+36304177429 info@datad.hu

A generatív mesterséges intelligencia négy legnagyobb biztonsági kihívása

A vállalatok egyre inkább a generatív mesterséges intelligenciára (GenAI) támaszkodnak, hogy fokozzák hatékonyságukat és elősegítsék az újításokat. Azonban, ahogy ez a technológia gyorsan terjed, a vele járó biztonsági kihívások is napvilágot látnak, új típusú kockázatokat szülve, melyek komoly üzleti következményekkel járhatnak.

 

 

Ebben az elemzésben a Gartner szakértői betekintést nyújtanak és stratégiákat javasolnak a biztonsági és termékmenedzsment vezetők számára, hogy hogyan használhatják ki a versenyelőnyöket ezeknek a kockázatoknak a kezelése által.

A GenAI-val kapcsolatos négy legfontosabb új kockázatot
Ezeknek a kockázatoknak a rövid távú következményeit
A következő 6-18 hónapban javasolt lépéseket
Forrás: Gartner, Feltörekvő technológiák: A generatív mesterséges intelligencia négy legnagyobb biztonsági kihívása, Lawrence Pingree, Swati Rakheja, Leigh McMullen, Akif Khan, Mark Wah, Ayelet Hayman, Carl Manion, 2023. augusztus 10.

A GARTNER a Gartner, Inc. és nemzetközi leányvállalatainak védjegye, jogosultsággal használva. Minden jog fenntartva.

A Gartner semmilyen szolgáltatót, terméket vagy szolgáltatást nem támogat kutatási kiadványaiban, és nem ajánlja, hogy a technológiai felhasználók csupán a legmagasabb értékeléssel rendelkező szolgáltatókat válasszák. A Gartner kutatási kiadványai a kutatószervezet véleményét tükrözik, nem tényként kezelendők. A Gartner mindenféle kifejezett vagy vélelmezett garanciát visszautasít e kutatás kapcsán, beleértve a piacképességet és egy adott célra való alkalmasságot.

Forrás: www.wiz.io

Orosz Hackerek fértek hozzá a Microsoft ügyfelek levelezéséhez

A Microsoft elleni kibertámadás, amely tavaly év végén indult és az idei év elejéig húzódott, először úgy tűnt, mintha a támadók csupán limitált sikerrel jártak volna. Azonban a Microsoft későbbi kommunikációi feltárták, hogy orosz hackerek, az APT29, ismertebb nevén Cozy Bear, Nobelium vagy Midnight Blizzard, jelentősen több adathoz fértek hozzá, mint amit eredetileg gondoltak.

A támadók, akik korábban a SolarWinds incidensével is összefüggésbe hozhatóak, elsősorban az e-mailekre összpontosítottak, de a Microsoft belső üzenetei és bizalmas dokumentumai is a kezükbe kerülhettek. Ez jelentős aggodalmat keltett, mivel az ilyen típusú adatok felhasználhatóak további támadásokra, manipulációra vagy akár kémtevékenységre.

 

 

A támadás felfedezése óta a Microsoft többször is frissítette nyilatkozatait a helyzet súlyosságáról. Kezdetben azt állították, hogy a hackerek nem fértek hozzá kritikus ügyfélkörnyezetekhez, termelési rendszerekhez, forráskódokhoz vagy MI-rendszerekhez. Ezt követően azonban a cég elismerte, hogy a támadók valóban hozzáfértek bizonyos ügyfelek levelezéséhez és egyéb érzékeny adatokhoz.

Az ügy komolyságát jelzi, hogy a Microsoft elnöke, Brad Smith, a kongresszus előtt is meg kellett jelennie, hogy válaszoljon a kibertámadás és annak kezelése kapcsán felmerülő kérdésekre. Az eset rávilágított a kiberbiztonsági stratégiák fontosságára és arra, hogy még a nagy technológiai vállalatok is sebezhetőek lehetnek ilyen jellegű támadásokkal szemben.

A cég továbbra is folyamatosan értesíti az érintett ügyfeleket a helyzet fejleményeiről és arról, hogyan védekezhetnek a jövőbeni hasonló fenyegetésekkel szemben. A Microsoft emellett erőfeszítéseket tesz annak érdekében, hogy megerősítse biztonsági rendszereit és megelőzze a hasonló esetek ismétlődését.

Forrás: www.hwsw.hu

Hiba az Apple Pay rendszerben: Téves bankkártya-terhelések zavarják az ügyfeleket

Rendszerhiba az Apple alkalmazásboltban okozott téves bankkártya-terheléseket

A Raiffeisen Bank hivatalos közleményben tájékoztatta ügyfeleit, hogy az Apple alkalmazásboltja egy technikai probléma következtében tévesen terhelte meg több bankkártyát. A bank az ügyfeleket arról is informálta, hogy már javában dolgoznak a hiba kijavításán, együttműködve az Apple képviselőivel.

Értesítjük Ügyfeleinket, hogy a külső partnernél bekövetkezett technikai probléma miatt egyes Ügyfeleink bankkártyáit az Apple alkalmazásboltja tévesen megterhelhette.

Kollégáink felvették a kapcsolatot az Apple illetékeseivel, a probléma megoldása folyamatban van. -írta a Raiffeisen Bank

Több száz ügyfél érintett az Apple Pay rendszerében történt indokolatlan terhelésekben

Szerdai napon váratlanul több száz bankkártya-tulajdonos számolt be arról, hogy az Apple Pay rendszerében regisztrált kártyáikról különböző összegek kerültek levonásra minden előzetes vásárlás vagy tranzakció nélkül. Egyes esetekben az érintettek régi, már megszűnt előfizetéseik díjait vonták le ismételten, míg másoknál a korábbi hónapokban már fizetett összegek kerültek újra levonásra.

Banki intézkedések és felhasználói reakciók a váratlan terhelésekkel kapcsolatban

Az érintett bankok, beleértve az OTP-t és az MBH Bankot, azonnali lépéseket tettek az ügyben. Több ügyfél jelezte, hogy a bankjuk felfüggesztette a kártyájukat, amint észlelték a szokatlan tevékenységet, és haladéktalanul kezdeményezték a téves tranzakciók vizsgálatát és jóváírását. Az érintett felhasználók közül többen azonnal értesítették a bankjukat és letiltották kártyáikat, hogy megakadályozzák további nem kívánt terheléseket.

Javaslatok és tippek a hasonló helyzetek elkerülésére

A tapasztalatok alapján több ügyfél és szakértő is a digitális bankkártyák használatát ajánlja, amelyek könnyebben és gyorsabban kezelhetők, így hatékonyabb védelmet nyújtanak az ilyen típusú problémák ellen. A digitális kártyák esetén, ha probléma adódik, egyszerűen letilthatók és pótolhatók, anélkül, hogy a fizikai kártya cseréjére lenne szükség.

Összefoglaló és további lépések

Miközben a bankok és az Apple együtt dolgoznak a probléma megoldásán, fontos, hogy az ügyfelek folyamatosan monitorozzák banki tranzakcióikat és azonnal jelentsék, ha bármilyen szokatlan aktivitást észlelnek. Az ügyfelek türelmét és megértését kérjük, míg a hiba javítása folyamatban van. A helyzetet tovább bonyolítja, hogy az Apple még nem nyilatkozott hivatalosan a történtekről, de várható, hogy a közeljövőben részletes tájékoztatást adnak majd az eseményekről és a megoldásról.

Forrás: www.raiffeisen.hu

Csapás a kibertérben: Négy vietnámi hacker vádat kap az Egyesült Államokban

A FIN9-hez köthető vietnámi hackerek vád alá kerültek az Egyesült Államokban

Négy vietnámi állampolgárt, akik kapcsolatban állnak a hírhedt FIN9 kibercsoporttal, vádoltak meg az Egyesült Államokban, miután részt vettek egy olyan sorozatos számítógépes behatolásban, amely több mint 71 millió dolláros veszteséget okozott különböző vállalatoknak. A vádlottak — Ta Van Tai (más néven Quynh Hoa és Bich Thuy), Nguyen Viet Quoc (más néven Tien Nguyen), Nguyen Trang Xuyen és Nguyen Van Truong (más néven Chung Nguyen) — adathalász kampányokat és ellátási láncok elleni támadásokat hajtottak végre, hogy milliókat lopjanak el.

A kiberbűnözők módszerei

Az amerikai Igazságügyi Minisztérium által nemrég nyilvánosságra hozott vádirat szerint a vádlottak 2018 májusától 2021 októberéig aktívan törtek be amerikai cégek számítógépes hálózataiba, ahol nem publikus információkat, alkalmazotti juttatásokat és pénzeszközöket próbáltak meg ellopni vagy megkíséreltek ellopni. A támadók kezdeti sikeres behatolás után többek között ajándékkártya-adatokat, személyazonosító információkat és a dolgozókhoz, valamint ügyfelekhez kapcsolódó hitelkártya-adatokat szereztek meg.

Ezt követően az ellopott információkat használták fel bűnözői tevékenységeik további elrejtésére, beleértve online számlák nyitását kriptovaluta tőzsdéken és hosting szerverek beállítását.

A lopott ajándékkártyák sorsa

„Tai, Xuyen és Truong eladta a lopott ajándékkártyákat harmadik feleknek, beleértve egy hamis néven regisztrált fiókon keresztül egy peer-to-peer kriptovaluta piactéren, hogy elrejtsék és álcázzák a lopott pénz eredetét,” mondta az Igazságügyi Minisztérium.

A négy vádlottat összesen egy-egy számítógépes csalásra, zsarolásra és kapcsolódó tevékenységek elkövetésére való összeesküvés, valamint számítógépes adatok szándékos rongálásának két vádpontjával vádolták meg. Ha minden vádpontban bűnösnek találják őket, akár 45 év börtönbüntetés is kiszabható rájuk.

Ezen túlmenően, Tai, Xuyen és Truong pénzmosásra való összeesküvés vádjával is szembenéznek, ami akár 20 évig terjedő börtönbüntetést vonhat maga után. Tai és Quoc továbbá súlyos személyazonosság-lopás és személyazonosság-hamisításra való összeesküvés vádjával is szembesülnek, amelyek maximálisan 17 évig terjedő büntetést jelenthetnek.

Forrás: www.thehackernews.com

A vállalati kiberbiztonság legnagyobb kihívásai: 10 emlékezetes hackertámadás

Kiberbiztonsági események áttekintése

A digitalizált kor számtalan előnyt hozott a vállalatok számára is, de ezzel együtt nőtt a kiberfenyegetések száma is. A következőkben a legjelentősebb és legtanulságosabb hackertámadásokat vesszük sorra, amelyek jelentős hatást gyakoroltak a globális kiberbiztonsági politikákra és a vállalatok működésére.

 

 

 

PayPal (2010)

2010 decemberében a PayPal váratlanul az Anonymous hackercsoport célkeresztjébe került, miután felfüggesztette a WikiLeaks adományozói fiókjait. Az aktivisták válasza gyors és határozott volt: egy DDoS támadás, amelyet a LOIC (Low Orbit Ion Cannon) eszközzel indítottak. Ez a támadás súlyos pénzügyi következményekkel járt a PayPal számára, és komoly befektetésekre kényszerítette őket a biztonsági infrastruktúra megerősítése érdekében. A támadás hosszú távú bizalmi problémákat is okozott, mivel az ügyfelek kétségbe vonták a szolgáltatás biztonságosságát.

Sony Pictures (2011)

A LulzSec hackercsoport 2011-ben célba vette a Sony Pictures-t, ami a szórakoztatóipar egyik legdurvább kibertámadásává vált. Az SQL-injekcióval elkövetett támadás során számos érzékeny adatot, köztük alkalmazottak adatait és kiadatlan filmeket loptak el. A támadás komoly reputációs károkat okozott a Sony-nak, hiszen felvetette a biztonsági intézkedések hatékonyságának kérdését, és hosszú távon megingatta a vállalatcsoport iránti bizalmat.

LinkedIn (2012)

A LinkedIn 2012-ben szenvedett el súlyos adatvesztést, amikor mintegy 6,5 millió felhasználói jelszó került illetéktelen kézbe és jelent meg egy orosz hacker fórumon. A támadók a LinkedIn jelszókezelő algoritmusának gyengeségeit használták ki. Ez a biztonsági incidens rávilágított a tárolási módszerek fontosságára és arra, hogy a vállalatok mennyire sebezhetők, ha nem alkalmaznak megfelelő titkosítási technikákat.

Target (2013)

A Target amerikai kiskereskedelmi lánc 2013-ban vált a történelem egyik legnagyobb kiskereskedelmi adatlopásának áldozatává, amikor hackerek 40 millió vásárló bankkártya adatait szerezték meg. A támadás egy phishing emaillel kezdődött, amit a cég egyik beszállítójának küldtek, és amelyen keresztül a támadók a Target hálózatához fértek hozzá. A támadás súlyos pénzügyi és jogi következményekkel járt a vállalat számára, ráadásul jelentősen csökkentette a vásárlók bizalmát.

JPMorgan Chase (2014)

A JPMorgan Chase, az egyik legnagyobb amerikai pénzintézet, 2014-ben szembesült egy óriási adatvédelmi incidenssel, amikor hackerek 76 millió háztartás és 7 millió kisvállalkozás adataihoz fértek hozzá. A támadás egy webalkalmazásban lévő sebezhetőséget használt ki, ami rámutatott a pénzintézetek különösen nagy kockázatát jelentő biztonsági réseire. Ez az eset fokozott figyelmet igényelt a bankok részéről a digitális biztonsági intézkedések megerősítése terén.

Ashley Madison (2015)

Az Ashley Madison, egy társkereső weboldal, 2015-ben került hackerek célkeresztjébe, akik a felhasználói adatok nyilvánosságra hozatalával fenyegetőztek. Amikor a támadók valóra váltották fenyegetéseiket, több millió felhasználó személyes adata vált nyilvánosságra, ami nemcsak jogi következményekkel járt, hanem etikai kérdéseket is felvetett a személyes adatok kezelésével kapcsolatban.

Dyn / DynDNS (2016)

A Dyn, egy DNS-szolgáltató 2016-ban szenvedett el egy masszív DDoS támadást, amelyet az IoT eszközök egy botnetje hajtott végre, megbénítva ezzel az internet egy részét az USA-ban és Európában. Ez az eset rámutatott a kritikus infrastruktúra és az IoT eszközök sérülékenységére, valamint arra, hogy milyen fontos a hálózati eszközök megfelelő védelme.

FedEx (2017)

A FedEx 2017-ben vált a WannaCry zsarolóvírus támadás áldozatává, amely világszerte több mint 200,000 számítógépet fertőzött meg. Ez a sebezhetőség különösen súlyos volt a vállalat számára, mivel jelentős működési zavarokat okozott, és rávilágított a zsarolóvírusok által okozott kockázatokra és a szükséges védelmi intézkedésekre.

Capital One (2019)

A Capital One pénzintézet 2019-ben szembesült egy jelentős adatszivárgással, amikor egy korábbi AWS alkalmazott kihasználta a vállalat webalkalmazás-tűzfalának egy sebezhetőségét. A támadás során több mint 100 millió ügyfél adata került veszélybe, ami pénzügyi bírságokhoz és jelentős bizalomvesztéshez vezetett.

Microsoft (2023)

A Microsoft 2023-ban állt szemben egy jelentős kibertámadással, amikor egy biztonsági kulcs ellopásával a támadók hozzáférést szereztek a vállalat több szolgáltatásához. Ez a biztonsági incidens különösen aggasztó volt, mivel kormányzati szervek biztonságát is veszélyeztette, és rámutatott a felhőalapú szolgáltatásokkal kapcsolatos kihívásokra.

A jövő kihívásai

A bemutatott események rávilágítanak arra, hogy a vállalatoknak folyamatosan fejleszteniük kell kiberbiztonsági stratégiáikat, hogy lépést tudjanak tartani a gyorsan fejlődő fenyegetésekkel. A mesterséges intelligencia és a zéró bizalmi architektúrák alkalmazása növelheti a védelmi képességeket, de a hackerekkel folytatott versenyfutás soha nem ér véget. A vállalatoknak proaktívnak kell lenniük, és mindig készen kell állniuk a következő kihívásra.

Forrás: www.ingenieur.de

Az Apple iOS 17.5 frissítésének adatvédelmi aggályai: A felhasználók meglepetése

Az Apple hallgatásának ára: az iOS 17.5 frissítés adatvédelmi botránya

Az Apple, amely gyakran állítja magáról, hogy kiemelten kezeli felhasználói adataik védelmét, most saját maga okozott jelentős adatvédelmi gondot az iOS 17.5 frissítéssel. A frissítés után sok iPhone és iPad tulajdonos arra ébredt, hogy régen törölt fényképek újra megjelentek készülékeik Fotók alkalmazásában. Néhány esetben ezek a fotók rendkívül kínos tartalommal bírtak, amelyek komoly zavart okoztak az érintett felhasználók életében.

A felhasználók zavarának magyarázata elmarad

A hiba javítása gyorsan érkezett, azonban a felhasználók megdöbbenésére az Apple semmilyen magyarázatot nem kínált arra vonatkozóan, hogyan lehetséges ez az incidens. Ez különösen érthetetlennek tűnik annak fényében, hogy az Apple rendszeresen hangsúlyozza az adatvédelem fontosságát. Az iOS 17.5.1 frissítése csak annyit jegyzett meg, hogy a probléma egy „ritka adatbázis-hiba” miatt következett be, ami visszaállította a korábban törölt fotókat.

A rejtély tovább mélyül

Számos felhasználó jelezte, hogy az előkerült régi adatok között olyanok is voltak, amelyeket már más készülékeken töröltek, vagy amelyek az iCloud szinkronizálásának kikapcsolása ellenére jelentek meg újra. Ez arra utalhat, hogy a hiba mélyebben gyökerezik, mint ahogyan azt az Apple állítja. A felhasználói közösségben felmerült az elmélet, hogy az adatok valójában sosem tűntek el teljesen, csak átmenetileg rejtőztek el, és egy adatbázis-hiba következtében kerültek elő újra.

A közösségi visszhang és az Apple válaszának hiánya

A közösségi médiában és a fórumokon számos beszámoló látott napvilágot az ügy kapcsán, sokan megosztották saját kellemetlen élményeiket és aggodalmaikat az adatvédelmi hibával kapcsolatban. Azonban az Apple továbbra is hallgat, ami csak fokozza a felhasználók csalódottságát és bizalmatlanságát a vállalat iránt.

Összegzés

Az iOS 17.5 frissítéssel kapcsolatos adatvédelmi incidens rávilágított arra, hogy még a legnagyobb technológiai vállalatoknál is előfordulhatnak súlyos hibák. Az Apple esetében különösen aggasztó, hogy a vállalat nem nyújtott átfogó magyarázatot vagy nem kommunikálta világosan a helyzetet, ami ellentmond saját adatvédelmi elkötelezettségének. Ez az eset ismét hangsúlyozza, hogy a felhasználóknak folyamatosan ébernek kell lenniük adataik kezelése és védelme kapcsán, még akkor is, ha egy megbízhatónak tűnő forrásról van szó.

Forrás: www.ipon.hu