Лични данни

  • Пробив в Ascension излага данните на 430 хил. пациенти

    Личните и медицински данни на над 437 хил. пациенти на американската здравна мрежа Ascension, са били компрометирани . Макар този случай да е в САЩ, подобни рискове са напълно реални и за България. 

    Инцидентът е резултат от пробив в сигурността на бивш бизнес партньор, при който хакери са се възползвали от уязвимост в използвания от партньора софтуер. Изтеклата информация включва имена, адреси, телефони, имейли, дати на раждане, расова и полова принадлежност, номера на социално осигуряване, както и медицински данни като диагнози, кодове за фактуриране и информация за застрахователни компании .

    През 2023 г. в публичния сектор у нас са регистрирани над 6 100 киберинцидента, според Министерството на електронното управление. Здравният сектор е особено уязвим, тъй като често изостава в прилагането на съвременни мерки за киберсигурност, а чувствителната информация, която съхранява, е ценна мишена за хакери.

    Като пациенти, е важно да изискваме от здравните заведения не само качествено лечение, но и гаранции за сигурността на личните ни данни. При избора на лечебно заведение трябва да се интересуваме от това какви мерки за защита на информацията прилагат. Липсата на прозрачност и адекватна защита може да доведе до сериозни последици за нас като потребители.

  • TikTok: Нямаш какво да криеш? Това не значи, че нямаш какво да губиш

    Ако още си мислиш, че TikTok е просто платформа за „тренди клипчета“, рекордната глоба от 530 млн. EUR за нарушения на GDPR е прекрасен сигнал да промениш това възприятие като прочетеш този текст. Защото решението на френския регулатор подчерта нещо тревожно: TikTok не само събира твърде много, твърде лесно, но изглежда и го прави в разрез с основни права на  потребители.

    Накратко казано, TikTok не се интересува от „тайните“ ти. Интересува се от това как ще реагираш на следващото видео. Какво ще харесаш. Какво ще споделиш. На кого ще подражаваш. Това те прави предвидим, което може да не е проблем сега – но може лесно да стане в бъдеще.

    Ако мислиш, че „нямаш какво да криеш“, запитай се друго: колко от себе си разкриваш, без изобщо да осъзнаваш? Ще са опитаме да дадем отговор на тези въпроси.

    TikTok започва да те следи още преди да си станал потребител

    Не ти трябва акаунт. Достатъчно е да отвориш сайта – и TikTok започва да те следи чрез бисквитки и тракери. Това включва IP адрес, устройство, операционна система, език, времева зона, активност в браузъра.

    Ако все пак си се регистрирал – приложението събира всяка твоя стъпка. Какви видеа гледаш, колко дълго, дали превърташ, дали коментираш, какво харесваш, какво запазваш, какво изтриваш.

    Какво знае TikTok за теб?

    Част от информацията, която събира платформата за теб. Източник е основно Политиката за защита на лични данни на социалната мрежа (последният ѝ ъпдейт при публикуването на този материал е 19 август 2024 г).:

    • Устройството, което използваш
    • Локация и IP адрес
    • История на търсенията и активността
    • Всичко, което гледаш – с точност до секунди
    • Копирани/поставени данни от клипборда
    • Биометрични данни – лице и глас (в САЩ)
    • Метаданни за съдържание, дори и недобавено
    • Информация от свързани акаунти (напр. Facebook)

    TikTok инферира възраст, пол, интереси, настроение – на база на твоето поведение. Това не са просто данни. Това е дигитален портрет. По-точен от това, което приятелите ти знаят за теб.

    TikTok не просто показва съдържание. Той те профилира – с изумителна прецизност

    TikTok използва машинно обучение, за да разбира не просто какво гледаш, а защо. Всеки like, коментар, пауза или гледане до край захранва алгоритъма. Според експерта Джейк Мур от ESET, „всеки път, когато използваш платформата, алгоритъмът се обновява с нови данни и те разбира все по-добре“.

    Фийдът ти не е случаен. TikTok взема предвид какво харесваш, какво споделяш, какво коментираш, метаинформацията на видеата, използвани хаштагове, описания, дори настройките на устройството. Всичко това изгражда уникален поток – предназначен да те задържи и да събере още повече данни.

    Според Wall Street Journal, TikTok разпознава настроения, включително ако си депресиран, какво те разсмива, дали се интересуваш от политика, религия или социални каузи. Алгоритъмът реагира на това колко дълго „висиш“ на дадено видео и може да те поведе по спирала от сходно съдържание – дори и то да е вредно или токсично.

    Това не са просто данни. Това е власт.

    „Ако някой изгледа видео до край и го хареса, TikTok вече знае как да го задържи“, казва Морган Райт, съветник по сигурността в SentinelOne. Същата технология позволява персонализирана реклама, но и персонализирано влияние.

    Алгоритъмът не показва каквото си търсил. Показва каквото ще те задържи. А това променя възприятия, поведение и приоритети – без да го осъзнаеш.

    Привидно доста по-подробна политиката за поверителност

    Официално, TikTok обяснява доста неща за събирането на данни. Неофициално – има твърде много вратички. Според експерти като Rowenna Fielding, цитирани от Wired, TikTok обяснява доста по-детайлно от конкурентите си какви данни събира, но не е твърде конкретна за начините за използването на тази информация – каква точно обработка минава, с кого се споделя и защо.

    Дори когато има „официален контрол“ от страна на TikTok Ireland или UK, данните могат да бъдат препратени към останалата част от корпоративната група. Т.е. – до Китай. До централата. До системи, които нямат отчетност пред теб.

    Какво можеш да направиш?

    TikTok предлага настройки за ограничаване на видимостта и персонализираната реклама, но голяма част от събирането на данни е вградена в самата функционалност на платформата. Ако искаш пълноценна употреба – плащаш с данни.

    • Можеш да изключиш персонализираните реклами, като отидеш на:
      Профил → “…” → Privacy → Safety → Personalise and Data → Turn Off.
    • Можеш да изтеглиш копие на данните си, за да видиш какво TikTok вече знае за теб:
      Profile → “…” → Privacy → Personalise and Data → Download TikTok Data.
    • Можеш да направиш профила си частен (private), така че само одобрени от теб потребители да виждат видеата ти:
      Profile → “…” → Privacy → Turn Private Account On.

      TikTok обаче предупреждава: при частен акаунт губиш функционалности като Duet, Stitch и download на видеа. И – най-важното – това те пази само от други потребители, но не и от самата платформа.

    Юристи като Уил Ричмънд-Коган (Freeths) напомнят, че най-сигурната защита идва от устройството ти, не от TikTok. Това включва:

    • Използване на празен (burner) имейл адрес при регистрация
    • Избягване на свързване с Facebook или Google
    • VPN за скриване на локацията
    • Ограничаване на permissions за TikTok от настройките на телефона
    • За iPhone: активиране на App Tracking Transparency

    И въпреки това – платформата остава агресивна в събирането на информация, дори когато си „заключил“ настройките.

  • Temu знае за вас повече, отколкото искате

    В края на 2024 ЕК и Consumer Protection Cooperation (CPC) стартираха разследване на практиките на Temu за съхранение и използване на потребителските данни.

    Основните обвинения включват:

    • Temu не е успяла да осигури адекватна защита на личните данни на потребителите, което е довело до изтичане на информация.
    • Личните данни на потребителите са били компрометирани, което е в нарушение на европейските регулации за защита на данните.

    Няколко месеца преди това същото направи и американският щат Арканзас. Неговите обвинения са още по-сериозни:

    • използване на на евтини китайски стоки като примамка за привличане на потребители, които несъзнателно предоставят почти неограничен достъп до личните си данни;
    • заблуждаване на потребителите относно начина, по който се използва те;
    • събиране на почти неограничени количества данни, в това число получаване на пълен достъп до контактите, календарите и фотоалбумите на потребителите;
    • предоставяне или продажба на потребителски данни на неоторизирани трети страни.

    Въпреки това много хора пренебрегват рисковете за неприкосновеността на личния си живот заради удобството. Те изтеглят приложения за пазаруване, щракват върху „Съгласен съм“ и никога не се замислят с какво всъщност се съгласяват. А трябва.

    Много подобни платформи за онлайн търговия (и не само) събират и споделят повече данни, отколкото предполагате. Вашите навици за пазаруване, местоположението ви, данни за устройството – всичко това (и не само) се събира и потенциално се използва за неща, за които дори не подозирате.

    Добрата новина е, че можете да се справите с този проблем в рамките на няколко минути:

    • изтрийте приложенията, които искат прекалено много разрешения;
    • използвайте отделен имейл за онлайн пазаруване;
    • винаги проверявайте какви данни събират приложенията в настройките на телефона си;
    • активирайте 2FA за по-голяма сигурност.

    И следващията път, когато решите да инсталирате някое ново приложение за онлайн пазаруване, прочетет с какво точно се съгласявате. Преди да щракнете върху „Съгласен съм“.

  • Новооткрит плъгин за WordPress създава фалшиви платежни страници! Ето как да се предпазите

    Плъгин за WordPress, наречена PhishWP, се използва от киберпрестъпници за създаване на фалшиви страници за плащания. Те имитират легитимни услуги като Stripe, което позволява кражба на чувствителни финансови и лични данни.

    Зловредният плъгин е забелязан от SlashNext в руски форум за киберпрестъпност. Той позволява на нападателите да генерират убедителни интерфейси за плащане. По този начин те могат да крадат данни за кредитни карти, адреси за фактуриране и дори еднократни пароли от жертвите. След като информацията бъде въведена, PhishWP предава откраднатите данни директно на нападателите чрез Telegram, често в реално време.

    Киберпрестъпниците внедряват PhishWP или чрез компрометиране на съществуващи WordPress сайтове, или чрез създаване на фалшиви такива. Дизайнът на плъгина възпроизвежда точно легитимни страници за плащане, което затруднява потребителите да открият измамата.

    В случаите, когато има активиран 3DS код, плъгинът включва и изскачащ прозорец за попълването му. По този начин той също се изпраща към нападателят, заедно с данни като IP адрес, информация за браузъра и т.н.

    Не на последно място, плъгинът включва и функционалност, която изпраща на жертвата имейл за потвърждение с данните за нейната поръчка. Тази функционалност превръща PhishWP в изключително успешен инструмент за кражба на информация.

    За да се предпазите от заплахи като PhishWP, използвайте усъвършенствани софтуери за защита от фишинг, базирани на браузъра. Те откриват заплахи в реално време, като блокират злонамерени URL адреси във всички основни платформи. Освен това идентифицират опитите за фишинг преди да бъдат компрометирани чувствителни данни.

  • Неправилна конфигурация разкри данните на 800 000 собственици на електромобили Volkswagen

    Volkswagen неволно е разкрил личната информация на 800 000 собственици на електромобили, включително данни за местоположението им и такива за контакт.

    Пробивът е станал заради неправилна конфигурация в системите на софтуерното дъщерно дружество на VW Cariad. Той е оставил чувствителните данни, съхранявани в Amazon Cloud, публично достъпни в продължение на месеци.

    Разкритата информация включва точни GPS координати, които позволяват създаването на подробни профили на движението на автомобилите и техните собственици. Този пробив застрашава неприкосновеността на личния живот както на обикновени граждани, така и на политици, бизнес лидери и служители на правоприлагащите органи. Той подчертава и нарастващата загриженост за поверителността на данните в автомобилната индустрия. Тя е породена от факта, че свързаните превозни средства стават все по-разпространени.

    Течът на данни във Volkswagen е част от по-широка тенденция на проблеми със сигурността в автомобилния сектор. Проучване от 2023 г. на Mozilla Foundation разкрива, че съвременните автомобили са „кошмар за неприкосновеността на личния живот“. Според него 25 автомобилни бранда събират повече данни, отколкото е необходимо, а 76% от тях признават за потенциалната им препродажба. Освен това 68% от марките са били обект на хакерски атаки, инциденти със сигурността или изтичане на данни през предходните три години.

    През януари 2023 г. екип, ръководен от хакера Сам Къри, демонстрира как може да получи достъп до акаунтите на служителите и дилърите на BMW. По подобен начин беше компрометирана вътрешната чат система на Mercedes-Benz. За автомобилите Kia беше установено, че са уязвими за дистанционно отключване и стартиране.

    Хакването на Jeep през 2015 г. остава легендарен пример за уязвимостите в киберсигурността на автомобилите. Тогава двама IT специалисти получиха дистанционен достъп до електрониката на моделите на компанията през клетъчен модул. Те успяха да поемат контрол над спирачките, скоростта и радиото. Това доведе до изтеглянето на 1,4 млн. автомобила за актуализация на софтуера, за да се предотвратят подобни атаки.

     

  • Европол разби основен онлайн хъб за търговия с незаконно придобита информация

    Европейски правоприлагащи органи и Европол разбиха водещ онлайн пазар, който улеснява извършването на мащабни киберизмами. Той е действал като основен хъб за търговия с незаконно придобита информация.

    Manson Market е давал на киберпрестъпниците възможност за широко филтриране на търсенето. Това им е позволявало да извършват таргетирани атаки с по-голяма ефективност.

    Общо в Германия, Финландия, Нидерландия и Норвегия са иззети над 50 сървъра, съдържащи повече от 200 TB цифрови доказателства.

    Операторите на Manson Market са управлявали и канали в Telegram. Един от тях е споделял безплатно всеки ден откраднати данни за кредитни карти – номер, дата на валидност и CVC код.

    В рамките на операцията също така е демонтирана инфраструктурата на мрежа от фалшиви онлайн магазини, използвана за кражба на банкови данни.

    Този случай показва за пореден път колко е важно да бъдете бдителни при онлайн покупките си. Пазарувайте единствено от проверени електронни магазини. Имайте едно наум, когато срещнете прекалено големи намаления, особено ако от вас се изисква да споделите лична или финансова информация.

  • Над 100 милиона: UnitedHealth потвърди най-голямото изтичане на здравни данни в историята

    UnitedHealth потвърди, че при ransomware атака срещу нейната дъщерна компания Change Healthcare са били откраднати личните и здравните данни на над 100 милиона души. Това е най-големият пробив в сектора на здравеопазването в историята. 

    Откраднатите данни включват здравноосигурителна информация, медицински досиета, диагнози, резултати от тестове, финансова и банкова информация, номера на шофьорски книжки и лични карти и др. 

    Атаката през февруари беше извършена от бандата BlackCat ransomware, известна още като ALPHV. Тя използва откраднати идентификационни данни, за да пробие услугата за отдалечен достъп Citrix на компанията. По време на атаката нападателите са откраднаха 6TB данни и криптираха компютрите в мрежата. 

    UnitedHealth Group призна, че е платила искания откуп, за да получи ключа за декриптиране. Предполага се, че той е бил в размер на 22 млн. долара. Освен това компанията разкри, че атаката е причинила общи загуби на стойност 872 млн. долара. 

    Ако не искате вашата фирма да попадне в ситуацията на UnitedHealth 

    • спазвайте стратегията за съхранение на данни 3-2-1: 3 отделни копия на данните, съхранявани на 2 различни места, и 1 копие офлайн;  
    • проверявайте редовно резервните копия, за да сте сигурни, че работят правилно;  
    • поддържайте всички свои софтуери, особено тези за защита и създаване на резервни копия, актуализирани;  
    • използвайте софтуери за киберсигурност;  
    • въведат стриктен контрол на достъпа до своите системи и хранилищата на резервни копия чрез инструменти за автентикация и оторизация;  
    • провеждайте постоянно обучения по киберсигурност на служителите си. 
  • Пробив в кол център компрометира над 10 милиона разговора между потребители и AI

    Мащабно нарушение на данните в базиран на изкуствен интелект кол център в Близкия изток разкри над 10 милиона разговора между потребители, оператори и AI агенти. Пробивът е включвал неоторизиран достъп до таблото за управление на платформата.  

    От компанията за киберсигурност Resecurity предупреждават, че откраднатата информация може да бъде използвана за социално инженерство, фишинг схеми и други злонамерени дейности. Името на платформата все още не е ясно, но Infosecurity Magazine твърди, че тя се използва широко във финтех индустрията и електронната търговия.  

    Този пробив подчертава нарастващата уязвимост на базираните на AI платформи, които се използват все повече за подобряване на обслужването на клиентите 

    Въпреки че предлагат персонализирана, ефективна комуникация, те също така представляват значителна заплаха за поверителността на данните, ако бъдат компрометирани. Така че внимателно обмисляйте каква информация споделяте при взаимодействие с тях и при всички случаи избягвайте въвеждането на критични лични или фирмени данни. 

      

  • Иновативна хакерска кампания източва входни данни за Google чрез заключване на браузъра

    Иновативна хакерска кампания използва необичаен метод за кражба на входни данни за профили в Google – блокира потребителите в Kiosk mode на браузъра. 

    Зловреден софтуер „заключва“ браузъра на потребителя на страницата за вход в Google без очевиден начин за затваряне на прозореца, блокирайки клавишите ESC и F11 на клавиатурата. Според OALABS целта е жертвата да бъде изнервена дотолкова, че да въведе и запази своите идентификационни данни за Google в браузъра, за да го „отключи“. След като пълномощията са запазени, зловредният софтуер StealC ги краде от хранилището за пълномощия и ги изпраща към нападателя. 

    Потребителите, които попаднат в подобна ситуация, трябва да:  

    • избягват въвеждането на чувствителна информация; 
    • опитат други комбинации от клавиши за бърз достъп като „Alt + F4“, „Ctrl + Shift + Esc“, „Ctrl + Alt +Delete“ и „Alt +Tab“, които могат да помогнат за извеждане на работния плот на преден план и за стартиране на мениджъра на задачите за затваряне на браузъра (End Task).

    Ако всичко това не успее, винаги можете да извършите твърдо изключване, като задържите бутона за захранване.  При рестартиране натиснете F8, изберете Safe Mode (Безопасен режим) и след като се върнете в операционната система, стартирайте пълно антивирусно сканиране, за да откриете и премахнете зловредния софтуер.  

  • Внимание: Скрити камери дебнат в Airbnb обекти

    През последните няколко години чуваме за реални случаи на скрити камери във ваканционни жилища под наем. Това твърдят и 11% от участниците в проучване от 2019 г. на фирма за услуги в областта на недвижимите имоти.

    Политиката на Airbnb по въпроса е недвусмислена: Камерите за сигурност и устройствата за наблюдение на шума са разрешени, „стига да са ясно разкрити в описанието на обявата и да не нарушават поверителността на други лица“.

    Тъй като става въпрос за вашия личен живот, ето какво можете да направите:

    • Проверете внимателно обявата: Споменава ли се в нея наличието на камери.
    • Проверете физически стаята: Има ли стикери, уведомяващи за видеонаблюдение. После потърсете в часовници, детектори за дим, високоговорители или други устройства, насочени към легла или душове.
    • Използвайте фенерче: Лещите на камерата са направени от стъкло и ще отразят светлината.
    • Изключете осветлението и огледайте за сигналните червени или зелени светодиоди на камерите за нощно виждане.
    • Следете за това приложение, което използва Time-of-Flight сеонзра на (ToF) на телефона, за да открие скрити камери, скрити в ежедневни предмети.
    • Позвънете на приятел, докато се разхождате из имота. Скритата камера може да попречи на сигнала на телефона ви, ако използва радиочестоти (RF) за свързване към скрита мрежа.

    Не изпадайте в параноя, просто имайте едно на ум, когато се намирате в обект под наем.

Back to top button