szept 20, 2023 | Blog
REKORD BÍRSÁG A TIKTOKNAK GDPR MEGSÉRTÉSE MIATT
A TikTok számára komoly anyagi terhet jelenthet az írek által kiszabott bírság, de mégis kérdéses, hogy ez elrettentő hatással lesz-e rájuk.
A nagy közösségi médiaplatformokat sokszor vizsgálják különböző okokból, de csak ritkán kapnak milliárdos büntetéseket. A TikTok esetében azonban ez most másképp alakult, bár a bírság kevesebb, mint amit más tech óriások már kaptak korábban.
A Ír Adatvédelmi Bizottság (DPC) döntése alapján a TikTok 345 millió eurós büntetést kapott.
Az eljárás évek óta tartott, és a 2020-ban elkövetett adatvédelmi jogsértések miatt indult. A hatóság szerint a TikTok nem kezelte helyesen a fiatalkorúak adatait. Az írek 2021-ben indították az eljárást, mely során a TikTok próbálta késleltetni az ügy menetét.
Már augusztusban hallottunk arról a Politico-tól, hogy a DPC esetleges büntetést szabhat ki. A vizsgálat során a hatóság a TikTok gyermekekkel kapcsolatos adatvédelmi gyakorlatait értékelte. Kiemelendő, hogy a TikTokot különösen sok fiatal használta ebben az időszakban.
A vizsgálat során többek között a „Family Pairing” felügyeleti funkciót, az alapértelmezett beállításokat és az életkor-ellenőrzést vették górcső alá. A vizsgálat során több hiányosságot is találtak, és kiderült, hogy a TikTok alapértelmezésben minden profilt nyilvánosságra állított, ami ellentmond a GDPR szabályozásnak.
Az ír hatóság az Európai Adatvédelmi Testülettel is egyeztetett, így széleskörű szakértelmet alkalmaztak. A vizsgálat rávilágított arra is, hogy bár a platformon csak 13 éven felülieknek lett volna szabad regisztrálni, mégis sok fiatalabb felhasználója volt.
A 345 millió eurós büntetés nem elhanyagolható. Ezelőtt a TikTok még nem kapott ekkora büntetést. A platform azonban a közelmúltban több szabályozást is igyekezett betartani, így az elrettentő hatás kérdéses.
2020-ban a Meta 405 millió eurós büntetést kapott, mivel az Instagram nem kezelt helyesen bizonyos adatokat. Ezen kívül már láthattunk 1,2 milliárd eurós bírságot is, amit a Meta kapott.
A GDPR alapján a legnagyobb büntetés a cég előző éves bevételének 4%-a lehet. Nagy tech cégek esetében ez jelentős összeg lehet, de kisebb vállalatoknál a maximum büntetés 10 és 20 millió euró között mozog.
aug 30, 2023 | Blog
Francia Adatlopás: Tízmilliót Érint a Pôle Emploi Ügynökség Adatszivárgása
Adatlopás Franciaországban: Tízmillió embert érintő biztonsági incidens
A francia Pôle Emploi ügynökség, amely álláskeresési és pénzügyi segélyezési szolgáltatásokat nyújt, beszámolót adott ki egy adatlopásról. Az incidens során tízmillió ember személyes adatai kerültek illetéktelen kezekbe.
„A Pôle Emploi értesült egy biztonsági problémáról, amely egyik szolgáltatójánál keletkezett és az álláskeresők személyes adatainak nyilvánosságra kerülését eredményezte,” olvasható a hivatalos közleményben.
A 2022-ben regisztrált álláskeresők, valamint az ügynökség korábbi felhasználói is érintettek lehetnek az adatlopásban – derült ki a Pôle Emploi hivatalos weboldalán.
Az ügynökség nem közölt részleteket az érintett személyek számáról, de a Le Parisien című lap szerint körülbelül tízmillió embert érinthet a szivárgás. A szám a 2022-es regisztrációk és az elmúlt év adatsorából származik, amelyek még mindig megtalálhatók az ügynökség rendszerében.
A pénzügyi segélyek nem érintettek
A kompromittált információk között teljes nevek és társadalombiztosítási számok találhatók; azonban e-mail címek, telefonszámok, jelszavak és bankszámla-információk nem kerültek illetéktelen kezekbe.
Annak ellenére, hogy az érintett adatok korlátozott mértékben használhatók fel kibertámadások során, a Pôle Emploi azt javasolja az álláskeresőknek, hogy legyenek körültekintőek az érkező kommunikációval kapcsolatban.
Az ügynökség egy külön telefonszámot is létrehozott, ahol az érintett személyek információkat kaphatnak az eseménnyel kapcsolatban.
A Pôle Emploi közleményében megerősítette, hogy minden erőfeszítést megtesz az álláskeresők adatainak védelme érdekében, és további biztonsági intézkedéseket is tervez bevezetni, hogy elkerülje a hasonló események ismétlődését.
Az ügynökség hozzáfűzte, hogy a pénzügyi segélyezési programjai nem érintettek, így az álláskeresők továbbra is bizalommal vehetik igénybe az online szolgáltatásokat.
MOVEit Listázás
Az Emsisoft biztonsági cég MOVEit platformja is a Pôle Emploi-t nevezte meg az adatlopásért felelős szolgáltatóként, és megerősítette, hogy az incidens tízmillió embert érint.
A Clop ransomware csoport, amely az adatlopást elkövette, még nem tette közzé az ügynökséget zsarolási oldalán.
Korábban a támadók azt állították, hogy nem hozzák nyilvánosságra az állami ügynökségektől loppant adatokat, ezért nem világos, hogy a csend az ő taktikájuk-e.
A Pôle Emploi a Maximus után a második a listán az érintett egyének számát tekintve. Míg a Maximus esetében 11 millió ember volt érintett, addig a MOVEit támadási kampány összesen 59,2 millió embert és 988 szervezetet kompromittált.
Forrás: www.pole-emploi.org
aug 18, 2023 | Blog
Ezen a héten ismét egy állami weboldalt ért támadás,
ahol mintegy 2000 ember adata vált elérhetővé. Ez már a hét második ilyen esete, a korábbi támadásnál kevesebb figyelmet kapott, azonban a mostani sokkal komolyabb következményekkel jár, hiszen személyes adatok kerültek kiszivárgásra. Szakértők szerint már nem elvárható, hogy az állam minden rendszerét tökéletesen megvédje. A támadó elismerte, hogy a „Mr. Robot” sorozattól kapott inspirációt.
A Klímagáz Adatbázis nevű oldalt, melyet a Nemzeti Klímavédelmi Hatóság üzemeltet az Energiaügyi Minisztérium keretein belül, feltörték, és az információkat nyilvánosságra hozták.
Az NKVH azzal a feladattal bír, hogy nyomon kövesse a fluortartalmú üvegházhatású gázokkal kapcsolatos vállalkozásokat. Az adatbázist egy 2015-ös EU rendeletnek megfelelően hozták létre, ahol a cégek adatait, tevékenységeiket, valamint kibocsátási kvótáikat és jelentéseiket rögzítik.
A héten nem ez volt az egyetlen állami oldal, amelyet feltörtek. Múlt pénteken az Igazságügyi Minisztérium fogyasztóvédelmi oldalát is támadás érte. Az oldalon a hekkerek román zászlót és üzenetet helyeztek el, valamint egy letölthető adatbázist is kínáltak. A portált hamarosan inaktiválták.
A Klímagáz Adatbázissal kapcsolatban a támadó nem változtatta meg az oldalt, de közzétett egy linket a Telegramon, ahol az ellopott információk elérhetőek voltak, személyes adatokkal együtt.
„A Telexnek címzett üzenetével egyébként arra utalt, hogy a múlt heti hekkelésről – amelyet a jelek szerint ugyanő(k) hajtott(ak) végre – akkori cikkünkben azt írtuk, a magyarra elcsúfításnak vagy honlaprongálásnak fordítható támadási forma technikailag az egyik legprimitívebb, de az egyszerűsége és látványossága miatt kedvelt módszer. (A hekkerek az utóbbi időben valamiért egyébként szeretik a Telexet emlegetni az üzeneteikben: a múlt heti esetben is volt ilyen utalás a hekker által a feltört oldalra kiírt szövegben, ahogy a közoktatási KRÉTA, majd a felsőoktatási Neptun tanulmányi rendszer elleni tavaszi támadás esetében is megidézték lapunkat.)” – Olvashatjuk a Telex bejegyzésében.
A kiszivárgott adatok között vállalatok nevei, címek és egyéb információk találhatóak. Az elsődleges vizsgálatok alapján az adatbázisban 2061 emailcím szerepel. 727 belépési információ is megtalálható, de a jelszavak nagy része titkosítva van.
A kiszivárgott személyes adatok miatt a Nemzeti Klímavédelmi Hatóságnak tájékoztatnia kell az érintetteket a GDPR alapján.
A GDPR bár lehetőséget biztosít nagy összegű bírságok kiszabására, ezt a kormányzati szervek esetében az Infotörvény korlátozza.
A támadó célja az állami rendszerek gyengeségeinek bemutatása volt. Ezen támadásokat a „Mr. Robot” sorozat inspirálta.
A gyakori hekkelések miatt felmerül a kérdés: hogyan lehetséges, hogy több állami oldalt is sikerrel támadnak meg rövid időn belül? Kocsis Tamás, kiberbiztonsági szakértő szerint a válasz az, hogy a hangsúly a kibervédelemből a reagálásra tolódik át. A támadók folyamatos innovációval lépnek fel, így a védelem soha nem lehet teljes.
Forrás: telex.hu
aug 10, 2023 | Blog
A felhőtechnológia nagyszerű lépés előre, de az adatbiztonságot és a feleslegessé vált információk eltávolítását sem szabad figyelmen kívül hagyni.
A távmunka növekedése felgyorsította a vállalatok felhőalapú szolgáltatások felé történő elmozdulását. Fontos a vállalati adatok biztonságos és tanúsított törlése ebben a folyamatban.
A pandémia mélyen érintette munkavégzési és vásárlási módszereinket, az online tér lett a fő színtér. A vállalatok egyre nagyobb beruházásokat eszközölnek a felhőszolgáltatásokban, és a Gartner becslései szerint ez a tendencia 2024-ig folytatódik.
Látványos növekedés
2021-ben a felhőalapú szolgáltatásokba történő beruházások 18,4%-kal emelkedtek, összesítve 304,9 milliárd dollár bevételt globális szinten. A Gartner előrejelzése szerint a vállalatok 75%-a továbbra is fenntartja a távmunka gyakorlatát.
Adatok eltávolítása a felhőbe költözés után
A felhőalapú megoldások bevezetésével a vállalati adatok már nem helyi tárolóegységeken, hanem külső felhőszolgáltatónál helyezkednek el. Ezért kritikus a nem aktuális adatok biztonságos eltávolítása.
A megfelelő törlés csökkenti az adatszivárgás kockázatát. A megszabadult tárhelyet más célokra is felhasználhatjuk, így spórolhatunk az új tárolók beszerzésén.
Adatvédelmünk előtérben
Bár a felhőalapú megoldások hatékonyságot és rugalmasságot kínálnak, új kihívásokkal is szembesülünk, különösen a kényes információk kezelésekor.
A Blancco adattörlő rendszerek biztosítják a vállalati adatok védelmét az illetéktelen behatolásokkal szemben. Ha már nem szükségesek, biztonságosan eltávolíthatjuk az adatokat, így a tárolók továbbra is rendelkezésre állnak. A Blancco-val az adateltávolítás könnyen nyomon követhető és dokumentálható.
A tanúsított adateltávolítás nem csak a felhőbe költözés alkalmával fontos, de más szituációkban is, mint:
- Eszközök bizonyos életciklusának elérésekor.
- Aktív IT környezetben.
- Nem releváns archivált adatoknál.
Az érzékeny információk védelme érdekében az alapos adatkezelés kulcsfontosságú. A tanúsított adattörlő megoldások megbízhatóan távolítják el az információkat. Ezáltal a vállalatok biztonságban tudhatják adataikat, miközben eleget tesznek az adatvédelmi előírásoknak és optimalizálják IT beruházásaikat.
Forrás: blancco.hu
júl 24, 2023 | Blog
Roblox adatszivárgás – majdnem 4000 alkalmazott személyes adata került nyilvánosságra, a cég bocsánatot kért.
Az információk egy fórumban jelentek meg és gyorsan eltávolították őket, ám ezt az internet közössége már felkapta.
A Roblox Corporationt adatszivárgás érte, ennek eredményeként közel 4000 alkalmazott személyes adatai kerültek ki az internetre. Néhányuk esetében ezek a neveket, címeket, születési dátumokat és IP címeket is magában foglalták.
Ezt Troy Hunt, a Have I Been Pwned weboldal létrehozója vette észre és emelte ki. Ez a weboldal lehetővé teszi, hogy ellenőrizzük, szivárogtak-e ki a személyes adataink az interneten. Hunt a Twitteren számolt be arról, hogy a szivárgás a Roblox Fejlesztői Konferencia résztvevőit érintette. Az adatok egy időre felbukkantak egy mára már törölt fórumbejegyzésben, ami elegendő időt biztosított több rosszindulatú személy számára az információk megszerzésére.
A PC Gamer információi szerint, aki a saját kutatásának részeként ellenőrizte a Have I Been Pwned oldalt, az adatokat először 2020 decemberében szerezték meg, majd 2021 körül Roblox témájú specializált oldalakon terjesztették, míg végül néhány nappal ezelőtt a fent említett fórumba kerültek.
Válaszként a Roblox Corporation egyéves személyazonosság-védelmet biztosított azoknak az alkalmazottaknak, akiknek nagy mennyiségű azonosítható információja volt nyilvánosságra került, és Hunt információi szerint bocsánatot kért az érintettektől e-mailben. Ez a több lépésből álló válasz azonban még azok számára is hiányos, akik jelentős segítséget kaptak, hiszen adataik nem tűnnek el egyszerűen az internetről egy év elteltével.
A Roblox-nak van előzménye adatszivárgásokkal kapcsolatban, különösen új termékeinek bemutatásakor, ám az ilyen adatvédelmi incidensek nem szoktak gyakoriak lenni. Ha valakit ilyen adatszivárgás érint, kétlépcsős hitelesítést és a jelszavak tömeges megváltoztatását javasoljuk.
A Roblox jelenleg a piac egyik legnépszerűbb játékplatformja, különösen a fiatalabb generáció körében. Több játékot, többek között az Anime Journey-t és a Tapping Legends X-et, naponta több ezer gyerek játszik. Ennek fényében az adatbiztonság létfontosságú a felhasználói bázis védelmében, akik esetleg nem ismerik a legjobb biztonsági gyakorlatokat.
Ezúttal az incidens a fejlesztőket érintette, nem a felhasználókat. Reméljük, hogy a Roblox Corporation képes lesz megóvni az érintetteket a lehetséges zaklatásoktól és bűnözéstől.
Forrás: www.vg247.com
júl 18, 2023 | Blog
Kibercriminálok kihasználják a WooCommerce Payments Plugin hibáját weboldalak eltérítésére
A fenyegető szereplők aktívan kihasználják a WooCommerce Payments WordPress pluginban nemrégiben nyilvánosságra hozott kritikus biztonsági hibát, mint egy hatalmas, célzott kampány részét.
A hibát, amelyet CVE-2023-28121-ként (CVSS pontszám: 9.8) követnek, hitelesítés megkerülése jellemzi, amely lehetővé teszi a nem hitelesített támadók számára, hogy tetszőleges felhasználókat személyesítsenek meg és néhány műveletet hajtsanak végre az álcázott felhasználóként, beleértve egy adminisztrátort, ami potenciálisan az oldal átvételéhez vezethet.
„A CVE-2023-28121-re vonatkozó nagyszabású támadások 2023. július 14-én, csütörtökön kezdődtek és a hétvégén folytatódtak, szombaton, július 16-án tetőzve 1,3 millió támadással 157 000 oldal ellen,”
– mondta a Wordfence biztonsági kutatója, Ram Gall egy hétfői posztban.
A WooCommerce Payments 4.8.0-tól 5.6.1-ig terjedő verziói sebezhetőek. A plugint több mint 600 000 oldalon telepítették. A hibára vonatkozó javításokat a WooCommerce már 2023. márciusában kiadta, a WordPress pedig automatikus frissítéseket küldött a szoftver érintett verzióit használó oldalakhoz.
A támadásokban megfigyelt közös nevező az „X-Wcpay-Platform-Checkout-User: 1” HTTP kérés fejléc használata, amely a sebezhető oldalakat arra készteti, hogy bármely további terhet adminisztratív felhasználótól érkezőnek tekintsenek.
A Wordfence azt mondta, hogy a fent említett kiskaput fegyverként használják a WP Console plugin telepítésére, amelyet egy adminisztrátor felhasználhat rosszindulatú kód végrehajtására és fájlfeltöltő telepítésére a kitartás beállítása és a kompromittált oldal hátsó ajtónak kialakítása céljából.
Adobe ColdFusion hibák kihasználása a vadonban
A felfedezés akkor történt, amikor a Rapid7 bejelentette, hogy 2023. július 13-tól több ügyfél környezetében észlelte az Adobe ColdFusion hibáinak aktív kihasználását, webhéjakat telepítve a fertőzött végpontokon.
„A fenyegető szereplők úgy tűnik, hogy kihasználják a CVE-2023-29298-at egy másodlagos sérülékenységgel együtt,”
– mondta a Rapid7 biztonsági kutatója, Caitlin Condon. A további hiba úgy tűnik, hogy a CVE-2023-38203 (CVSS pontszám: 9.8), egy deszerializációs hiba, amelyet egy július 14-én kiadott különleges frissítésben javítottak.
A CVE-2023-29298 (CVSS pontszám: 7.5) egy hozzáférési vezérlés megkerülésére vonatkozó sérülékenységet érint, amely a ColdFusion 2023, ColdFusion 2021 Update 6 és az alatta lévő, valamint a ColdFusion 2018 Update 16 és az alatta lévő rendszereket érint.
„A sérülékenység lehetővé teszi egy támadó számára, hogy hozzáférjen az adminisztrációs végpontokhoz a kért URL-ben egy váratlan további perjel karakter beszúrásával,”
– közölte a Rapid7 az előző héten.
A Rapid7 azonban figyelmeztetett, hogy a CVE-2023-29298-ra vonatkozó javítás hiányos, és hogy triviálisan módosítható a Adobe által kiadott javítások megkerülésére.
A felhasználóknak javasoljuk, hogy frissítsenek az Adobe ColdFusion legújabb verziójára a potenciális fenyegetések elleni védekezés érdekében, mivel a CVE-2023-38203 megoldására hozott javítások megszakítják az exploit láncot.
Forrás: thehackernews.com
