Nemzetközi IT biztonsági sajtószemle
Nemzetközi
IT biztonsági sajtószemle
Címkefelhő
közlemény kormányzat TLS vizsgálat uBlock Origin Yahoo Together Independent Security Evaluators Franciaország Android mstsc CrowdStrike Vueling Bitcoin névfeloldás online propaganda PayPal Belgium India anti-phishing adathalászat Google hirdetési azonosító Trump Ukrajna adatvédelmi nap Twitter szabvány MyHeritage Mondelez Dubsmash Ubiquiti
 2018. október 09. 13:21

120 000 fontnyi bírságot szabtak ki a londoni Heathrow reptérre egy közterületen talált USB pendrive miatt, amely több, mint 1 000, a reptérre vonatkozó bizalmas fájlt tartalmazott szabadon hozzáférhető formában, azaz az információk nem voltak titkosítva és jelszóval sem védték őket.

Bővebben

120 000 fontnyi bírságot szabtak ki a londoni Heathrow repülőtérre egy közterületen talált USB pendrive miatt, amely több, mint 1 000, a reptérre vonatkozó bizalmas fájlt tartalmazott szabadon hozzáférhető formában ─ azaz az információk nem voltak titkosítva és jelszóval sem védték őket. Az eset kapcsán az Egyesült Királyság információügyi biztosának hivatala (Information Commissioner's Office ─ ICO) vizsgálatot indított, amely a reptér részéről mulasztást állapított meg, kiemelve, hogy a szervezet nem gondoskodott a hálózaton tárolt adatok védelméről. A relatíve enyhe szankció oka, hogy az incidens a GDPR hatálybalépését megelőzően történt, így a bírság kiszabása még a korábban hatályos Data Protection Act 1998 alapján történt meg. A nyomozás fényt derített arra is, hogy a reptér 6 500 munkatársának mindössze 2%-a kapott megfelelő adatvédelmi oktatást, amelyen mindenképp javítaniuk kell, hogy elkerüljék a további ─ már jóval magasabb összegű ─ büntetéseket. 

(www.zdnet.com)
Kevesebb
Hasonló hírek
 február 20. 08:57

A Computer Swaden tech portál információi szerint a 1177 Vårdguiden (Svédország egészségügyi segélyhívójának) egy alvállalkozója, a thajföldi Medicall mintegy 2,7 millió vészhívás hangfelvételeit tárolta titkosítatlan formában, egy hitelesítés nélkül nyíltan bárki számára elérhető webszerveren.

Bővebben

A Computer Swaden tech portál információi szerint a 1177 Vårdguiden (Svédország egészségügyi segélyhívójának) egy alvállalkozója, a thaiföldi Medicall mintegy 2,7 millió vészhívás hangfelvételeit tárolta titkosítatlan formában, egy hitelesítés nélkül nyíltan bárki számára elérhető szerveren. A szóban forgó hívások a Computer Swaden szerint rendkívül szenzitív információkat tartalmaznak a betegekről, mint például a betegségek tünetei, kórelőzmények, gyógyszeres kezelések, társadalombiztosítási számok. Mindezek mellett ráadásul 57 000 telefonszám is megtalálható az adatbázisban, ami lényegesen megkönnyítheti a betegek beazonosítását. Egyelőre nem tisztázott, mennyi ideig voltak elérhetőek az információk, illetve, hogy arra nem jogosultak hozzáfértek-e az adatbázishoz, mindenesetre ─ már csak a GDPR világos követelményei miatt is ─ számítani lehet az ügy mélyreható vizsgálatára. 

(thenextweb.com)
Kevesebb
 február 19. 08:30

A Gnosticplayers álnevet használó hacker (vagy kollektíva) rövid idő alatt harmadik alkalommal kínál lopott fiókadatokat a darknetes Dream Marketen.

Bővebben

A Gnosticplayers álnevet használó hacker (vagy kollektíva) rövid idő alatt harmadik alkalommal kínál lopott fiókadatokat a darknetes Dream Marketen; első alkalommal közel 620, a következőben 127, ezúttal pedig összesen 92,76 millió fiókadat vált ily módon megvásárolhatóvá. A mostani gyűjteményben nyolc cég adatbázisa található, ezek közül a legnagyobb név a GfyCat, egy népszerű GIF megosztó platform. Az érintett cégek még nem erősítették meg az adatok legitim voltát, a ZDNet azonban feltételezi, hogy a korábbiakhoz hasonlóan ezek is valósak. A GfyCat idő közben jelezte, hogy vizsgálatot indít az esettel kapcsolatban, mindazonáltal felhívják a figyelmet arra, hogy ügyfeleik autentikációs adatait erős titkosítással látták el. A ZDNet felvette a kapcsolatot a hackerrel, aki azt állítja, hogy nem csupán árulja az információkat, felelős is azok megszerzéséért, emellett jelezte, hogy a következő alkalommal egy kriptovaluta-váltó adatbázisa kerül terítékre. 

(zdnet.com)
Kevesebb
 február 15. 08:32

Nagyjából 617 millió online fiók hitelesítő adatait kezdték árulni a napokban a Dream Market nevű sötét webes piactéren, amelyek 16 különböző website-hoz tartoznak.

Bővebben

Nagyjából 617 millió online fiók hitelesítő adatait kezdték árulni a napokban a Dream Market nevű sötét webes piactéren, amelyek 16 különböző website-hoz tartoznak. Az esetről tudósító The Register úgy tudja, az adatok nagyrészt 2018-ban kerültek begyűjtésre, többségükben olyan incidensek során, amelyek csak most váltak ismertté. Ez alól kivételt képez a MyHeritage, a MyFitnessPal, valamint az Animoto, mivel ezek feltörése már tavaly kitudódott. Az adatok ─ főképp hashelt jelszavak, valamint ehhez társultan a fiók tulajdonosára vonatkozó információk ─ hitelesek, ezt a saját illetőségi körükben megerősítette a MyHeritage és az 500px is. Az érintett site-ok ─ a kompromittált fiókok számának megjelölésével ─ a következők: Dubsmash (162 millió), MyFitnessPal (151 millió), MyHeritage (92 millió), ShareThis (41 millió), HauteLook (28 millió), Animoto (25 millió), EyeEm (22 millió), 8fit (20 millió), Whitepages (18 millió), Fotolog (16 millió), 500px (15 millió), Armor Games (11 millió), BookMate (8 millió), CoffeeMeetsBagel (6 millió), Artsy (1 millió), és a DataCamp (700 000).  

(theregister.co.uk)
Kevesebb
 február 12. 11:20

A GDPR hatályba lépése óta több, mint 59 000 adatsértést jelentettek az adatvédelmi hatóságoknak (DPA) az Európai Gazdasági Térségben ─ beleértve Norvégiát, Izlandot és Lichtensteint is ─ állapította meg a DLA Piper jelentése.

Bővebben

A GDPR hatálybalépése óta több, mint 59 000 adatsértést jelentettek az adatvédelmi hatóságoknak (DPA) az Európai Gazdasági Térségben ─ beleértve Norvégiát, Izlandot és Lichtensteint is ─ hozza nyilvánosságra a DLA Piper jelentésében. A listavezetők Hollandia 15 400, Németország 12 600 és az Egyesült Királyság 10 600 bejelentéssel. Összesen 91-szer került sor pénzbírság meghatározására, amelyek közül a legmagasabb értékű a Google számára 2019. január 21-én kiszabott 50 millió eurós bírság volt. Több tech vállalat is vizsgálat alá került, a Youtube-ot például a GDPR 15. cikkének (Az érintett hozzáférési joga) megsértésével vádolja az adat- és fogyasztóvédelemmel foglalkozó NOYB (None of Your Business) nonprofit vállalat, amelynek következtében a Google akár 3,87 milliárd eurós büntetésre is számíthat. A hozzáférési jog megsértésének okán mindazonáltal jóval több cég ellen (például az Apple, az Amazon, a Netflix, a Spotify, a SoundCloud, a Flimmit és a DAZN) nyújtottak be panaszt. 

(www.bleepingcomputer.com)
Kevesebb
 január 21. 11:33

A dél-koreai védelmi minisztérium közleménye szerint hackerek sikeresen kompromittáltak 10 munkaállomást a minisztérium katonai beszerzésekért is felelős területén ─ írja a The Register.

Bővebben

A dél-koreai védelmi minisztérium közleménye szerint hackerek sikeresen kompromittáltak 10 munkaállomást a minisztérium katonai beszerzésekért is felelős területén ─ írja a The Register. Az érintett számítógépeken bizalmas ─ például újgenerációs vadászgépek vásárlásáról szóló ─ anyagok is elérhetőek voltak, ezekhez azonban a hivatalos információk szerint a mindeddig nem azonosított támadók nem fértek hozzá. A támadás 2018. október 4-én kezdődött, majd három héten át felfedezetlenül folytatódott. Jelenleg is tartanak a vizsgálatok, amelyek többek közt arra keresik a választ, hogy Észak-Korea állt-e az eset mögött.

(theregister.co.uk)
Kevesebb
 január 17. 16:02

Az oklahomai Department of Securities-hez kapcsolódó, több terrabájtnyi kormányzati irat került nyíltan hozzáférhetővé a legutóbbi, amerikai kormányzatot érintő adatszivárgásban.

Bővebben

Az oklahomai Department of Securities-hez kapcsolódó, több terrabájtnyi kormányzati irat került nyíltan hozzáférhetővé a legutóbbi, amerikai kormányzatot érintő adatszivárgásban. A védelem nélküli tárolószerverre egy kiberbiztonsági kutató, Greg Pollock bukkant rá, mely szerveren több érzékeny akta is megtalálható volt, többek közt FBI nyomozati iratok is. A szerverhez bárki, bármiféle azonosítás nélkül hozzáférhetett. A nyomozati iratokon túlmenően elektronikus levelek, társadalombiztosítási számok, 10 000 bróker neve és címe, valamint távoli hozzáférési adatok is elérhetőek voltak. Bár azt nem lehetett megállapítani, hogy pontosan milyen hosszan volt a szerver nyíltan elérhető, azonban annyi bizonyos, hogy legalább egy hétig. A jelzést követő napon megszűnt a szerver azonosítás nélküli elérhetősége, ám azzal kapcsolatban nem áll rendelkezésre információ, hogy a kutatókon kívül bárki más elérte volna-e az adatokat. Az incidenst követően az érintett kormányzati szerv sajtóközleményt adott ki egy „véletlen sérülékenységről”, ami csak korlátozott ideig volt kihasználható, és a jelzést követően azonnal foltozásra került, valamint elrendelésre került egy átfogó vizsgálat lefolytatása is. 

(thehackernews.com)
Kevesebb
 január 10. 14:42

Bizalmas NSA dokumentumok ellopásának vádjával 2016 októberében amerikai hatóságok letartóztatták Harold T. Martint, akinek az azonosításában a Politico információi szerint lényeges szerepe volt a Kaspersky-nek.

Bővebben

Bizalmas NSA dokumentumok ellopásának vádjával 2016 októberében amerikai hatóságok letartóztatták Harold T. Martint, akinek az azonosításában a Politico információi szerint lényeges szerepe volt a Kaspersky-nek. A biztonsági cég kutatói gyanús Twitter üzenetek miatt lettek figyelmesek a „HAL999999999” nevű felhasználóra, amelyek csupán 30 perccel a „The Shadow Brokers” csoport szivárogtatása előtt érkeztek a cég egyes kutatóihoz. A Kaspersky ezt követően felvette a kapcsolatot az amerikai titkosszolgálattal, és az üzenetek mellett a profil tulajdonosának ─ feltételezett ─ valós kilétére vonatkozó információt is átadtak. Megjegyzendő, hogy az FBI-nak nincs bizonyítéka, hogy a jelenleg tárgyalásra váró Martinnak köze lenne a „The Shadow Brokers” csoporthoz, vagy, hogy szándékában állt volna az eltulajdonított bizalmas információk továbbadása. A GCHQ egy korábbi információbiztonsági szakértője, Matt Tait az eset kapcsán egy másik szempontot is felvet, miszerint miért pont a Kaspersky-vel vette fel Martin a kapcsolatot, amikor az NSA munkatársaként tisztában kellett lennie az orosz céggel szembeni bizalomvesztéssel. 

(politico.com)
Kevesebb
 január 03. 16:01

Mintegy 30 000 ausztrál állami dolgozó adata szivárgott ki ─ adja hírül egy helyi hírügynökség.

Bővebben

Mintegy 30 000 ausztrál állami dolgozó adata szivárgott ki ─ adja hírül egy helyi hírügynökség. Az incidens Victoria államot érintette, és a kompromittálódott adatok között elsősorban az alkalmazottak munkahelyi adatai szerepelnek, beleértve dolgozói kontakt információkat és belső levelezéseket is. A Melbourne-i Egyetem egy kutatója szerint elképzelhető, hogy az eset hátterében állami támogatású csoport áll, ugyanakkor nem zárható ki az sem, hogy az elkövetőket a haszonszerzés motiválta, ugyanis az eltulajdonított információk többféle visszaélésre is módot adhatnak. 

(scmagazineuk.com)
Kevesebb