Nemzetközi IT biztonsági sajtószemle
Nemzetközi
IT biztonsági sajtószemle
Címkefelhő
Resecurity kriptográfia Svédország PDF V4 jelentés CrowdStrike CheckPoint fiókadatok APT bírság stratégia Apple App Store Dream Market Zero-knowledge proof együttműködés USA FSB dezinformáció Citrix incidens LCG Kit APT32 Svájc Creep Exploit Kit felhőszolgáltatás szankció Cyberscoop Artsy Dragos
 2018. május 14. 15:03

Az Apple - vélhetően a közelgő Európai Unió általános adatvédelmi rendeletének (GDPR) nyomására - kitiltja áruházából (App Store) azokat a fejlesztőket, akiknek alkalmazásai olyan kódokat, keretrendszereket, illetve SDK-kat tartalmaznak, melyekkel az alkalmazások képesek megosztani a felhasználók helyadatait.

Bővebben

Az Apple – vélhetően a GDPR közelgő hatálybalépése miatt – kitiltja áruházából (App Store) azokat a fejlesztőket, akiknek alkalmazásai olyan kódokat, keretrendszereket, illetve SDK-kat tartalmaznak, melyekkel az alkalmazások képesek megosztani a felhasználók helyadatait. A cég számos alkalommal emlékeztette fejlesztőit, hogy alkalmazásuk sértheti az App Store felülvizsgálati irányelv 5.1.1 és 5.1.2 szakaszait, melyek az adatok gyűjtésére, tárolására, felhasználására és megosztására vonatkoznak. Emellett nyomatékosan kérték a fejlesztőket, hogy a felhasználók kapjanak pontos tájékoztatást arra vonatkozóan, hogy az alkalmazás milyen típusú adatokhoz férhet hozzá, beleértve a helyadatokat is. Az irányelv szerint az alkalmazások által összegyűjtött adatok nem továbbíthatók harmadik félnek olyan céllal, amely nem kapcsolódik az alkalmazás működéséhez, valamint nem járul hozzá a felhasználói élmény, illetve a szoftver vagy hardver teljesítményének javításához.

(www.nakedsecurity.sophos.com)
Kevesebb
Hasonló hírek
 március 21. 16:00

A Kaspersky trösztellenes panaszt nyújtott be az Orosz Szövetségi Versenyügyi Hivatalhoz (FAS) az Apple alkalmazásboltjának üzletpolitikája miatt.

Bővebben

A Kaspersky trösztellenes panaszt nyújtott be az Orosz Szövetségi Versenyügyi Hivatalhoz (FAS) az Apple alkalmazásboltjának üzletpolitikája miatt. A Kaspersky szerint az Apple App Store házirendjének való megfelelés érdekében a Kaspersky Safe Kids iOS alkalmazás tekintetében két alapvető ─ a futtatható alkalmazások kezeléséért, valamint a böngészők blokkolásáért felelős ─ funkciótól is meg kellett válniuk. Az orosz IT biztonsági cég úgy véli, az amerikai tech óriás jelentősen korlátozza a szülői felügyeleti szoftverpiacon a szabad versenyt, egyrészt az alkalmazások kizárólag az App Store-ból engedélyezett letöltése, másrészt az iOS 12-es verziójában alapértelmezetten telepített Screen Time nevű applikáció miatt. Nemrég a Spotify élt hasonló panasszal a céggel szemben, azt kifogásolva, hogy az Apple olyan különadót vezetett be online áruházán keresztül értékesített alkalmazások bevételére vonatkozóan, ami miatt a harmadik féltől származó applikációk versenyhátrányba kerülnek a cég saját fejlesztésű Apple Music alkalmazásával szemben.

(zdnet.com)
Kevesebb
 március 11. 15:12

A holland Adatvédelmi Hatóság (DPA) múlt heti közleményében arra hívta fel a figyelmet, hogy azok a weboldalak, alkalmazások, illetve szolgáltatók, akik kizárólag a nyomkövető cookie-k (sütik) elfogadásával engednek hozzáférést tartalmukhoz, nem felelnek meg az EU általános adatvédelmi rendeletének (GDPR).

Bővebben

A holland Adatvédelmi Hatóság (DPA) múlt heti közleményében arra hívta fel a figyelmet, hogy azok a weboldalak, alkalmazások, illetve szolgáltatók, akik kizárólag a nyomkövető cookie-k (sütik) elfogadásával engednek hozzáférést tartalmukhoz, nem felelnek meg az EU általános adatvédelmi rendeletének (GDPR). A GDPR egyértelműen meghatározza, hogy adatkelezés kizárólag a felhasználók egyértelmű és önkéntes engedélyével végezhető, egyes szolgáltatók viszont csak akkor engednek hozzáférést tartalmaikhoz, ha a felhasználó elfogadja a weboldal működéshez nem feltétlenül szükséges sütik (például a nyomkövető cookie) használatát. Mivel ilyen esetekben a felhasználó nem tagadhatja meg az engedélyt bizonyos következmények (például a tartalom megtekintésének korlátozása) nélkül, nem valósul meg a GDPR követelményei szerint meghatározott felhasználói önkéntesség.

(www.bleepingcomputer.com)
Kevesebb
 március 08. 11:57

A Twitter egy még január 14-én kijavított programhibáról tájékoztatja androidos felhasználóit, amely öt éve jelen volt az alkalmazásban.

Bővebben

A Twitter egy még január 14-én kijavított programhibáról tájékoztatja androidos felhasználóit, amely öt éve jelen volt az alkalmazásban. A közösségi oldal szerint azokat a felhasználókat érintett a hiba, akik az androidos Twitter alkalmazásban 2014. november 3. és 2019. január 14-e között megváltoztatták fiókadataikat, beleértve az e-mail címeket is. A felhasználói módosításokat követően, amennyiben az alkalmazáson belül korábban engedélyezték a védett módot (Protect your tweets), a Twitter automatikusan letiltotta a funkciót. Egyelőre az ügy kapcsán nem indítottak vizsgálatot a közösségi platform ellen, amely már korábban is szembesült a GDPR megsértésének vádjával. Tavaly év végén az ír Adatvédelmi Bizottság indított vizsgálatot a Twitter ellen, miután a cég elutasította a t.co webes linkkövető adatok átadását, majd biztonsági kutatók fedeztek fel egy olyan biztonsági hibát, amellyel engedély nélküli szöveges tweet bejegyzéseket lehetett közzétenni a platformon. Ez a hiba kizárólag angol twitterfiókokat érintett.

(www.engadget.com)
Kevesebb
 február 27. 15:27

Az Európai Távközlési Szabványosítási Intézet (ETSI) február 19-én közzétette a konzumer IoT eszközök kiberbiztonsági szabványát (ETSI TS 103 645 V1.1.1), amely a remények szerint a jövőbeni IoT tanúsítási rendszer alapjául szolgál majd.

Bővebben

Az Európai Távközlési Szabványosítási Intézet (ETSI) február 19-én közzétette a konzumer IoT eszközök kiberbiztonsági szabványát (ETSI TS 103 645 V1.1.1), amely a remények szerint a jövőbeni IoT tanúsítási rendszer alapjául szolgál majd. A szabvány célja, hogy elejét vegye a felhasználói adatszivárgásoknak, valamint a fogyasztói IoT eszközök ─ például DDoS támadásokhoz felhasznált ─ botnet hálózatokba történő bevonásának. A standard kapcsán Fausto Oliveira, az Acceptto vezető biztonsági mérnöke a végrehajtást tekinti a legnagyobb kihívásnak, ugyanis az ETSI nem bír törvényi kényszerítő erővel, így az implementálás azon múlik, hogy a tagállamok önkéntes alapon hoznak-e olyan jogszabályt, ami kötelezővé teszi a megfelelést. Oliveira ugyanakkor hatékony megoldásnak tartaná, ha az európai szabályozók ─ ideálisabb esetben az Európai Adatvédelmi Testület égisze alatt közösen ─ javasolnák az IoT eszköz gyártóknak az ETSI szabvány figyelembe vételét, amely hozzájárulna a GDPR-nak való megfeleléshez is. Mindemellett valószínűsíthető az is, hogy az ENISA fontos szerepet játszik majd az ETSI szabvány jövőjében.

(www.securityweek.com)
Kevesebb
 február 20. 08:57

A Computer Swaden tech portál információi szerint a 1177 Vårdguiden (Svédország egészségügyi segélyhívójának) egy alvállalkozója, a thajföldi Medicall mintegy 2,7 millió vészhívás hangfelvételeit tárolta titkosítatlan formában, egy hitelesítés nélkül nyíltan bárki számára elérhető webszerveren.

Bővebben

A Computer Swaden tech portál információi szerint a 1177 Vårdguiden (Svédország egészségügyi segélyhívójának) egy alvállalkozója, a thaiföldi Medicall mintegy 2,7 millió vészhívás hangfelvételeit tárolta titkosítatlan formában, egy hitelesítés nélkül nyíltan bárki számára elérhető szerveren. A szóban forgó hívások a Computer Swaden szerint rendkívül szenzitív információkat tartalmaznak a betegekről, mint például a betegségek tünetei, kórelőzmények, gyógyszeres kezelések, társadalombiztosítási számok. Mindezek mellett ráadásul 57 000 telefonszám is megtalálható az adatbázisban, ami lényegesen megkönnyítheti a betegek beazonosítását. Egyelőre nem tisztázott, mennyi ideig voltak elérhetőek az információk, illetve, hogy arra nem jogosultak hozzáfértek-e az adatbázishoz, mindenesetre ─ már csak a GDPR világos követelményei miatt is ─ számítani lehet az ügy mélyreható vizsgálatára. 

(thenextweb.com)
Kevesebb
 február 19. 11:51

A The Information publikációja szerint a Huawei rendszeresen próbált ipari titkokat szerezni az Apple-től.

Bővebben

A The Information publikációja szerint a Huawei rendszeresen próbált ipari titkokat szerezni az Apple-től. A kérdéses ─ anonim forrásokra hivatkozó ─ cikk állítása szerint a tech óriás elsősorban kínai Apple-ös beszállítókat környékezett meg, de arra is volt példa, hogy a tajvani Foxconn gyártósori munkásaitól próbált információkat szerezni, például az amerikai cég új okosórájában használt pulzusmérő technológiáról, vagy épp a MacBook Pro csatlakozó kábeléről. Nem ez az egyetlen Huawei elleni ipari kémkedési vád: egy 2019 januárjában nyilvánosságra hozott vádirat szerint a cég a T-Mobile ellen is folytatott ilyen tevékenységet, sőt belső jutalmazási programot indított a cég dolgozói számára, amelynek keretében annál nagyobb bónusz járt a dolgozónak, minél bizalmasabb információt tudott megszerezni a versenytárstól. A Huawei szóvivője visszautasította a vádakat, az Apple pedig mindeddig nem kommentálta a The Information cikkét. 

(zdnet.com)
Kevesebb
 február 12. 11:20

A GDPR hatályba lépése óta több, mint 59 000 adatsértést jelentettek az adatvédelmi hatóságoknak (DPA) az Európai Gazdasági Térségben ─ beleértve Norvégiát, Izlandot és Lichtensteint is ─ állapította meg a DLA Piper jelentése.

Bővebben

A GDPR hatálybalépése óta több, mint 59 000 adatsértést jelentettek az adatvédelmi hatóságoknak (DPA) az Európai Gazdasági Térségben ─ beleértve Norvégiát, Izlandot és Lichtensteint is ─ hozza nyilvánosságra a DLA Piper jelentésében. A listavezetők Hollandia 15 400, Németország 12 600 és az Egyesült Királyság 10 600 bejelentéssel. Összesen 91-szer került sor pénzbírság meghatározására, amelyek közül a legmagasabb értékű a Google számára 2019. január 21-én kiszabott 50 millió eurós bírság volt. Több tech vállalat is vizsgálat alá került, a Youtube-ot például a GDPR 15. cikkének (Az érintett hozzáférési joga) megsértésével vádolja az adat- és fogyasztóvédelemmel foglalkozó NOYB (None of Your Business) nonprofit vállalat, amelynek következtében a Google akár 3,87 milliárd eurós büntetésre is számíthat. A hozzáférési jog megsértésének okán mindazonáltal jóval több cég ellen (például az Apple, az Amazon, a Netflix, a Spotify, a SoundCloud, a Flimmit és a DAZN) nyújtottak be panaszt. 

(www.bleepingcomputer.com)
Kevesebb
 február 05. 14:50

Az Apple bejelentette, hogy összegyűjti az orosz felhasználói adatokat, annak érdekében, hogy megfeleljen egy 2015-ben hatályba lépett jogszabálynak.

Bővebben

Az Apple bejelentette, hogy összegyűjti az orosz felhasználói adatokat - név, szállítási- és e-mail cím, valamint az orosz szervereken tárolt telefonszámokat - annak érdekében, hogy megfeleljen egy 2015-ben hatályba lépett jogszabálynak, amely kimondja, hogy a szolgáltatók kizárólag az ország határain belül tárolhatják az orosz állampolgárok adatait. A bejelentés nem tesz említést az iCloud szolgáltatáson tárolt adatokra - üzenetekre, dokumentumokra, fényképekre és kapcsolati adatokra - vonatkozóan, amelyek kapcsán a tavalyi évben - a kínai jogszabályi kötelezettségek miatt - hasonlóan kellett eljárnia a vállalatnak, bár az iCloud felhasználói adatokon kívül, a fiókokhoz hozzáférést biztosító kulcsok is áthelyezésre kerültek Kínába. Tim Cook az Apple vezérigazgatójának álláspontja szerint kénytelenek megfelelni az ilyen típusú nemzeti jogszabályoknak, bár már akkor igyekezett hangsúlyozni, hogy a felhasználói adatok és kulcsok biztonsága érdekében az Apple saját titkosítási technológiát alkalmaz és kizárólag a hatályos jogszabályi előírásoknak megfelelően szolgáltatnak adatokat. Ezzel szemben az orosz terrorizmus elleni törvények jelentősen megkönnyíthetik annak kikényszerítését, hogy az Apple visszafejtse és a hatóságok számára átadja a felhasználói adatokat - írja múlt heti cikkében a Foreign Policy magazin. Az Apple nem először enged az orosz kormány nyomásának, a tavalyi évben a Roskomnadzor az orosz médiafelügyeleti hatóság a Telegram csevegőalkalmazás tiltásában való közreműködésére szólította fel a vállalatot.

(www.bloomberg.com)
Kevesebb