Лични данни

Facebook плаща на потребители ,за да инсталират на смартфоните си приложение, което събира личните им данни. От компанията са потвърдили тази информация пред TechCrunch.

Става дума за приложение, наречено Facebook Research. От 2016 г. насам компанията е предлагала суми до 20 долара на всеки потребител, който си инсталира приложението на своя смартфон. Основната работа на Facebook Research е да следи активността на потребителя онлайн.

Приложение, което изсмуква данни

Според Уил Страфах, консултант по информационна сигурност в Guardian Mobile Firewall, приложението може буквално да изсмуче личните данни от устройството, на което е инсталирано. „Ако от Facebook използват пълния достъп, който получават с това приложение, те ще могат да събират лични съобщения от приложения за социални медии; месинджъри; изпратени снимки и видеа; имейли; търсени думи в търсачките; история на уеб сърфирането и дори данни за настоящото ви местоположение, стига да сте инсталирали на телефона си приложение за геолокация“, посочва Страфах.

Пълен достъп до активността в приложенията

Преди да инсталират приложението, потребителите виждат следното предупреждение, публикувано от Engadget: „С инсталирането на този софтуер вие се съгласявате да събираме данни от вашия телефон, които ще ни помогнат да разберем как сърфирате в интернет и как използвате приложенията, които сте свалили… Това означава, че давате право да събираме информация за приложенията на телефона, как и кога ги използвате, данни за активността и съдържанието в тези приложения, както и как другите потребители общуват с вас през тези приложения“.

От Facebook потвърждават пред TechCrunch за съществуването на Facebook Research, което се разработва като част от Project Atlas. Според компанията целта на проекта е да събира информация за потребителските навици и е практика, която се използва и от други компании.

Почти веднага след публикуваната информация Facebook обяви, че версията на Facebook Research за iOS ще бъде свалена. По подобен начин през август 2018 г. Facebook свали Onavo VPN. Представено като безплатно VPN решение, Onavo също събираше данни за потребителите по начин, който нарушава правилата на App Store.

Facebook купи Onavo през 2013 г. именно за да следи потребителските навици на потребителите. Компанията използва данните от Onavo, за да види кои функции в конкурентните мобилни приложения са популярни сред потребителите, и така да може да направи свои алтернативи.

Над 95 хил. жалби на граждани за неспазване на GDPR са подадени от май 2018 г., когато директивата влезе в сила. България е една от петте страни в Европа, които закъсняват с практическото прилагане на директивата. Това са два от основните изводи в изявление на Европейския комитет за защита на данните.

България е една от страните, където практическото приложение на GDPR все още изостава. Другите са Гърция, Словения, Португалия и Чехия. Съгласуваният с GDPR законопроект беше внесен в българския парламент през септември 2018 г., но беше окончателно гласуван едва на 24 януари 2019 г.

От Европейския комитет за защита на данните отчитат, че до момента в ЕС се водят 255 разследвания за нарушения на изискванията по GDPR. Вече има и случаи на глобени компании.

Най-голямата до момента глоба е за 50 млн. евро. Тя беше наложена на Google. Според френските регулатори интернет гигантът не информира достатъчно добре потребителите си за това как използва данните им за таргетирана реклама.

През ноември Германия наложи глоба от 20 хил. евро на чат платформата Knuddels, след като хакери пробиха сървърите на компанията и откраднаха потребителски данни, които след това публикуваха в Pastebin.

„Случаят Facebook/Cambridge Analytica, както и неотдавнашните пробиви в сигурността на личните данни, показаха, че сме на прав път. На риск е изложена не само защитата на неприкосновеността на личния ни живот, но и защитата на нашите демокрации и гарантирането на устойчивостта на нашите основани на данни икономики“, коментират от комитета.

Последен ъпдейт на 18 януари 2019 в 15:35 ч.

Служителите са основен актив на бизнеса ви – но могат и да са основна заплаха за съществуването му. Действията им, умишлени или не, могат да доведат до източване на информация, спиране на услуги или дори на дейността на организацията.

Статистиката показва, че в 47% от случаите пораженията са дело на недобронамерени служители (данните са от проучване на CA Technologies). Според самите фирми двете най-големи заплахи са прекомерният достъп на служители до данни (37% от анкетираните) и прекомерният достъп на устройства до данни (36% от анкетираните).

Ето само четири примера за това как служителите могат да злоупотребят с достъпа си до данни и да навредят на вашия бизнес.

1. Злоупотреби с месинджъри и чатове

Месинджърите са изключително популярен канал за комуникация, който обаче може да се използва и за източване на фирмени данни. Недобросъвестен служител може да използва Facebook Messenger или друг подобен продукт, за да изпрати чувствителна информация извън рамките на организацията.

2. Порнографско съдържание

Повечето порнографски сайтове съдържат различни форми на зловреден код. Той може да натовари служебния компютър и дори да срине цялата фирмена мрежа.

През 2018 г. служител на Геологическия топографски институт на САЩ успя да инфектира с малуер цялата мрежа на институцията, след като заредил на служебния си компютър хиляди страници с порнографско съдържание.

3. Кражба (или загуба) на данни на физически носител

Възможно е злонамерен служител да открадне устройство, съдържащо важна информация за вашия бизнес. По същия начин той може да се опита да копира данните на физически носител – например флашка. Небрежността на член на екипа ви може да доведе до загуба на флашка, на която съхранявате договори, оферти – или дори интелектуална собственост.

4. Споделяне на пароли

Много служители споделят паролите за достъп до важни информационни ресурси във фирмата. Независимо дали го правят с лоши помисли или не, тази практика създава рискове за информационната сигурност.

[box type=“success“ align=“alignleft“ class=““ width=““]

Съвети за бизнеса

• Задайте политики за контрол на достъпа до информация. По този начин ще има ясни правила кои служители могат да достъпват важните информационни ресурси. Политиките ще ви помогнат да следите кои служители се опитват да споделят чувствителна информация през интернет, играят игри или разглеждат порнографски сайтове.
• Използвайте двуфакторна автентикация. тя е допълнителен слой на защита, който ви предпазва от безразборното споделяне на пароли в офиса. Двуфакторната автентикация ограничава достъпа до информационни ресурси.
• Ограничете използването на флашки и други физически носители. Флашките са лесен начин за съхранение и споделяне на данни и това ги прави много подходящи за злоупотреби. Можете да задавате политики за това на кои устройства могат да се използват флашки.
• Криптирайте служебните устройства. Криптирането на данните е защитна мярка в случай на кражба или загуба на устройството, на което се намират. Дори и устройството да попадне в неподходящи ръце, данните на него не могат да бъдат достъпени.

[/box]

Замисляли ли сте се колко важни са паролите за вашата дигитална същност? Тези комбинации от символи, букви и числа защитават всички онлайн услуги и устройства, които използвате. Те заключват дигиталния ви портфейл, защитават цялата ви онлайн комуникация, осигуряват неприкосновеност на профилите ви в социалните мрежи и т.н.

Въпреки че са толкова важни, паролите съвсем не са перфектния ключ. Те могат да бъдат разбити – точно като ключалка – и да доведат до кражба на вашите лични данни, важна информация и финансови средства. Много потребители правят разбиването им максимално лесно, избирайки слаби пароли или разчитайки само на една парола за достъп до всички онлайн услуги.

Компанията за информационна сигурност ESET дава пет съвета за разумно използване на пароли, които са лесни за спазване и могат да се превърнат в едно добро новогодишно обещание през 2019 г.

Използвайте фрази

Стандартните пароли са едновременно трудни за запомняне и лесни за отгатване. Ако вместо тях използвате фрази (няколко думи, събрани в една голяма комбинация), това прави паролата лесна за запомняне и трудна за отгатване. Колкото повече думи съдържа вашата фраза, толкова по-добре.

От ESET препоръчват да изберете фраза с поне 7 думи. „Броят на възможните комбинации нараства експоненциално с всяка следваща дума, а това намалява значително вероятността паролата ви да бъде отгатната“, коментират от компанията.

Избягвайте смислени комбинации от думи

Не правете грешката да избирате смислени фрази: например имена на филми, песни, любими цитати и т.н. Такива фрази са по-лесни за отгатване. Вместо това изберете комбинация от случайни думи, която лесно можете да запомните, но няма смисъл за никой друг.

Пример за такава фраза е drain hearings power homes. Със сегашните технологии ще отнеме стотици хиляди години, за да бъде разбита тази парола, според сайта Use A Passphrase.

Можете да направите паролата още по-трудна за разбиване като добавите числа или специални символи. Например: dr@1nhear1ngspowеrhome$

Забравете за многократното използване на една и съща парола

Никога не използвайте една и съща парола за две или повече онлайн услуги. „Ако по някаква причина някой разбере коя парола използвате, той вече разполага с един ключ, който отключва две или повече врати към дигиталната ви идентичност“, коментират от ESET.

Може би си мислите: „Но как някой ще разбере в кои акаунти използвам тази парола?“ По-лесно е, отколкото си мислите. Нарича се credential stuffing: автоматизиран процес, с който хакерите тестват дали някоя хакната вече парола няма да отключи вашия акаунт. И ако този акаунт се отключва със същата парола, която вече е била хакната, това ви оставя без никаква защита.

Разбира се, ако не трябва да използвате една парола повече от веднъж, това означава, че ще трябва да помните ужасно много пароли. От ESET препоръчват използването на мениджър за управление на пароли, който помни всички дигитални ключове вместо вас.

Използвайте двуфакторна автентикация

Двуфакторната автентикация е второ ниво на защита на вашия акаунт след паролата (тя е първото ниво). Дори и някой да знае паролата ви, двуфакторната автентикация го спира да получи достъп до вашата дигитална самоличност.

Много онлайн услуги като Facebook и Google предлагат двуфакторна автентикация, но тя се активира само по желание на потребителя. Можете да избирате между двуфакторна автентикация със SMS (получавате код за автентикация като текстово съобщение на телефона си), с допълнително приложение (приложението генерира кода) или с физически носител (т.нар. тоукън, който обикновено прилича на флашка).

„Малкото допълнително усилие, което правите, за да се впишете в акаунта си с двуфакторна автентикация, се отплаща. Най-малкото защото няма как да станете жертва на престъпник, който знае вашата парола“, посочват от ESET.

Използвайте по-малко пароли

Звучи като противоречие с казаното дотук, но не е така. Важно е да използвате различни пароли за различните онлайн услуги. Но ако сте се регистрирали в онлайн услуги, които вече не използвате, следва да ги деактивирате. Тук говорим за електронна поща, форуми, сайтове за онлайн игри и каквото друго ви хрумне.

Защо ви е да го правите?

„Проблемът е, че всяка такава услуга носи риск. Доставчикът на услугата може да претърпи пробив и паролата ви да се озове в грешните ръце“, коментират от ESET.

Помислете и за закриване на акаунтите, които са обвързани със социалните ви мрежи. Много онлайн услуги(включително и мобилни приложения) дават възможност да ги достъпвате чрез профила си във Facebook или Google.

В повечето случаи деактивирането на онлайн услуга става бързо и с няколко клика. Достатъчно е да влезете в профила си и да посетите настройките за поверителност.

Двайсетгодишен младеж е задържан по подозрения, че е публикувал в интернет данните на над 1000 обществени личности в Германия, съобщава DW. Според немската полиция задържаният е признал вината си, но разследването по случая продължава.

Полицията е обискирала жилището на задържания в Хесен в неделя, а ден по-късно (7 януари) е бил разпитан. Във връзка с разследването е обискиран домът и на 19-годишен младеж от Хайлброн, който е общувал със задържания и е разпитан като свидетел.

В продължение на месец задържаният младеж от Хесен е публикувал в Twitter акаунт с името G0d данни за германски политици, журналисти, водещи и други популярни лица. Все още не е ясен произходът на данните, но те включват адреси, телефонни номера, снимки и чатове. Сред жертвите са имена като Ангела Меркел и Торстен Швейгер, член на управляващия Християндемократически съюз.

Публикуването на данните е станало през декември 2018 г., но случаят доби популярност в първите дни на януари 2019 г.

Португалската болница Centro Hospitalar Barreiro Montijo е първата институция в страната, глобена за неспазване на евродирективата GDPR. Според International Association of Privacy Professionals болницата е получила три глоби на обща стойност 400 хил. евро. Глобата е била наложена още през юли, а болницата е обжалвала решението.

Глобите са за три различни нарушения. Според местния регулатор здравното заведение е предоставило достъп до данните на пациентите на твърде много потребители. За това нарушение е наложена глоба от 150 хил. евро.

Друга глоба от 150 хил. евро е наложена, тъй като болницата не е приложила технически и организационни мерки, за да пази данните на пациентите си.

Третата глоба е за неспособността на болницата да осигури конфиденциалност и интегритет на данните в информационните й системи. Размерът на глобата е 100 хил. евро.

Според Comissão Nacional de Protecção de Dados (CNPD – португалският еквивалент на Комисията за защита на личните данни) са налице множество нарушения на процедурите за работа с лични данни. Така например липсва документ, който урежда създаването на нови потребители в информационната система на болницата.

Също така лекарите – независимо от тяхната специалност – са можели свободно да разглеждат личните данни на всички пациенти.

Нещо повече – в системата фигурират почти 1000 души с профил „лекар“. Но официално на отчет в болницата се водят едва… 296 лекари.

Това е един от първите случаи в Европа на глоби за неспазване на GDPR. През ноември германската компания Knuddels беше глобена с 20 хил. евро за нарушения съгласно директивата.

Последен ъпдейт на 12 декември 2018 в 16:56 ч.

Социалните мрежи събират огромно количество лични данни за потребителите си. Достатъчно е да дадем за пример Facebook, която знае почти всичко за вас: кои са приятелите ви, какви са вашите интереси, какви са религиозните и политическите ви възгледи, какви места сте посещавали, кои са най-важните събития в живота ви.

Съгласно GDPR всяка компания, която събира лични данни за европейски граждани, трябва да им даде възможност да поискат копие от тези данни (и да им го предостави, когато си го поискат). Компаниите, които управляват социални мрежи, не са изключение. В съответствие с GDPR те дават възможност на всеки потребител да изтегли копие от личните си данни, които социалната мрежа е събрала за него.

В тази статия ще разгледаме как потребителите могат да свалят копие на личните си данни от 4 от най-популярните социални мрежи в света.

Facebook

Хегемонът в социалните мрежи е вероятно най-голямата база данни за хора в света. Както показва скандалът с Cambridge Analytica, данните от Facebook могат да се използват дори за манипулиране на избори и вземане на важни за обществото решения като Brexit. Социалната мрежа има информация за събития, места, приятели, интереси на своите потребителите. А в някои случаи – дори с кого са си говорили по телефона.

Ето как да видите с какви данни за вас разполага Facebook.

От основното меню във вашия профил (триъгълната икона в горния десен ъгъл) изберете:

Settings > Your Facebook Information > Download Your Information > View

Тук можете да направите фини настройки на данните, които искате да свалите: например формат, качество на снимките, изобор на данни само за определен период. Потвърдете избора си с Create File.

Ще получите известие, когато файлът с вашите данни е готов за сваляне. За да го изтеглите, отидете в:

Settings > Your Facebook Information > Download Your Information > Available Files > Download

Ще трябва да въведете паролата си за Facebook, преди свалянето да започне.

Instagram

Instagram държи архив с вашите снимки, видеа, истории, харесвания, съобщения. В събраните за вас данни има също информация за нещата, които сте търсили в социалната мрежа, вашите коментари и контакти.

Влезте в настройките на вашия Instagram профил (зъбчатото колело) и изберете:

Privacy & Security > Data Download > Request Download

На този етап Instagram ще поиска да въведете имейл адрес, на който да изпрати линк към вашите данни, както и да напишете паролата си за достъп до вашия Instagram профил.

Ще получите имейл, от който можете да свалите копие на данните си.

LinkedIn

LinkedIn събира на едно място голяма част от професионалния ви живот. Данните включват вашите професионални умения, телефонни номера, заемани длъжности, интереси, говорими езици, проекти, в които сте участвали, и много друга информация (пълен списък на данните има тук).

Влезте в профила си в LinkedIn и изберете иконката Me (в горния десен ъгъл, с вашата профилна снимка). От там изберете:

Settings & Privacy > Privacy > How LinkedIn uses your data > Change

Можете да избирате какви категории данни искате да получите: например контакти и връзки с други потребители, съобщения, препоръки, покани, информация от профила и т.н. Потвърдете избора си с Request Data. Ще трябва да въведете паролата си за достъп до LinkedIn. данните се изпращат с два имейла – първият съдържа основната информация в профила, а вторият – други данни като например коментари в групи или мобилни устройства, на които е активирано LinkedIn приложение с вашия профил.

Twitter

Twitter дава възможност да изтеглите копие на данните от вашия профил; съобщенията, които си обменяте с други потребители, медийни файлове, които сте качили, списък на последователите ви. Информацията включва и списъци, които сте създали или в които участвате, информацията за интересите ви; също и рекламите, които сте видели или кликнали.

За да свалите данните, натиснете иконата на профила си и изберете:

Settings and privacy > Your Twitter archive > Request your archive

Google

Търсачката Google и множеството продукти, които притежава – сред които са сайтът за видеосподеляне Youtube и браузърът Chrome – също пази огромен архив от данни за потребителите си. Можете да свалите копие от данните, които Google притежава за вас.

Личните данни на около 100 млн. потребители на сайта за въпроси и отговори Quora са били компрометирани. Една от информационните системи на компанията, която поддържа сайта, е била пробита от неизвестна засега трета страна, съобщи Quora в блога си.

„Голяма част от съдържанието, което е достъпено, така или иначе е публично, но компрометирането на акаунти и лични данни е сериозно“, коментират от Quora. сайтът се посещава от около 300 млн. уникални потребители месечно. Няма официална статистика каква част от тях са българи.

Всички засегнати потребители ще трябва отново да влязат в профилите си в Quora. Ако удостоверяват самоличнотта си с парола (Quora позволява да се впишат в платформата и с профила си във Facebook или Google), те ще трябва да сменят паролата си, тъй като старата ще бъде невалидна.

Какви данни са откраднати

От компанията посочват, че следните потребителски данни може да са компрометирани:

• Данни за профила – име, имейл адрес, парола в хеширан вид, данни от свързани социални мрежи;
• Публично достъпна информация – зададени въпроси, написани отговори и коментари, положителни гласувания;
• Непублична информация – отрицателни гласувания и директни съобщения между потребители;

„Анонимни въпроси и отговори не са засегнати, тъй като не пазим данни за хора, които публикуват анонимно“, посочват от Quora.

Каква е причината

Засега няма информация как точно са достъпени данните на потребителите на Quora. Пробивът е открит в петък и от тогава компанията се опитва да установи точните причини за него. „Разследването ни продължава, но сме взели мерки, за да ограничим последствията от пробива. Основен приоритет за нас като компания е да предотвратим подобни инциденти в бъдеще“, казват от Quora.

Какво да направите, ако използвате Quora

Ако профилът ви е засегнат по някакъв начин, ще получите имейл, който ви известява за това.

Възможно е паролата ви административно да е направена невалидна. В такъв случай ще трябва да я смените следващия път, когато се опитате да влезете в Quora. Дори и паролата ви да не е невалидна, можете да я смените като превантивна мярка от настройките на профила.

Ако профилът ви е засегнат и използвате същата парола и за други профили, добрата практика изисква да промените паролата си и за тях.

Последен ъпдейт на 4 декември 2018 в 11:14 ч.

Oператорът на хотели Starwood е претърпял пробив на базата данни с резервации, съобщи собственикът Marriott International. Откраднати са лични данни на около 500 млн. гости, въпреки че все още се проверява каква част от тях се дублират.

Неизвестният засега извършител е имал достъп до базата данни от 2014 г., твърди Marriott International. Компанията придоби Starwood през 2016 г. На 19 ноември 2018 г. мениджмънтът на Marriott е разбрал, че е разбита базата данни, съдържаща информация за гостите на тези хотели.

Индикации за пробив е имало и преди това, но не е било ясна коя база данни е пострадала. За проблема са информирани властите и съответните регулатори.

Имена, адреси, номера на банкови карти

За около 327 млн. гости откраднатите данни са различни комбинации от име, адрес за кореспонденция, телефонен номер, имейл, номер на паспорт, рожденна дата, пол, дата на пристигане и заминаване и други.

„За някои от гостите информацията включва и номера на карти за разплащания, но те са криптирани с AES-128. За декриптирането им са необходими два компонента. Към този момент не можем да изключим вероятността тези компоненти да са откраднати. За останалите гости откраднаните данни се ограничават до име, адрес за кореспонденция, имейл адрес, или друга информация“, съобщават от Marriott.

„Дълбоко съжаляваме за този инцидент“, заяви Арни Сорънсън, главен изпълнителен директор на компанията. Акциите на Marriott, които се търгуват на NASDAQ, поевтиняха с 5% още преди отварянето на борсовата сесия в САЩ.

От 30 ноември компанията е започнала да информира за пробива гостите, чиито имейли са били в базата данни на Starwood. Съзаден е и специален сайт, на който гостите могат да следят за информация и да задават въпроси.

Един от сериозните инциденти на 2018 г.

Инцидентът със Starwood със сигурност ще е един от най-големите пробиви на данни за 2018 г., ако се вземе предвид статистиката на Breach Level Index. През първото полугодие на годината има само два по-мащабни пробива.

Единият е свързан с Facebook и по-точно с функционалност в социалната мрежа, която позволяваше да се идентифицира собственикът на определен имейл или телефонен номер. Другият засяга индийската система за раздаване на идентификационни номера Aadhaar. Тя беше хакната, а данните на 1.2 млрд. граждани – откраднати.

Служебният лаптоп може да съдържа много чувствителна информация. Тя включва лични данни на клиенти и служители, фирмени данни за парнтьори, банкови сметки, фактури, извлечения, платежни нареждания и други важни документи.

Има няколко базови правила, които могат да попречат на информацията да попадне в грешни ръце. Откраднатите или изгубени устройства са втората най-честа причина(след хакерските атаки) за изтичане на корпоративни данни според проучване на Trend Micro от 2015 г. За съжаление голяма част от служителите продължават да пренебрегват подобни рискове и това може да струва скъпо на компанията.

Криптирайте данните на лаптопа

Служебният лаптоп често съдържа чувствителна информация, която не следва да напуска фирмата. Затова е важно данните на него да са криптирани като допълнителна превантивна мярка.

Ако лаптопът бъде откраднат или изгубен, данните на него ще останат защитени. По този начин може да се предотврати изтичане на важна корпоративна информация. Такива случаи не липсват: в края на 2017 г. служител на летище Хийтроу изгуби некриптирана USB флаш памет със секретни данни. Флашката беше открита, но заради немарливостта летището отнесе глоба от 120 хил. паунда.

Windows има вграденa функция за криптиране BitLocker, но можете да използвате и друг софтуер, с който да защитите данните си. Допълнителната полза от него е, че можете да локализирате устройството в случай на кражба.

Използвайте различни и трудни за отгатване пароли

Много служители все още подценяват необходимостта от трудни за отгатване пароли. Неслучайно 123456 продължава да оглавява класацията на Splashdata за най-слабите пароли: заедно с други често срещани комбинации като password и qwerty. Паролата е една от малкото ключалки, които предпазват данните на служебния лаптоп, затова тя трябва да е възможно най-трудна за разбиване.

Стандартните препоръки са паролата да е с дължина поне 8 символа, да е комбинация от числа, малки и големи букви и символи. Можете да използвате комбинация от няколко думи (passphrase). Това ще ви позволи да я запомните по-лесно, а освен това е по-дълга от стандартна парола с десетина символа.

Друга основна грешка е да използвате една и съща парола за много профили. Това създава сериозен риск за сигурността. Ако някой знае една парола, това означава, че той знае паролите за всичките ви профили. Използвайте различна парола за всеки профил, в който влизате.

Избягвайте публични WiFi мрежи

Безплатният интернет е хубаво нещо, но трябва да си дадете сметка за цената, която всъщност плащате, за да го ползвате. WiFi мрежите в заведения и други публични места може да са компрометирани. Трафикът в тях може да се следи, а това означава, че всяка некриптирана информация, която преминава в мрежата, е видима за този, който „подслушва“.

Ако трябва да се закачите към общественодостъпна мрежа, използвайте VPN. Не отваряйте сайтове без HTTPS, защото информацията, която обменяте с тях, е лесно проследима.

В България има почти 27 хил. отворени WiFi мрежи според данните на WiGLE. Всяка от тях крие риск от кражба на данни, така че използвайте ги отговорно. Или по-скоро не ги използвайте.