и bitcoin портфейл, на който да бъде преведен. Откуп, който много хора отказваха да платят, въпреки загубата на снимки или информация.
3. Новата стъпка. Отворили сте мнимата фактура или сметка, видели сте, че не е за вас и продължавате с обичайните си ангажименти. Междувременно, информацията ви се източва. След източването на информацията ви на хакерски сървър и криптирането на компютъра ви, виждате на екрана си.  Ако откажете да платите, както много правеха досега, следва новата измама – заплаха, че данните ви ще бъдат дадени на конкуренцията или ще бъдат използвани срещу вас чрез публикуването им. С това хакерите увеличават вероятността да платите и да спечелят повече.

Така действат Sodinokibi, Maze и Nemty. Ето едно примерно съобщение:

Ето и пример. На скрийншота по-горе се вижда как хакерите твърдят, че са откраднали над 50 гигабайта информация. Жертви са компютрите на немската GEDIA Automotive Group, доставчик на компоненти за автомобилно производство с дейност в Германия, Китай, Унгария, Индия, Мексико, Полша, Испания и САЩ. В източените данни фигурират чертежи, данни за служители (над 4 300 души) и клиенти.

Вижте и: Криптовирус забави работата на 4 болници в Румъния

Като доказателство за твърдението си, хакерите публикуват Excel файл, в който се съдържа AdRecon репорт за Active Directory средата на GEDIA.

Заплахата е ясна: платете откупа, в противен случай ще пуснем данните за продажба, а седмица по-късно – и напълно безплатно за сваляне.

Групата зад Maze стига още по-далеч. Хакерите публикуваха над 700 мегабайта източена от Allied Universal информация – или 10% от общия обем откраднати и криптирани данни. Те дори са се свързали с bleepingcomputer.com, за да разкажат историята си и да споделят част от източените файлове като доказателство:

Исканият от тях откуп е бил 300 биткойна или около 2.3 млн. USD. 

Най-интересната част от комуникацията, според нас, е зададеният въпрос: какви са гаранциите, че след плащането на откупа източените файлове ще бъдат заличени и, че няма да се поиска откуп повече от веднъж. Отговорът е красноречив:

Не ни интересуват данните. Интересуват ни само парите. Логиката е проста. Ако публикуваме източените данни след откупа, кой ще ни повярва в бъдеще? Нямаме интерес и ще бъде глупаво да публикуваме източените данни, защото няма да спечелим нищо от това. Трием информацията, защото за нас тя не е нещо интересно. Ние не сме шпиони.

Цялата история на комуникацията между авторите на Maze, Allied Universal и bleepingcomputer.com прочетете тук.

Собствена мрежа за споделяне на информация

Видимо, тактиката има смисъл, защото авторите на третия известен подобен вирус – Nemty – стигат дотам, че планират да създадат собствен сайт, в който под формата на каталог да публикуват данните на жертвите си. Новината е изпратена под формата на пресрилийз, отново до bleepingcomputer.com:

Подобни планове имат и авторите на Maze.

Nemty е екипиран и да атакува фирми директно. Това ни показва моделът му за централизирана администрация – например, всички засегнати от него компютри в една мрежа, вече могат да бъдат декриптирани с един ключ.

Много повече от криптиране

Основният проблем, с който може да се сблъскате, ако станете жертва на подобен вирус, е че последиците няма да се ограничат до загубата на данни.

Още по темата: Криптовирус принуждава две химически компании да купуват „стотици нови компютри“

След масовите зарази с криптовируси през последните 2 години, поддържането на бекъп се превърна от бутиково начинание в необходимост и вече много фирми го правят по най-различни начини. Навлизането на услуги в облака също спомогна бизнесите да се почувстват една идея по-защитени от потенциални зарази с ransomware. Все пак, в облака се пази резервно копие на информацията им – което дори в очите на някои обезсмисля закупуването на решение за бекъп.

Новата тактика, обаче носи допълнителни главоболия. Дори и да имате актуално копие на информацията, в случай, че не бъде платен откупа, не знаете какви данни може да са били източени от компанията ви. Te може да са:

• Договори
• Стратегии и планове
• Лични данни на клиенти и служители
• Дизайни и чертежи
• Ноу-хау
• Бази данни с клиенти
• Информация за продажби

А това е само част от възможностите. На практика, публикуването им може да доведе до допълнителни санкции – например, по GDPR, което може да се окаже сериозна финансова пречка за съществуването на един бизнес.

Какво да направя в такава ситуация

Направете всичко възможно да не стигате до нея. Защитете работните си станции с многопластови решения за киберсигурност. Само наличието на антивирусно решение или само на защитна стена вече не достатъчно. Мислете проактивно – защитете организацията си на няколко нива, за да ограничите риска от това да се превърнете в жертва на тази нова вълна.

Какви са последиците от един криптовирус? Вижте тук. 

Разчитайте на еволюирали решения за киберсигурност, настроени и поддържани от професионалисти. Потърсете Security Operations Center, който да следи и анализира непрекъснато случващото се в мрежата ви и да реагира в случай на потенциален проблем. Например, да засече, че базите ви данни биват източвани и да ги предпази.

Хакерите ще стават все по-изобретателни. Еволюирайте, както го правят и те.

 

Лични данни от над 250 млн. заявки за техническа поддържа на Microsoft са били оставени публично достъпни за 2 дни през декември 2019 г., съобщава welivesecurity.com. Причината е грешна конфигурацията на сървъри на компанията.

Тъй като личните данни са били оставени достъпни без необходимост от автентикация, на практика всеки с интернет връзка е можел да ги свали.

Сетът с над 250 млн. записа е бил съхраняван на пет отделни Elasticsearch сървъра, които са разкрити от изследователя Bob Diachenko на 29 декември 2019 г. Той е уведомил Microsoft незабавно, а компанията е започнала разследване и е заличила информацията в рамките на 2 дни.

Според официалната позиция на Microsoft не са засечени потенциално опасни опити за достъп до данните.

Прочетете още: Microsoft предупреди за нова уязвимост без патч в Internet Explorer

Каква информация?

Източената информация включва логове от комуникация между Microsoft и клиенти на компанията за период от 14 години между 2005 и 2019 г.

Въпреки че най-чувствителните данни – за плащания – е била обфускирана, в базите данни са били съхранявани и множество записи в текстов формат. В тях е имало IP адреси, локации и вътрешни бележки към комуникацията, маркирани като „конфиденциални“, имейл адреси на клиентите, описания на тикети за поддръжка, мейли на служители на Microsoft и т.н.

Защо?

Официално съобщената до момента причина за оставената на показ информация е неправилна конфигурация на правилата за защита на данните на сървърите. Подобни грешки не са нещо ново или непознато.

Ето 3 други примера:

• Над 1.2 млрд. записa крадени лични данни, обединени в една база данни
• Милиони потребителски данни от Facebook са били оставени публично достъпни на cloud сървър на Amazon
• Над 2 млрд. мейла оставени достъпни за „всеки с връзка с интернет“

Преди няколко месеца грешка в конфигурацията на Elasticsearch сървър засегна почти цялото население на Еквадор, чийто лични данни бяха оставени публично достъпни.

Последен ъпдейт на 8 април 2020 в 10:58 ч.

Средно 247 оплаквания на ден или общо над 160 000 жалби са постъпили в европейските регулатори за защита на личните данни за първите 18 месеца след влизането в сила на GDPR. Общата сума на санкциите по регламента до момента е 114 млн EUR.

Повече по темата: Над 6 млн. лв. глоби по GDPR в България за 24 часа

[button color=“orange“ size=“big“ link=“https://www.bleepingcomputer.com/news/security/nemty-ransomware-to-start-leaking-non-paying-victims-data/“ icon=““ target=“true“ nofollow=“false“]Прочетете повече по темата тук[/button]

 

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации. 

 

Авиопревозвачът British Airways и хотелската верига Marriott ще бъдат глобени с общо 314 млн. EUR заради слаби мерки за защита. Те са довели до източването на лични данни на общо над 339 млн. потребители, за които и двете компании признаха през 2018 г. Санкциите са и най-големите, налагани по GDPR до момента.

Рекордните глоби бяха обявени само за седмица от британския регулатор за защита на личните данни Information Commissioner’s Office (ICO).

Първата обявена глоба бе за British Airways. През 2018 г. авиопревозвачът призна за пробив в системите си, от който са засегнати 380 хил. души. Благодарение на уязвимост в сайта и мобилното приложение за резервация на билети, престъпна група с името Magecart е успяла да се сдобие с лични данни и информация за кредитни карти на засегнатите клиенти. Заради пропуска в защитата си, компанията ще трябва да плати малко над 204 млн. EUR (183 млн. GBP).

Два дни след рекордната санкция, ICO обяви, че заради признатия през ноември ноември 2018 г. пробив в системите за сигурност на Marriott International е глобена със 110 млн. EUR (99.2 млн. GBP). Причината е, че собственикът на вериги като Le Méridien и Sheraton, призна за пробив в системите си, довели до източването на лични данни на над 339 млн. нейни клиенти. Източената информация включва данни за кредитни карти, номера на паспорти, рождени дни и др.

И двете компании ще могат да обжалват санкциите. Преди тези глоби, най-мащабната санкция, обявена от ICO, беше в размер на 557 хил. EUR за Facebook след скандала с Cambridge Analytica.

 

Затишие пред буря. Така може да се определи ситуацията с регламента за защита на личните данни GDPR малко повече от 9 месеца след влизането на санкциите по него в сила през март 2018 г. Уроците, които научихме през това време са:

• Регулаторите не бързат да налагат санкции, но не се колебаят да го правят (най-голямата наложена е глоба е 50 млн. EUR на Google във Франция)
• Потребителите не се свенят да подават сигнали – само във Великобритания има над 206 хил. подадени жалби, от които 64 хил. са уведомения за източване на лични данни
• Не малка част от наложените глоби касаят не толкова самите пробиви, колкото очевадната липса на политики за реагиране при инциденти от страна на разследваните организации

Глобеният си е глобен

Общият обем наложени глоби в ЕС по статистика на британския регулатор за защита на личните данни е 55 млн. EUR. Да, цифрата не е толкова стряскаща, особено на фона на факта, че 50 млн. EUR от тях са за Google във Франция. Но е факт, че според различни публикации не малка част от регулаторите са задали „гратисен“ период, в който държат санкциите на възможно най-ниските им нива.

Така, например, първата наложена в Унгария глоба по GDPR, е за „скромните“ 3 100 EUR – или 6.5% от годишния оборот на санкционираната компания. Причината за санкцията: организацията не е успяла да предостави адекватна информация за причините за събирането на лични данни от клиенти.

Първата глоба в Германия (и по GDPR изобщо) пък е била за германска социална медия, която е допуснала източването на лични данни за 330 000 свои потребителя. За този си пропуск, тя е санкционирана с 20 000 EUR. Ниската глоба се дължи и на факта, че всъщност организацията е демонстрирала значими усилия да уведоми навреме властите и засегнатите потребители – и го е направила в сроковете, предвидени по регламента. Общо, до момента, в Германия са наложени 41 санкции.

Защо ги няма масивните глоби

Факт е, че до момента санкциите изглеждат някак рехави на фона на гръмките до 4% от годишния оборот или 20 млн. EUR – което от двете е по-високо. Но е факт и, че не липсват и оплаквания, и санкции. А според различни коментари на специалисти, и регулаторите в момента набират скорост.

Така например, само 52% от споменатите 206 хил. сигнала във Великобритания са обработени до момента, а за година местният регулатор е удвоил персонала си – от 380 на 700 служителя. Факт е, че и дори и да е имало „гратисен“ период, той рано или късно би трябвало да свърши. И е факт, че регулацията е лице, което означава, че или организациите са си свършили много добре работата – и са добре подготвени да покрият изискванията на регламента, или сме на прага на буря от санкции.

Над 95 хил. жалби на граждани за неспазване на GDPR са подадени от май 2018 г., когато директивата влезе в сила. България е една от петте страни в Европа, които закъсняват с практическото прилагане на директивата. Това са два от основните изводи в изявление на Европейския комитет за защита на данните.

България е една от страните, където практическото приложение на GDPR все още изостава. Другите са Гърция, Словения, Португалия и Чехия. Съгласуваният с GDPR законопроект беше внесен в българския парламент през септември 2018 г., но беше окончателно гласуван едва на 24 януари 2019 г.

От Европейския комитет за защита на данните отчитат, че до момента в ЕС се водят 255 разследвания за нарушения на изискванията по GDPR. Вече има и случаи на глобени компании.

Най-голямата до момента глоба е за 50 млн. евро. Тя беше наложена на Google. Според френските регулатори интернет гигантът не информира достатъчно добре потребителите си за това как използва данните им за таргетирана реклама.

През ноември Германия наложи глоба от 20 хил. евро на чат платформата Knuddels, след като хакери пробиха сървърите на компанията и откраднаха потребителски данни, които след това публикуваха в Pastebin.

„Случаят Facebook/Cambridge Analytica, както и неотдавнашните пробиви в сигурността на личните данни, показаха, че сме на прав път. На риск е изложена не само защитата на неприкосновеността на личния ни живот, но и защитата на нашите демокрации и гарантирането на устойчивостта на нашите основани на данни икономики“, коментират от комитета.