Nemzetközi IT biztonsági sajtószemle
Nemzetközi
IT biztonsági sajtószemle
Címkefelhő
Anti-Botnet Guide zsarolóvírus bizalmas dokumentumok Japán EU MSP Unit 42 The Shadow Brokers Modlishka IoT ZTE katonai adatok OpenSSL filter bubble Adobe ColdFusion Hollandia backdoor GRU Norvégia internet szolgáltatók APT Huawei ENISA Új-Zéland CSDE Passenger Name Record MalwareHunterTeam Investigatory Powers Act Kaspersky Google hirdetési azonosító
 2018. november 15. 12:03

Egy, a holland hatóságok által lefolytatott vizsgálat nyolc adatvédelmi problémát tárt fel az Office 2016 és Office 365 programok telemetrikus adatgyűjtése kapcsán; az elemzők szerint a Microsoft „nagyszabású és rejtett személyes adatgyűjtést” végez.

Bővebben

Egy, a holland hatóságok által lefolytatott vizsgálat nyolc adatvédelmi problémát tárt fel az Office 2016 és Office 365 programok telemetrikus adatgyűjtése kapcsán; az elemzők szerint a Microsoft „nagyszabású és rejtett személyes adatgyűjtést” végez. Az egyik lényeges kritika azért érte a vállalatot, amiért az véleményük szerint nem tájékoztatja megfelelően ügyfeleit a tevékenységről, ugyanis hivatalos dokumentáció nem érhető el arra vonatkozóan, hogy a cég pontosan milyen adatokat gyűjt, sem arról, hogy a telemetriát hogyan lehet kikapcsolni. Az elemzés során ráadásul megállapítást nyert, hogy a szoftverfejlesztők által gyakorta gyűjtött diagnosztikai adatok mellett az Office alkalmazások konkrét felhasználói tartalmakat is rögzítettek, mint például az e-mail tárgy mezőben szereplő szövegek, és olyan dokumentumokból származó mondatok, amelyeken a cég fordító és helyesírás-ellenőrző programjait használták. A holland kormány aggodalmának oka, hogy attól tartanak, az adatgyűjtés során szenzitív kormányzati adatok kerülhettek amerikai szerverekre, mivel legalább 300 000 kormányzati gépen futtatnak Office alkalmazásokat. Minderről tájékoztatták a Microsoftot, akik a jelentés szerint már részben módosítottak is a beállításokon, lehetővé téve az adatgyűjtés teljes korlátozását, ugyanakkor nem egyértelmű, hogy ez minden ügyfél számára elérhető-e. A tech óriás emellett ígéretet tett arra vonatkozóan, hogy a jövőben nagyobb átláthatóságot biztosítanak a telemetrikus adatgyűjtés kapcsán.

(zdnet.com)
Kevesebb
Hasonló hírek
 Ma, 11:05

Széleskörű kutatást végzett a Top10VPN a Google Play Store 150 legnépszerűbb ingyenes Android VPN alkalmazásának körében, amelyből kiderült, hogy minden ötödik applikáció rosszindulatú kódok potenciális forrása lehet.

Bővebben

A Top10VPN széleskörű kutatást végzett a Google Play Store 150 legnépszerűbb ingyenes Android VPN alkalmazásának körében, amelyből kiderült, hogy minden ötödik applikáció rosszindulatú kódok potenciális forrása lehet, a 27 ellenőrzött alkalmazás egynegyedét pedig a felhasználói adatok bizalmasságát érintő hibák sújtják, mint például a DNS szivárgás. A kutatók szerint a tesztelt ingyenes VPN appok mintegy 85%-a tartalmaz valamilyen biztonsági kockázatot eredményező funkciót, vagy jogosultságot, ilyen például a helyadatokhoz (25%), az eszköz állapotához (38%), illetve a felhasználó utolsó ismert helyinformációihoz történő hozzáférés (57%). Bár az alkalmazások fizetős változataira nem terjedt ki a vizsgálat, Simon Migliano, a Top10VPN mögötti Metric Labs cég kutatási vezetője biztosra véli, hogy a prémium verziókban is megtalálhatók az előzőekben felsorolt adatvédelmi aggályok. A jelentés Migliano egy korábbi elemzésének kiegészítését szolgálja, amelyben arra a következtetésre jutott, hogy a legtöbb VPN alkalmazás gyakorlatilag nem rendelkezik adatvédelemmel, és szinte egyikben sem valósul meg a felhasználói támogatás.

(www.bleepingcomputer.com)
Kevesebb
 január 18. 12:16

Egy Twittert érintő biztonsági hiba vált ismertté, amelynek következtében egyes usereik privát tweetjei publikussá válhattak

Bővebben

Egy Twittert érintő biztonsági hiba vált ismertté, amelynek következtében egyes usereik privát tweetjei publikussá válhattak. Az esetről a Twitter adott hírt, eszerint amennyiben androidos felhasználóik 2014. november 3-a és 2019. január 14-e között a „Protect your tweets” funkció engedélyezése után további beállítást is módosítottak ─ például új e-mail címet adtak meg a fiókjukhoz ─ lehetséges, hogy ezzel az előbbit  tudtukon kívül kikapcsolták. Mindez azért lényeges, mert a „Protect your tweets” beállítás teszi lehetővé, hogy csak a követők láthassák a felhasználó posztjait, illetve az ily módon közzétett posztok nem retweetelhetőek. A cég elmondása szerint értesítette azon felhasználóit, akiknek érintettségéről tudomást szereztek, azonban azt javasolják, hogy lehetőség szerint minden felhasználó ellenőrizze a beállítást, mivel az összes potenciális érintettet nem tudják azonosítani. Az esetről értesült az egyébként más GDPR szabályszegés miatt a Twitter ellen éppen vizsgálatot folytató ír adatvédelmi hatóság is (Irish Data Protection Commission), azonban a mostani ügy miatt még nem kezdeményeztek eljárást.

(mashable.com)
Kevesebb
 január 10. 10:50

Egy újonnan közzétett biztonsági rés kihasználásával a Skype alkalmazáson keresztül fogadott hívások lehetővé tették az Androidos eszközök zárolásának megkerülését, így a feloldási művelet végrehajtása nélkül megtekinthetők voltak az eszközökön tárolt fényképek, névjegyek és böngészőablakok.

Bővebben

Egy biztonsági rés kihasználásával a Skype alkalmazáson keresztül fogadott hívások lehetővé tették az androidos eszközök zárolásának megkerülését, így a feloldási művelet végrehajtása nélkül megtekinthetővé váltak az eszközökön tárolt fényképek, és névjegyek, valamint üzenet küldésére is mód nyílt. A sérülékenységre egy 19 éves, koszovói számítógépes programhiba-kutató hívta fel még októberben a Microsoft figyelmét, a december 23-án kiadott frissítésben pedig már javításra került a hiba. A sebezhetőségben minden 8.15.0.416 ─ és ennél alacsonyabb ─ verziószámú androidos Skype alkalmazás érintett. 

(theregister.co.uk)
Kevesebb
 január 09. 16:14

Az Európai Unió Általános Adatvédelmi Rendelete (GDPR) fontosságához képest nem bővelkedik a megfelelőség kialakítását segítő hatékony útmutatókban, ezen kíván változtatni a GDPR.eu weboldal ─ adja hírül a Protonmail blog bejegyzésében.

Bővebben

Az Európai Unió Általános Adatvédelmi Rendelete (GDPR) fontosságához képest nem bővelkedik a megfelelőség kialakítását segítő hatékony útmutatókban, ezen kíván változtatni a GDPR.eu weboldal ─ adja hírül a Protonmail blog bejegyzésében. Eszerint a ProtonMail csapata tavaly 101 üzleti vezető megkérdezésével igyekezett felmérni a szervezetek felkészültségi szintjét, és azt találták, hogy fél évvel a rendelet hatálybalépését követően sem mondható el, hogy a vállalkozások többsége megfelelne a szigorú elvárásoknak. Úgy találták, hogy az egyik fő akadály, hogy a kis- és középvállakozások számára már a jogszabály helyes értelmezése is komoly kihívást jelent, amelynek áthidalásához kevés az autentikus forrás. A prominens mail szolgáltatásért felelős Proton Technologies AG svájci biztonsági cég részben EU-s forrásból készült GDPR.eu weboldala a rendelet könnyen kereshető teljes szövege mellett egy megfelelőségi ellenőrzőlistát is tartalmaz, amely hatékony módon segíthet felmérni a megfelelőség állapotát, mindemellett részletes útmutatók is találhatók az oldalon, amelyek részletesen foglalkoznak olyan kérdésekkel, mint ─ csak egy példát kiemelve ─ az ún. felejtés joga”. 

(protonmail.com)
Kevesebb
 január 09. 10:35

Miután az elmúlt években számos sikert ért el a kiberbiztonsági együttműködések terén, a holland kibervédelmi központ (NCSC-NL) most négy útmutatót jelentet meg a  témában.

Bővebben

Miután az elmúlt években számos sikert ért el a kiberbiztonsági együttműködések terén, a holland kibervédelmi központ (NCSC-NL) most négy útmutatót ad ki a  témában. A központ álláspontja szerint a kiberellenálló képesség növelése kizárólag a szektorokon belüli ─ valamint kiemelten a publikus és a magán szektor közötti ─ aktív kooperációval valósulhat meg. Mindezt három lényeges értéket alapul véve tartják elképzelhetőnek, amelyek a bizalom, a közös érdekek, valamint az egyenlőség. Az összefoglalók részletes segítséget kívánnak nyújtani többek között az ún. Information Sharing and Analysis Centre (ISAC) kiépítéséhez, amely az adott ágazat szereplői számára hatékony lehetőséget nyújt bizalmas, érzékeny információk megosztására, valamint a tapasztalat cserére. 

(enisa.europa.eu)
Kevesebb
 január 08. 15:25

Egy jelentés szerint a német távközlési szolgáltatók a 2012-ben kiadott hivatalos állami ajánlásban foglaltak ellenére általánosságban nézve hat hónapos – ezen belül is például az IP-címek esetében három hónapos – adattárolást realizálnak a törvényes megőrzési kötelezettségtől függetlenül.

Bővebben

Egy jelentés szerint a német távközlési szolgáltatók a 2012-ben kiadott hivatalos állami ajánlásban foglaltak ellenére általánosságban nézve hat hónapos – ezen belül is például az IP-címek esetében három hónapos – adattárolást realizálnak a törvényes megőrzési kötelezettségtől függetlenül, önkéntes alapon, annak ellenére, hogy a hatóságilag irrelevánsnak minősülő adatokat legkésőbb hét napon belül törölniük kellene. A mobilszolgáltatók a készülék egyedi azonosítójának adatait négy hónapig, a helymeghatározási adatokat egy hétig tárolják, a hívószámokat, a dátumot, időpontot, illetve az IMSI-azonosítót pedig hat hónapig. A szolgáltatói önkéntes, de egyúttal önkényes adattárolás ezen mértéke egyértelműen jogsértő – vélik egyes szakértők, akik régóta harcot vívnak a túlzottan kontrollálatlan adattárolás visszaszorításáért. 

(heise.de)
Kevesebb
 január 08. 14:34

Észtország biztonsági és védelmi kérdések terén vezető think tank szervezete, az International Centre for Defence and Security (ICDS) összehasonlító tanulmányt készített öt európai nemzet ─ jelesül Észtország, Finnország, Németország, Hollandia és Norvégia ─ kiberparancsnokságának képességeiről.

Bővebben

Észtország biztonsági és védelmi kérdések terén vezető agytröszt (think tank) szervezete, az International Centre for Defence and Security (ICDS) összehasonlító tanulmányt készített öt európai nemzet ─ jelesül Észtország, Finnország, Németország, Hollandia és Norvégia ─ kiberparancsnokságának képességeiről, amely az első nyilvánosan elérhető kiadvány ebben a témában. Az anyag több szempontból vizsgálja a szerveket, többek között a stratégiai iránymutatások, a szervezeti felépítés, vagy például a parancsnoki lánc függvényében. A második rész elemzéseket tartalmaz minden egyes szervezeti felépítés tekintetében, számba véve az adott modell előnyeit és hátrányait, az utolsó szekció pedig szabályozási javaslatokat fogalmaz meg. 

(icds.ee)
Kevesebb
 2018. december 10. 11:37

Az orosz kiberbiztonsági cég szerint informatikai támadások történtek kelet-európai pénzintézetek ellen, amelyek során a támadók közvetlenül a bankok hálózatára kapcsolódó fizikai eszközöket is alkalmaztak: laptop, Raspberry Pi, illetve egy USB-szerű, támadó eszköz, a Bash Bunny is a repertoár részét képezte.

Bővebben

Az orosz kiberbiztonsági cég szerint informatikai támadások történtek kelet-európai pénzintézetek ellen, amelyek során a támadók közvetlenül a bankok hálózatára kapcsolódó fizikai eszközöket is alkalmaztak: laptop, Raspberry Pi, illetve egy USB-szerű, támadó eszköz, a Bash Bunny is a repertoár részét képezte. A jelentés szerint könnyű álcázhatóságuk miatt ezek lokalizálása annak ellenére nagy kihívást jelentett, hogy jelenlétükre egyértelműen fény derült az engedélyezett és a hálózatra valójában csatlakoztatott készülékek számának eltérése miatt. A támadást több fázisban hajtották végre, az eszközöket pedig telepítés után a beépített GPRS/3G/LTE modem segítségével távolról irányították login adatok, valamint fizetési információk után kutatva. A rejtőzködésre nagy gondot fordítottak, többek közt PowerShell szkriptekkel ─ elkerülve a védelmi szoftverek általi detektálást. A kutatók szerint, az általuk „DarkVishnya” néven azonosított kampány több tízmillió dolláros kárt okozott legalább nyolc bank számára. Az elkövetők kilétével kapcsolatban a riport nem foglal állást. 

(cyberscoop.com)
Kevesebb