Разширения за Chrome могат да крадат пароли от уебсайтове
Екип от изследователи от Университета на Уисконсин-Медисън е качил в уеб магазина на Chrome доказателство за концептуално разширение, което може да краде пароли в обикновен текст от изходния код на уебсайт. Изследването на полетата за въвеждане на текст в уеб браузърите разкри, че грубият модел на разрешенията, залегнал в основата на разширенията за Chrome, нарушава принципите на най-малката привилегия и пълното посредничество. Освен това изследователите установиха, че многобройни уебсайтове с милиони посетители, включително някои портали на Google и Cloudflare, съхраняват пароли в обикновен текст в изходния HTML код на своите уебстраници, което позволява на разширенията да ги извличат. Източник на проблема Изследователите обясняват, че проблемът е свързан със системната практика разширенията на браузъра да получават неограничен достъп до DOM дървото на сайтовете, които зареждат, което позволява достъп до потенциално чувствителни елементи, като например полета за въвеждане от потребителя. Предвид липсата на каквато и да е граница на сигурност между разширението и елементите на сайта, първото има неограничен достъп до данните, видими в изходния код, и може да извлече всяко тяхно съдържание. Освен това разширението може да злоупотребява с DOM API, за да извлича директно стойността на входните данни, докато потребителят ги въвежда, заобикаляйки всякакво замаскиране, приложено от сайта за защита на чувствителните входни данни, и да открадне стойността програмно. Протоколът Manifest V3, въведен от Google Chrome и приет от повечето браузъри тази година, ограничава злоупотребите с API, забранява на разширенията да извличат отдалечен код, който може да помогне за избягване на откриването, и предотвратява използването на eval оператори, които водят до произволно изпълнение на код. Въпреки това, както обясняват изследователите, Manifest V3 не въвежда граница на сигурността между разширенията и уебстраниците, така че проблемът със скриптовете със съдържание остава. Качване на PoC в уеб магазина За да тестват процеса на преглед в уеб магазина на Google, изследователите решават да създадат разширение за Chrome, способно да извършва атаки за улавяне на пароли, и да се опитат да го качат в платформата. Изследователите създават разширение, представящо се за асистент, базиран на GPT, който може да: улавя изходния код на HTML, когато потребителят се опитва да влезе в дадена страница, посредством regex. злоупотребява с CSS селектори, за да избере целеви полета за въвеждане и да извлече потребителски данни с помощта на функцията „.value“. извършва заместване на елементи, за да замени базираните на JS замаскирани полета с опасни полета за пароли. Разширението не съдържа очевиден зловреден код, така че избягва статично откриване, и не извлича код от външни източници (динамично инжектиране), така че е съвместимо с Manifest V3. В резултат на това разширението е преминало успешно проверката и е било прието в уеб магазина на Google Chrome, така че проверките за сигурност не са успели да уловят потенциалната заплаха. Екипът е следвал етичните стандарти, за да гарантира, че не са събирани действителни данни и не е извършвана злоупотреба с тях, като е деактивирал сървъра за получаване на данни, а е запазил активен само сървъра за насочване на елементи. Освен това разширението беше настроено на „непубликувано“ през цялото време, така че да не събира много изтегляния, и беше незабавно премахнато от магазина след одобрението му. Потенциал за експлоатация Последвалите измервания показаха, че от 10-те хил. най-големи уебсайта (по данни на Tranco) приблизително 1100 съхраняват пароли на потребители в обикновен текстов вид в рамките на HTML DOM. Други 7300 уебсайта от същия набор бяха счетени за уязвими за достъп до DOM API и директно извличане на стойността на потребителския вход. В техническия документ, който изследователите от Университета на Уисконсин-Медисън публикуваха по-рано тази седмица, се твърди, че около 17 300 разширения в уеб магазина на Chrome (12,5%) разполагат с необходимите разрешения за извличане на чувствителна информация от уебсайтове. Няколко от тях, включително широко използваните блокери на реклами и приложения за пазаруване, могат да се похвалят с милиони инсталации. Забележителни примери за липса на защита на уебсайтове, посочени в доклада, включват: gmail.com – пароли в обикновен текст в изходния код на HTML cloudflare.com – пароли с обикновен текст в изходния код на HTML facebook.com – потребителски данни могат да бъдат извлечени чрез DOM API citibank.com – потребителските данни могат да бъдат извлечени чрез DOM API irs.gov – SSN са видими в обикновен текст в изходния код на уебстраницата capitalone.com – SSN са видими в обикновен текст в изходния код на уебстраницата usenix.org – SSN са видими в обикновен текст в изходния код на уебстраницата amazon.com – данните за кредитната карта (включително код за сигурност) и ZIP кодът са видими в обикновен текст в изходния код на страницата И накрая, анализът показа, че 190 разширения (някои от които с над 100 хил. изтегляния) имат пряк достъп до полета за пароли и съхраняват стойности в променлива, което предполага, че някои издатели може би вече се опитват да се възползват от пропуските в сигурността. Инфографики:arxiv.org Източник: По материали от Интернет
Лицевото разпознаване унищожава анонимността?
В миналото се смяташе, че разпознаването на лица е достъпно само за агенции за сигурност и корпорации с дълбоки технологии. В резултат на това хората са по-склонни да видят разпознаване на лица в холивудски блокбъстър, отколкото в реалния живот. Нещата обаче се променят. Софтуерните решения за разпознаване на лица се прилагат в хотели, ресторанти и обществени места в САЩ. Повечето компании твърдят, че те са на разположение, за да помогнат на предприятията да наложат правилата за носене на маски и указанията за здравен скрининг. Това може да е така, но мисълта, че изображенията ви може да се съхраняват на сървър, разположен на другия край на света, е страшна. Полицейските отдели в САЩ започнаха открито да тестват и такива технологии за разпознаване на лица. Преди пандемията те имаха за цел да заловят престъпници, които може да присъстват на концерти или масови събития. Полицейските служители биха получили сигнал, че конкретно лице е в тълпата. Компании като ClearView, използвана от много полицейски управления в цялата страна, се рекламират като търсачки за разпознаване на лица. По-специално ClearView твърди, че разполага с най-голямата база данни с възможност за търсене, която се състои от 3+ милиарда изображения на лицето, получени от публични уеб източници. Правителственото използване на такива услуги повдига много въпроси относно неприкосновеността на личния живот, но също така изглежда, че има определена цел. Обикновените хора искат да виждат лошиге зад решетките и правоприлагащите органи винаги трябва да имат най-добрите инструменти за прилагане на закона. През последните години обаче все по-широкото използване на технологията направи разпознаването на лица комерсиално. Наскоро технологията беше значително подобрена и изведнъж стана по-достъпна, което отвори врати за разработчици и корпорации с всякакъв бюджет и размер, за да я изследват. В резултат на това много индустрии започнаха да възприемат технологията за разпознаване на лица, като един от начините да идентифицират кои компании са лидерите на пазара на смартфони. Докато технологията беше бавно въведена сред много марки телефони като Samsung и Motorola, разпознаването на лица се превърна в норма, когато Apple я прие за своя модел iPhone X, пуснат през 2017 г. Почти веднага разпознаването на лица се превърна в една от най-добрите опции за сигурност, които запазват смартфон устройствата в безопасност. Въпреки че е наистина удивително да не се налага да запомняме пароли, медът идва и с щипка катран, тъй като подобни технологии може да подкопаят анонимността, каквато я познаваме. Ако се използва правилно, технологията обикновено е полезна. Например високопрофилните антивирусни софтуерни решения ви позволяват да видите човека, който се опитва да отключи телефона ви, ако устройството ви бъде откраднато. С изображението, взето и доставено на вашия имейл, можете бързо да отидете в полицията и да работите с тях, за да откриете самоличността на извършителя. Но такива възможности могат да се използват и по злонамерен начин и по същество могат да убият анонимността. Според Wired ФБР има около 600 милиона снимки в своята база данни. Правителствените агенции са на място, за да обслужват и защитават гражданите на страната, но нещата могат да се объркат, ако тази база данни се окаже в грешните ръце. Същото важи и за частни компании като ClearView с библиотеки, съдържащи милиарди изображения – кибератаките се случват непрекъснато и често не се засичат в продължение на години. Представете си, ако чужда държава в крайна сметка притежава база данни, съдържаща изображението на всеки гражданин на САЩ. След това информацията в такава база данни може да се използва за идентификация и за проследяване на хората наоколо. С голяма сила идва огромната отговорност, така че се надяваме такива бази данни и инструменти да бъдат безопасно съхранявани и регулирани, така че да се използват в помощ на хората. Източник: Panda Media Center За Panda Security Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.). Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение. За допълнителна информация: AntivirusBG – Официален представител на Panda Security за България София: 02/ 813 28 11 Пловдив: 032/ 62 16 08
Пробивите в защитата водят до големи загуби
Пробивите във Вашата защита могат да доведат до многомилионни загуби Пробивите в сигурността на личните данни сега са сред най-честите сериозни инциденти, засягащи бизнеса. В това отношение 2019 г. беше лоша за компаниите. През годината се наложиха едни от най-високите санкции за нарушаване на разпоредбите за защита на данните, с примери като глобата от 50 милиона евро на Google LLC за неспазване на правилата за прозрачност на GDPR и липсата на валидно правно основание за обработка на лични данни за рекламни цели. British Airways също беше ударена с глоба от 183 милиона паунда от Службата на комисаря по информацията на Обединеното кралство (ICO) във връзка с нарушение на данните, което се случи през септември 2018 г. Хакери успяха да откраднат личната информация на около половин милион клиенти на BA, данни, които включват техните имена, номера на кредитни карти и CVV кодове и имейл адреси. Член 32 от новата регулаторна рамка изисква от компаниите да прилагат техническите и организационни мерки, необходими за гарантиране на сигурността на данните. Има няколко широко известни неглижирания на законодателството от няколко големи организации, което доведе до големи глоби от националните власти. Такива глоби могат да достигнат до 20 милиона евро или 4 процента от годишните приходи на компанията. За по -малките компании също няма прошка. В Полша компания е глобена с 220 000 евро за събиране на данни от компании и лица без тяхното изрично съгласие. И през ноември 2018 г. властите в германската провинция Баден-Вюртемберг санкционираха неназован доставчик на социални медии с глоба от 20 000 евро. Германската преса предполага, че въпросната фирма е Knuddels, онлайн услуга за чат, която претърпява кибератака, излагаща 808 000 имейл адреса и 1 872 000 потребителски имена и пароли. Според Enforcement Tracker санкциите, наложени от европейските агенции за защита на данните, възлизат на около 600 милиона евро от влизането в сила на GDPR. В началото на октомври 2020 г. модният търговец на дребно H&M стана втората компания в Европа, която бе глобена с над 35 милиона евро. Този път обаче, с оглед на органа за защита на данните в Хамбург, беше доказано, че шведската компания незаконно е получила обширни записи относно личния живот на служители в един от техните центрове в Нюрнберг, датиращи поне от 2014 г. насам. Примерни санкции Според наскоро публикувано проучване на Finbold и след анализ на глобите и санкциите, наложени от органите за защита на данните в ЕС между януари и август 2020 г., Испания е страната с най-голям брой санкции, на обща стойност 1 952 810 евро. Въпреки че ако се вземат предвид други фактори, като например общата стойност на всички глоби в една държава, Холандия (2 080 000 евро) и Швеция (7 031 800 евро) биха надминали Испания, както и Италия, със зашеметяващите общо 45 609 000 евро от наказанията до момента за тази година. И това не се случва само в Европа. Подобен сценарий може да се види отвъд Атлантическия океан, където например американската застрахователна компания Anthem наскоро призна плащането на глоба от 39,5 милиона щатски долара, наложена в резултат на нарушение на сигурността през 2015 г. Този инцидент засегна личните и здравните данни на 80 милиони американци. Тази санкция е на върха със своите 115 милиона щатски долара, които компанията е изплатила през 2017 г. като компенсация на клиентите за тези провали в сигурността. Различни слабости, различни решения за киберсигурност За съжаление нарушенията на сигурността на данните са твърде често срещана реалност в света на бизнеса. Такива инциденти се превръщат в сериозни санкции с финансови последици за неспазване на GDPR, не само благодарение на глобите, но и поради сериозното въздействие върху репутацията на компанията и ефекта върху нейните финансови резултати. Като се има предвид, че нарушаване на данните може да възникне през всяка от многобройните точки за влизане в корпоративна мрежа, е от съществено значение да има най-модерната и подходяща защита за всяка ситуация. Благодарение на видимостта, предоставена от Panda Adaptive Defense 360 и способността й да предотвратява и открива заплахи и да предоставя средствата, необходими за незабавна реакция, организациите ще бъдат защитени от хакери и 0-Day или напреднали атаки, които могат да завършат с нарушаване на сигурността на данните . В допълнение, неговият добавен модул Panda Data Control разкрива и одитира всички неструктурирани лични данни на крайните точки на компанията. Той генерира доклади в реално време и предупреждения за неразрешено използване на данни, за да се предотврати изтичане, което поддържа прилагането на проактивен контрол върху достъпа и експлоатацията на данните. Освен това, ако сте загрижени за критични уязвимости, които в момента се увеличават, вече можете да намалите повърхността на атаката си на Windows сървъри и работни станции с Panda Patch Management. Предвид този фон е жизненоважно за бизнеса ви да разберете колко е важно да разполагате с усъвършенствано решение за киберсигурност, да наблюдавате данните във вашата организация и да коригирате системите и приложенията, които използвате. Всички продукти и модули за операции за сигурност на ИТ и крайни точки, от които се нуждаете, са предоставени от Panda Security, търговска марка на WatchGuard. Източник: Panda Media Center За Panda Security Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.). Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение. За допълнителна информация: AntivirusBG – Официален представител на Panda Security за България София: 02/ 813 28 11 Пловдив: 032/ 62 16 08
Животозастраховане и неприкосновенност на лични данни
Живеем в несигурни времена, така че ако все още нямате ЗАСТРАХОВКА „Живот“, може би сте се замисляли по въпроса през последната половин година. Получаването на най-добрите тарифи и оферти обаче не е най-лесното нещо, ако се стремите да получите най-изгодна цена на полицата. Типичният процес на подписване на животозастрахователна полица може да отнеме между 45 и 60 дни. През това време застрахователят, назначен по вашия случай, проверява дали информацията, която сте споделили във вашето резюме, съвпада с данните, които те успяват да изкопаят за вас. В миналото всичко, което трябваше да направите, е да преминете през медицински преглед и да попълните въпросник. В днешно време застрахователните компании използват цял набор от цифрови инструменти, за да определят дали офертата, която ви предлагат, е справедлива за тях – в крайна сметка те са субекти с идеална цел. Ето защо застрахователите правят много онлайн търсене, опитвайки се да научат повече за вас и вашия начин на живот. Медицински досиета Освен ако не се откажете изрично, в повечето случаи вашата здравна служба предоставя на застрахователите всяка информация, която са събрали за вас през целия ви живот. Да предположим, че имате текущо състояние, което сте пропуснали да споменете в заявката си за кандидатстване или резултати от тестовата лаборатория, с които не се гордеете много. В този случай вашият застраховател ще разбере всички подробности по време на процеса на подписване. Застрахователните компании ще имат достъп до резултати от тестове, информация за минали посещения, имунизации, алергии, хронични заболявания и др. Социални мрежи Ако сте се означили като непушач и трезвеник, но снимките в профила ви в социалните медии показват, че държите пура или питие, може да бъдете подложени на по-високи месечни премии по вашата застрахователна полица. Андеррайтерите също използват социалните медии, за да определят дали сте изложени на повишен риск, тъй като те могат да видят дали имате някакви опасни хобита, които потенциално могат да повлияят на очакваната продължителност на живота ви. Например, ако често се маркирате на близкото стрелбище; или се занимавате с бързо планинско колоездене; или се наслаждавате на парапланеризъм, това може да доведе до изтичане на повече пари от джоба ви, тъй като може да бъдете считани за високорискови. История на рецептите Дори по някакъв начин да се откажете от споделянето на медицинските си записи с животозастрахователната компания, те пак ще имат начин да видят дали сте закупили някакво лекарство, което може да се използва за лечение на здравословни състояния, които могат да намалят продължителността на живота ви и да ви повишат риска. Например, ако някога сте закупували някакви лекарства с рецепта за диабет, високо кръвно налягане, депресия, ще видите бум в потенциалната си застрахователна премия за живот. История на шофиране Отчетът ви за моторни превозни средства е полезен за застрахователните компании, тъй като те могат да видят дали сте чист шофьор или сте имали някакви залитания по време на шофьорската си кариера. Те по-специално търсят дали сте имали някакви произшествия и присъди. Като например, шофьор с нарушения в миналото би се считал за по-рисков. Обикновено застрахователните компании се опитват да получат повече пари при получаване на заявление или да избегнат изплащането при подаване на иск. Кредитен рейтинг Колкото и да е странно, кандидатстването за ипотека е много подобно на процеса на получаване на полица за животозастраховане. И двата процеса могат лесно да отнемат два месеца и доставчикът на ипотечни кредити, и застрахователните компании в крайна сметка прекарват време в проучване на вашия кредитен отчет и взимат предвид вашия кредитен рейтинг, преди да предложат лихвен процент. Животозастрахователните компании използват данни от вашия кредитен рейтинг – това им помага да преценят по-добре предложения рисков профил на кандидатът за застраховка. Цифрови отпечатъци Ако не сте търсили в Google името си наскоро, сега може да е отличен момент да видите какво могат да намерят застрахователите за вас. Последното нещо, което искате за тях, е да се озоват на старата ви страница в MySpace, която по някаква странна причина все още индексира в Google и да ги накара да виждат изображения на вас, как пушите и пиете с приятели, докато сте отбелязали, че сте непушач и трезвеник в квадратчета във формуляра за кандидатстване. Ако се подготвяте да кандидатствате за първата си животозастрахователна полица или мислите да смените компанията, не само ще трябва да се подложите на витаминозна диета с много зеленчуци, но и ще трябва да следите какво споделяте за себе си в интернет и социалните медии. За щастие усъвършенстваните антивирусни софтуерни решения могат да ви позволят да сърфирате в интернет анонимно, като ви помагат да ограничите цифровите отпечатъци, които оставяте в интернет, така че никой да не може да ви съди. Кой би си помислил, че всичко, което ще ви трябва за справедлива застрахователна оферта за живот, ще бъде да поотслабнете и да си вземете добра антивирусна защита? Източник: Panda Media Center За Panda Security Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.). Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение. За допълнителна информация: AntivirusBG – Официален представител на Panda Security за България София: 02/ 813 28 11 Пловдив: 032/ 62 16 08
Staples разкрива изтичане на данни, съдържащо информация за клиентите
Гигантската компания за търговия на дребно Staples информира някои от своите клиенти, че данните, свързани с техните поръчки, са били достъпни без разрешение. Към момента са налични малко подробности. Компанията не е разкрила публично инцидента и е алармирала поотделно засегнатите клиенти по имейл. Достъп до „нечувствителни данни“ Важно е да се отбележи, че основният бизнес на Staples е продажбата на офис консумативи и свързани продукти, като използва канали за търговия на дребно и чрез директни продажби на бизнеса. Гигантът изпрати кратко писмо с известие, подписано от изпълнителния директор на Staples Inc. Александър ‘Санди’ Дъглас, в което се излагат основните щрихи на инцидента. Това изтичане на данни се е случило по-рано този месец, около 2 септември, и се състои в неоторизиран достъп до система, принадлежаща на Staples. Изследователят по сигурността Трой Хънт получи известието в доклад за нарушаване на данните. Изглежда, че „ограничен брой“ данни за поръчки на клиенти на Staples.com – предполагащи, че канадският уебсайт не е засегнат – е бил достъпен от неупълномощена страна. Това „може да е включвало информация за една или повече от вашите поръчки“, пише в писмото. Търговецът все още не е определил до какво точно е получен достъп, но може да съдържа това, което Staples класифицира като “нечувствителни данни за клиентски поръчки:” имена, адреси, имейл адреси, телефонни номера, последните четири цифри на кредитната карта, подробности за поръчката (доставка, себестойност, продукт). Тези подробности обаче все още могат да служат за злонамерени цели при измами по имейл или телефонни обаждания или за събиране на повече информация за по-добре подготвена атака. Дъглас подчертава в уведомлението, че идентификационните данни на сметката и пълните данни за разплащателни карти са останали незасегнати от инцидента и че няма доказателства, които да сочат към неразрешени покупки от името на клиента. Получателите на известието за нарушаване на данните на Staples могат да научат повече, като се обадят директно в работното време на Staples. Те трябва да изберат опция 3, за да говорят с представител на компанията. Staples успя да остане встрани от новинарските потоци по отношение на инцидентите със сигурността след компрометирането на системите за продажба през 2014 г. в 115 магазина в САЩ. По материали от интернет.
Само 54% от компаниите са наясно къде се съхраняват техните данни
През последните няколко месеца станахме свидетели на много случаи на изтичане на лични данни, както от компании, така и от правителствени организации. Със средна цена от 3,86 милиона долара за пробив на данните икономическите последици са значителни. И тази цифра вероятно ще се увеличи, тъй като откакто се прилага GDPR и последващото докладване на изтичания на данни до съответните органи започна да се увеличава . Като се има предвид всичко това, сега е много подходящ момент да защитите личните данни, които вашата компания управлява, за да избегнете тези разходи за откупи и глоби. Но наистина ли знаете къде се съхраняват вашите данни? Gemalto направи проучване на над хиляда лица, вземащи решения за ИТ в компании по целия свят, както и над 10 000 потребители, за да установи състоянието на доверието в сигурността на данните. И цифрите далеч не са обнадеждаващи. Проучването разкри, че само 54% от компаниите знаят къде се съхраняват техните чувствителни лични данни. Тези данни включват банкови данни и физически адреси, наред с друга информация, което би означавало големи проблеми с властите, ако бъдат откраднати. И ако дадена компания не знае къде са нейните данни, как може да знае дали те не са били ексфилтрирани? Нещо повече, как може да знае кой има достъп до тях? Важно е да запомните, че кражбата, извършена от злонамерени вътрешни лица, е една от водещите причини за тези ексфилтрации и без видимост на тези данни е много трудно да се предотврати това да се случи. Тези проблеми, когато става въпрос за намиране на неструктурирани данни, може да са въпрос на обем. Всъщност 65% от компаниите събират толкова много данни, че не могат да ги категоризират или анализират. При такова количество данни фактът, че е трудно да се намерят, може да бъде малко по-малко изненадващ. Нещо повече, ако дадена компания не е в състояние да анализира данните си, тя няма да е наясно със стойността на тези данни или какви мерки за сигурност трябва да бъдат въведени, за да ги запази в безопасност. Компаниите не се придържат към разпоредбите Регламентът за защита на данните сега par excellence е GDPR; но други разпоредби от този вид съществуват от години. Въпреки факта, че тези правила за защита на данните не са нещо ново, 82% от компаниите казват, че имат затруднения, когато става въпрос да останат в съответствие с разпоредбите. Нещо повече, 68% заявяват, че не изпълняват всички процедури в съответствие със законите за защита на данните. И без тези разпоредби рискът от претърпяване на нарушение на сигурността е експоненциален. Тази корпоративна злоупотреба се отразява в нивото на доверие на потребителите: само 52% казват, че се доверяват на организациите да пазят личните им данни в безопасност. И тази цифра е дори по-ниска за финансовите институции: само 41% от потребителите вярват, че банките са в състояние да защитят личните им данни. Задълбочаващи се проблеми с ИТ сигурността Според проучването само 48% от вземащите решения ИТ специалисти вярват, че ИТ сигурността на тяхната компания е достатъчно силна, за да спре нарушител. Нещо повече, ако хакер успее да влезе в системата, само 43% от ръководителите на ИТ вярват, че данните на тяхната компания биха били в безопасност. Това означава, че има много голяма вероятност данните на потребителите да бъдат изложени на атаки. Тези статистически данни ясно показват, че дълъг път трябва да бъде извървян по отношение на сигурността на данните. Но какво може да се направи? С Panda Data Control, модулът за защита на данните на Panda Adaptive Defense, можете да намерите всички неструктурирани лични данни в крайните точки на вашата компания. По този начин ще разберете къде са тези данни. Нещо повече, той осигурява видимост за тези данни и за потребителите, служителите или сътрудниците, както и за компютрите или сървърите, които имат достъп до тях. Източник: Panda Media Center За Panda Security Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.). Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение. За допълнителна информация: Antivirus BG – Официален представител на Panda Security за България София: 02/ 813 28 11 Пловдив: 032/ 62 16 08
Не можете да се скриете в интернет
Повече от 2,3 милиарда гигабайта интернет данни се създават всеки ден. Следите от данни, които оставяме – чрез публикациите в социалните медии, нещата, които търсим и които купуваме, формулярите, които попълваме, и бисквитките, които изтегляме без дори да осъзнаваме това, дават подробна картина за това кои сме и какво правим. Наблюдават ли ни в интернет? Голяма част от събраните данни се съхраняват в различни хранилища, но достъпът до данни от трети страни на популярни сайтове се е увеличил драстично, а използването на тези данни за предоставяне на плашещо насочена реклама е довело до това, че много хора изпитват неловкото усещане, че всеки техен ход се наблюдава. Но не само рекламодателите ни гледат, тъй като бившият служител на ЦРУ Едуард Сноудън разкри, правителствените агенции по целия свят събират данни за нас всеки път, когато сме онлайн. Повечето от нас няма за какво да се страхуват от правителствата, в края на краищата ние сме граждани, които спазват закона. Но как бихте се почувствали, ако знаехте, че например шефът ви би могъл да види какво правите на работния си компютър? Имате ли лична неприкосновеност на работното място? Служителите винаги са били наблюдавани по време на работа, но сега да бъдат следени отдалечено с помощта на CCTV мониторинг или проследяване на ключовете, когато отварят различни врати. Има много начини, по които работодателите могат да контролират дигитално служителите и използването на компютъра им. Нека бъдем наясно, че мониторингът трябва да бъде очертан в документ, част от фирмената политика. Ето някои начини, чрез които работодателят може да следи активността на служителите си: -Уеб активността на служебния компютър / лаптоп. Целият изходящ мрежов трафик преминава през маршрутизатор или защитна стена, за да даде достъп до уебсайтове, например. Тези инструменти също ще позволят на работодателите лесно да видят използването на интернет от служителите, когато не е свързан със служебните им задължения. Изчистването на историята на браузъра и изчистването на кеша няма да помогнат твърде много тук. -Мобилният телефон. Дори ако използват личния си телефон, щом са свързани с мрежата на работодателя си, ще има следа за посетените от тях сайтове чрез защитната стена / маршрутизатора. -Файловете, до които имат достъп. Ако работят на сървър, тогава работодателяъ може да види всеки файл, който са използвали или запазили, както и кога това се е случило! -Електронна поща. Много компании архивират всички имейли за неопределено време, често просто за да осигурят защита в случай на спорове с други организации. Въпреки това, тези архиви могат да бъдат достъпни когато работодателят реши да ги провери. Има ли нещо, което можете да направите? За щастие, има! Въпреки че не можете да попречите на работодателя Ви да проследява какво се случва на фирмените имейл и файлови сървъри, можете да запазите поверителността на уебсайтовете, които посещавате, като използвате VPN – или виртуална чатна мрежа. Висококачествените софтуерни решения за VPN ви позволяват да запазите поверителността си, като шифровате вашите данни и интернет заявки, преди да са достигнали до безжичната мрежа. Технологията работи навсякъде, където ползвате интернет: ако сте на работа, у дома или с безжична точка за достъп в търговския център. Данните се изпращат до VPN сървъра, който дешифрира заявките, преди да ги изпрати в желаната онлайн дестинация. След това информацията се изпраща обратно като минава през същия процес. Уверете се, че ползваният от Вас VPN, използва най-сигурния VPN протокол на пазара. По този начин ще сте сигурни, че единственият човек, който може да вижда данните ви, сте вие. Ако искате да поемете контрола върху това, колко от вашите онлайн дейности може да вижда вашият работодател, тогава първото ви действие е да започнете да използвате VPN. Източник: Panda Media Center За Panda Security Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.). Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение. За допълнителна информация: Компютел ООД – Официален представител на Panda Security за България София: 02/ 813 28 11 Пловдив: 032/ 62 16 08
Преди летните отпуски: две трети от сайтовете за он-лайн резервации пренасочват чувствителна информация
Услугите на трети страни, които се изпълняват на повечето уебсайтове за хотелски резервации, имат достъп до информация на гости, включително лични данни и данни за дебитната/кредитната карта. Данните, с които разполагат, също така биха им позволили да отменят резервации. Множество уебсайтове с над 2300 хотела в 54 страни не успяват да защитят информацията на потребителите от провайдерите на партньорски услуги, като например рекламодатели и компании за анализ. В 67% от изследваните случаи, някои нива на лична информация се пропускат чрез справочни кодове за резервация. Посочените по този начин данни могат да включват пълното име на госта, имейл адреса и физическия адрес, телефонния номер, последните четири цифри на платежната карта, както и вида и срока на валидност, и номера на паспорта. ЛИНКЪТ ЗА РЕЗЕРВИРАНЕ Е СПОДЕЛЕН С ТВЪРДЕ МНОГО УСЛУГИ Повечето сайтове за резервация на хотели изпращат на гостите потвърдителен имейл с директна връзка към техните данни за резервация, която не изисква влизане. Проблемът с поверителността възниква, когато клиентът попадне на уебсайт, който зарежда допълнително съдържание от трети страни. Някои заявки към тези отдалечени ресурси съдържат пълния URL адрес, изпратен на клиента, казва Кандид Уийст, старши изследовател на заплахи в голяма компания за киберсигурност. “Това означава, че директен достъп се споделя с други ресурси или пък индиректно чрез полето за препращане в HTTP заявката”, отбелязва експертът в анализа. По време на тестовете си, Уийст забелязва, че за всяка резервация се генерират средно по 176 заявки. Въпреки че не всички заявки съдържат деликатни данни, броят им е достатъчно голям, за да се предположи, че „данните за резервацията могат да се споделят. Да бъдеш в препращащата поредица означава, че референтният код за резервация се предава от браузъра, достигайки до 30 доставчика на услуги като социални мрежи, търсачки и аналитични услуги. “Тази информация може да позволи на трети страни да влязат в резервацията, да преглеждат лични данни и дори напълно да отменят резервацията”, казва Уийст. Въпреки това, доставчиците на трети страни не са виновни за получаването на тази информация. Също така данните за резервацията остават налични дори и след отмяна на резервацията. Това ще позволи на злоумишленик да събере записи с лични данни за лица, които не са гости на целевия хотел. Осъществяването на резервации чрез метатърсачки също не е по-сигурен подход. Изследователят установи, че при две от петте услуги, които тествали, са изтичали данни. Друга тествана услуга не изпращала линка за влизане през защитена връзка. GDPR СЕ ПРИЛАГА И ЗА ТОВА Тъй като данните достигат до доставчиците на трети страни, които се считат за доверени от уебсайтовете, рискът, свързан може да се счита за достатъчно нисък, за да не предизвиква безпокойство. Въпреки това злонамереният вътрешен човек може да събере референтните URL адреси и да ги използва за кражба на информация за клиенти. Нещо повече, въпросът е, че личните данни на клиентите се споделят с лица, които не трябва да имат достъп до тях. В Европа тези практики са в рязък контраст с разпоредбите на Общия регламент за защита на данните (GDPR). Когато Уийст се свързал с служителите по поверителността на данните в засегнатите хотели, той разбрал, че някои от организациите все още работят за това системите им да бъдат напълно съвместими с GDPR. Това е почти една година след влизането в сила на закона. 25% от служителите не са отговорили шест седмици след като са били информирани за рисковете за неприкосновеността на личните данни. Онези, които отговориха, се нуждаеха от средно 10 дни, за да го направят и заявиха, че ще се ангажират с решаването на проблема. Източник: По материали от интернет
TikTok удари с рекордна глоба за незаконно събиране на данни на деца
Приложението за споделяне на видеоклипове TikTok се съгласи на рекордните 5,7 млн. Долара глоба (малко над 5 млн. Евро) за незаконно събиране на лична информация от потребители под 13-годишна възраст, включително имената им, местоположенията и имейл адресите. Според Федералната търговска комисия на САЩ глобата, наложена на китайското приложение, е най-голямата гражданска санкция, получена някога от агенцията, и трябва да служи като пример за други компании, предлагащи услугите си на непълнолетни потребители. FTC заяви, че приложението изисква от потребителите да предоставят имейл адрес, телефонен номер, име и фамилия, кратка биография и снимка на профила, за да се регистрират. Въпреки това, TikTok не успя да поиска съгласието на родителите преди да събере тези данни, както се изисква от Закона за защита на личните данни на децата в интернет или COPPA. Всичко това, независимо от приложението, знаеше, че много от потребителите му са под 13-годишна възраст и трябваше да вземат по-големи предпазни мерки. Бюрото за защита на потребителите изтъкна факта, че в момента TikTok има над 65 милиона активни потребители само в САЩ, нарастваща популярност сред потребителите на смартфони и надминаващи конкуренти като Facebook, Instagram и Snapchat сред по-младите поколения. „Този рекорд трябва да бъде напомняне за всички онлайн услуги и уебсайтове, които са насочени към децата: Ние приемаме прилагането на COPPA много сериозно и няма да толерираме компании, които грубо игнорират закона“, каза председателят на FTC Джо Симонс. TikTok отговори, публикувайки корпоративно изявление, в което изразяваше своя ангажимент за предприемане на мерки за защита на потребителите, включително инструменти за защита на децата. Няколко дни след това изявление, компанията въведе отделно приложение за непълнолетни “, което не им позволява да правят неща като споделяне на видеоклипове, коментиране на видеоклипове на други потребители, потребители на съобщения или поддържане на профил или последователи.” Глобален растеж Музикално, но стартиращите компании в САЩ, които се сляха с TikTok, позволявайки му да проникне в американския пазар, получиха хиляди жалби от родители, че техните деца под 13-годишна възраст са създавали сметки без тяхното разрешение. Въпреки това платформата изобщо не е предприела никакви мерки, въпреки че COPPA изисква уебсайтовете и онлайн услугите, насочени към децата, да получат потвърдено съгласие от страна на родителите – не само да поставят отметка в квадратчето, както правят другите уебсайтове – преди да съберат, използват или разкрият личната информация на детето. „Според нас тези практики отразяват желанието на компанията да се стреми към растеж дори и за сметка на застрашаването на децата“, заявиха комисарите на FTC, след като решението беше публикувано. Миналата година TikTok достигна 500 милиона активни потребители по целия свят, което го направи едно от най-популярните приложения на пазара. Въпреки това, този растеж не е без спорове: TikTok е обект на глобални критики за това, че показва сексуално-експресно и друго неподходящо съдържание за непълнолетни, както и липса на ефективни инструменти за модериране. Компанията-майка на TikTok, ByteDance, се оценява на 75 милиарда долара, а нейният глобален обхват го отличава от други китайски социални медийни платформи, които се борят да се разширят отвъд домашните си територии. Източник: Panda Media Center За Panda Security Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.). Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение. За допълнителна информация: Компютел ООД – Официален представител на Panda Security за България София: 02/ 813 28 11 Пловдив: 032/ 62 16 08
Facebook насочва данните на юношите
Facebook винаги е бил в новинарските заглавия, като повечето новини са лоши. Последният скандал е свързан с изследователската програма, предназначена да проследява използването на приложенията и дейността на уеб браузъра. Въпросът е насочен към приложение, наречено Research, и опитите на Facebook да събере ценни лични данни от потребителите на Apple iPhone – включително тези на възраст под 18 години. Заобикаляйки сигурността Apple iPhone има репутация, че е по-сигурен от устройствата на Apple поради начина, по който личните данни са защитени на устройството. Обикновено на iOS приложенията не се разрешава достъп до информация от уеб браузъра Mobile Safari; приложения, които нарушават тези правила, са забранени от App Store. Разработчиците на приложения получават допълнителна гъвкавост с тези правила, като им позволяват да тестват различни допълнителни функции, които обикновено не са достъпни. Именно тази гъвкавост използва Facebook Research. Потребителите на Facebook бяха насърчени да се регистрират за програмата за изследвания и след това бяха изпратени специална връзка за изтегляне на приложението. Тъй като приложението е предназначено само за използване за разработване, обичайните проверки на сигурността, извършени от Apple, не бяха приложени. Така че Facebook беше в състояние да събере огромни количества лични данни – включително кодирани съобщения – от участниците в програмата за изследвания. Какъв е проблемът? Facebook ясно счупи правилата на App Store за дизайна на приложенията и събирането на лични данни, поради което приложението Research вече не е на разположение. Те също така бяха временно забранени от програмата на Apple Developer, което им попречи да актуализират някое от техните приложения – включително Messenger и Facebook приложенията. Facebook твърди, че всички, включени в програмата за изследвания, са дали съгласието си за събиране на лични данни и че те са платени в замяна. Въпреки това анализът на изтеглянията показва, че близо една четвърт от регистрантите са били на възраст от 13 до 18 години. Потребителите на възраст под 18 години трябваше да получат родителско съгласие преди регистрация – но има малко доказателства, че са го направили. Повечето просто трябваше да поставят отметка в квадратчето, позволявайки им да потвърдят самото съгласие. Затова повечето от тези млади потребители изглежда не са разбрали колко инвазивна е програмата за научни изследвания. Някои ще са разбрали, че активността им на сърфиране в интернет се записва – но знаеха ли също, че почти всичко, което са направили на телефона си, са записани и изпратени обратно във Facebook? В съобщения в медиите се твърди, че те не са. Относно родителите За родителите скандалът с проучванията трябва да бъде събуждане. Да се позволи на всеки, включително Facebook, да има неограничен достъп до лични данни, е опасен прецедент и тийнейджърите трябва да бъдат информирани за потенциалните рискове. Оценяването и защитата на личните данни е умение за съвременен живот, което дава на децата ви по-голям контрол над бъдещето си. Да им помогнем да разберат рисковете от приложението за научни изследвания и значението на получаването на съгласие от родителите, ще им помогнат да ги предпазите от безскрупулни маркетолози – и крадци с данни – докато стават по-възрастни. Можете да стартирате разговора и да започнете да ги защитавате незабавно – със защитния пакет на Panda Dome. С инструменти за филтриране на съдържание, ограничаване на изтеглянето на приложения и ограничаване на потенциала за споделяне на лични данни, можете да помогнете на децата да бъдат безопасни, докато ги учите как да правят мъдър избор. Кликнете тук, за да започнете свободното си изпитание Panda Dome днес. Източник: Panda Media Center За Panda Security Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.). Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение. За допълнителна информация: Компютел ООД – Официален представител на Panda Security за България София: 02/ 813 28 11 Пловдив: 032/ 62 16 08
Tagged кибер-атакакиберсигурностлични данни