+36304177429 info@datad.hu

MMS ujjlenyomat” technológia: Az adatvédelem új kihívásai

Kiberbiztonság új kihívása: Az MMS ujjlenyomat módszer

A digitális kor hajnalán, ahol az adatbányászat a modern aranyláz, a kiberbiztonsági fenyegetések és a kémkedési módszerek dinamikusan fejlődnek. Az NSO Csoport, egy elismert kiberbiztonsági vállalat, az „MMS Ujjlenyomat” technológiával rukkolt elő, amely új távlatokat nyit a digitális megfigyelés területén. Ez a technológia egy ghánai telekommunikációs szervezettel kötött szerződés keretében került bemutatásra, ami a használatának kiterjedt lehetőségeire utal.

Az „MMS ujjlenyomat” technológia magyarázata

A technológia lényege, hogy képes felismerni a célzott eszközök és operációs rendszerek típusát minden felhasználói interakció nélkül. Ez a bináris SMS-eken, azaz a WSP Push technológián alapul, amely előzetesen értesíti a felhasználókat az érkező MMS üzenetekről. A felhasználó eszközének a szerverrel való kapcsolatba lépésekor, az MMS letöltése során, bizonyos eszközinformációkat osztanak meg, amelyek később támadások során felhasználhatók.

Rizikók és védekezési módszerek

Az NSO Csoport által fejlesztett és az Enea által tesztelt „MMS Ujjlenyomat” módszer titokban gyűjti a felhasználói információkat, ami aggodalmakat vet fel az adatvédelem és a magánélet védelme kapcsán. Jelenleg nincs bizonyíték arra, hogy ezt a technológiát széles körben alkalmaznák, de a lehetséges következmények és a visszaélések jelentette kockázatok komoly kihívást jelentenek a kiberbiztonsági szakma számára.

A telekommunikációs szolgáltatók képesek lehetnek arra, hogy megakadályozzák ezeket a típusú támadásokat, míg a felhasználók is tehetnek lépéseket azáltal, hogy letiltják az MMS üzenetek automatikus letöltését készülékeiken. Ez az esemény rávilágít a proaktív magatartás és az információk folyamatos követésének jelentőségére a digitális védekezésben.

Az „MMS Ujjlenyomat” technológia bemutatása és annak kockázatai felhívják a figyelmet a kiberbiztonsági veszélyek folyamatos változására, kiemelve, hogy a felhasználóknak, vállalatoknak és kormányzati intézményeknek mindig ébernek és előrelátónak kell lenniük. Az NSO Csoport és más hasonló szervezetek által fejlesztett technológiák új kihívásokat jelentenek a védelmi rendszerek számára, hangsúlyozva a technológiai fejlődés nyomon követésének és a digitális védelmi stratégiák erősítésének fontosságát.

Forrás: www.securityweek.com

TIKTOK: Írországban rekord GDPR bírság

REKORD BÍRSÁG A TIKTOKNAK GDPR MEGSÉRTÉSE MIATT

A TikTok számára komoly anyagi terhet jelenthet az írek által kiszabott bírság, de mégis kérdéses, hogy ez elrettentő hatással lesz-e rájuk.

A nagy közösségi médiaplatformokat sokszor vizsgálják különböző okokból, de csak ritkán kapnak milliárdos büntetéseket. A TikTok esetében azonban ez most másképp alakult, bár a bírság kevesebb, mint amit más tech óriások már kaptak korábban.

 

A Ír Adatvédelmi Bizottság (DPC) döntése alapján a TikTok 345 millió eurós büntetést kapott.

Az eljárás évek óta tartott, és a 2020-ban elkövetett adatvédelmi jogsértések miatt indult. A hatóság szerint a TikTok nem kezelte helyesen a fiatalkorúak adatait. Az írek 2021-ben indították az eljárást, mely során a TikTok próbálta késleltetni az ügy menetét.

Már augusztusban hallottunk arról a Politico-tól, hogy a DPC esetleges büntetést szabhat ki. A vizsgálat során a hatóság a TikTok gyermekekkel kapcsolatos adatvédelmi gyakorlatait értékelte. Kiemelendő, hogy a TikTokot különösen sok fiatal használta ebben az időszakban.

A vizsgálat során többek között a „Family Pairing” felügyeleti funkciót, az alapértelmezett beállításokat és az életkor-ellenőrzést vették górcső alá. A vizsgálat során több hiányosságot is találtak, és kiderült, hogy a TikTok alapértelmezésben minden profilt nyilvánosságra állított, ami ellentmond a GDPR szabályozásnak.

Az ír hatóság az Európai Adatvédelmi Testülettel is egyeztetett, így széleskörű szakértelmet alkalmaztak. A vizsgálat rávilágított arra is, hogy bár a platformon csak 13 éven felülieknek lett volna szabad regisztrálni, mégis sok fiatalabb felhasználója volt.

A 345 millió eurós büntetés nem elhanyagolható. Ezelőtt a TikTok még nem kapott ekkora büntetést. A platform azonban a közelmúltban több szabályozást is igyekezett betartani, így az elrettentő hatás kérdéses.

2020-ban a Meta 405 millió eurós büntetést kapott, mivel az Instagram nem kezelt helyesen bizonyos adatokat. Ezen kívül már láthattunk 1,2 milliárd eurós bírságot is, amit a Meta kapott.

A GDPR alapján a legnagyobb büntetés a cég előző éves bevételének 4%-a lehet. Nagy tech cégek esetében ez jelentős összeg lehet, de kisebb vállalatoknál a maximum büntetés 10 és 20 millió euró között mozog.

 

Éjféli Hóvihar: Orosz Hackercsoport Fertőzött Microsoft Teams Fiókokat Használ

Orosz támadók a Microsoft Teams-en: Adatlopásra irányuló próbálkozások

A Microsoft információi szerint egy orosz hackertársaság, mely állítólag a kormány érdekeit szolgálja, a Microsoft Teams alkalmazást használja információk gyűjtésére különböző szervezeteknél.

Microsoft Tájékoztatása

A Microsoft nemrég tette közzé, hogy egy, az orosz államhoz köthető hackercsoport a Teams szolgáltatást veszi célkeresztbe adatszerzési céllal.

Az Redmond-i Biztonsági Csapat elemzései alapján a támadók az orosz SVR hírszerzés tagjai lehetnek. Több támadást is intéztek állami, médiás és technológiai intézmények ellen.

‘Éjféli Vihar’ Cselekményei

Az ‘Éjféli Vihar’ néven ismert társaságot korábban a Microsoft Nobeliumként azonosította. Kimutatták, hogy a társaság megfertőzött Microsoft 365 fiókokkal trükközik, és új, megtévesztő domaineket hoz létre.

Ezen hamis domainek segítségével a támadók a Teams alkalmazáson belül próbálnak meg hozzáférni információkhoz, felhasználói tevékenységeket manipulálva és az MFA azonosítását kikerülve.

Az érintett támadások száma alacsony, ami arra utal, hogy célzott kiberincidensekről van szó, főleg az USA és Európa területén.

A támadások részletesebb elemzése

A Microsoft szakemberei alapos jelentést is összeállítottak a támadásokról, különösen a támadók által használt domainnevek vizsgálatára összpontosítva.

„A támadások hatékonyságának növelése érdekében a kiszemelt kisebb vállalkozások Microsoft 365 fiókjait manipulálták. Módosították a fertőzött fiók nevét, hozzáadva egy ‘onmicrosoft.com’ végződést, és új fiókot hoztak létre ezen a domainen, ahonnan üzeneteket küldtek a célpontoknak.”

Sikeres beavatkozás esetén a támadók elérhetik a célpont Microsoft 365 fiókját és más szolgáltatásokat is, megkerülve az azonosítási procedúrát.

Bejutás után képesek információkat lopni, és elérhetik más Microsoft 365 szolgáltatásokat is, mint például az Azure platformot.

Védekezés és hatások

A Microsoft bejelentette, hogy észlelték a támadásokat és az adatszerzési kísérleteket. Néhány esetben a támadó hozzápróbált adni eszközöket a vállalati hálózathoz, amelyek a Microsoft Entra ID segítségével kommunikálnak. Ezzel a támadó képes megkerülni azokat a hozzáférési szabályokat, amelyek csak engedélyezett eszközökre érvényesek.

A cég aktívan dolgozik a támadások azonosításán és megállításán, és azt tanácsolja a felhasználóknak, hogy mindig legyenek résen minden kétes üzenettel vagy kéréssel kapcsolatban.

Forrás: www.securityweek.com

746 millió euró az új GDPR gigabírság

A szokásos EU-s bürokrácián felülkerekedve, elég gyorsan döntött Luxembourg az Amazont sújtó 746 millió eurós rekord GDPR-bírságról.

A DATA D blogján júniusban írhattunk arról a pletykáról, hogy Európa egyik legkisebb állama, Luxembourg a legnagyobb GDPR bírságot készül kiszabni az Amazon online kereskedő óriásra. A

kkor még az elemzők sem sejthették, hogy az ügy hamar átszalad az EU bürokrata gépezetén és már idén nyáron, pontosabban július 16-án kirótta a 746 millió eurós gigabírságot.

Lazán kezelik a személyes adatokat

A bírságot a luxembourg-i adatvédelmi hatóság (CNDP) azért szabta ki, mert az amerikai kereskedő óriás eléggé lazán kezeli a felhasználók személyes adatait, ahogy azt a Politico magazin vizsgálata is alátámasztotta 2018-ban. A hatóságok azt kifogásolták, hogy az Amazon elítélendő módon csikarta ki a hozzáegyezést ügyfeleiből, hogy célzott hirdetésekkel bombázza majd őket.

Akkoriban a helyi adatvédelmi hatóság képviselője azt nyilatkozta, hogy nem az óriási bírságokkal tudják megvédeni az európai felhasználók személyes adatait. A helyzetet másképp látta Viviane Reding, az ország ellenzéki képviselője (nem mellesleg a GDPR szülőanyja), aki erőteljesen bírálta gyengeségük miatt a helyi hatóságokat.

Civilek jelentették fel őket

A cikk nyomában végül egy civil szervezet, a francia La Quadrature de Net jelentette fel az Amazont a luxembougi adatvédelmi hatóságnál, ezután kezdett el vizsgálódni az adatvédelmi hatóság. Idén a The Wall Street Journal szellőztette meg a rekordbírság lehetőségét.

Az Amazon rögtön meg is támadta a határozatot. Szerintük a luxembourgi adatvédelmi hatóság döntése megalapozatlan és nyomatékosan védekezni fognak a vádak ellen. Azért Luxembourg adatvédelmi hatósága járt el az ügyben, mert az Amazon itt jelentette be európai székhelyét – a kis ország laza adótörvényeiről közismert.

2020 legnagyobb GDPR bírságai – második rész

Előző cikkünkben az öt eddigi legnagyobb GDPR bírságot, azok okait soroltuk fel cikkünkben. A utolsó öt helyezett között is vannak szép számmal milliós tételek.

A GDPR 2018 májusa óta védi a személyes adatainkat, azóta több adatvédelmi hatóság aktivizálta magát és szabott ki bírságokat. Az egyik módja a GDPR bírság elkerülésének, ha megfelelő szabályzattal és adatvédelmi előírásokkal fegyverkezünk fel. Ha rendszeresen átnézzük és töröljük a nem szükséges adatokat, azzal megelőzzük, hogy ezek az adatok a vállalaton kívülre kerüljenek – vagyis GDPR szempontból jelentésköteles esemény történjen.

6. Wind – 17 millió euró

Az olasz adatvédelmi hatóság bírságolt újból, most a Wind távközlési vállalat marketing gyakorlatát tartotta GDPR ellenesnek. A büntetés összege 16 729 600, vagyis kevéssel marad el a címben szereplő 17 milliótól, 2020. július 13-án szabták ki.

Az adatvédelmi hatóságok azután kezdték el vizsgálni a távközlési céget, hogy panaszok érkeztek a vállalat marketing kommunikációs gyakorlata ellen. A szolgáltató rendszeresen kéretlen reklámokkal bombázta az olaszokat. A spam emailekről történő leiratkozást nem megfelelő címek megadásával lehetetlenítette el.

A vállalat visszatetsző tevékenysége itt még nem ért véget: a mobil alkalmazás felhasználókat arra kényszerítették, hogy a direkt marketing tevékenységet és a felhasználó helyzetének követését engedélyezzék, ugyanakkor a cég üzleti partnerei illegálisan gyűjtöttek adatokat a felhasználókról.

7. Google – 7 millió euró

A svéd adatvédelmi hatóság egy 2017 óta tartó ügy miatt döntött a 7 millió eurós bírság mellett., melyet 2020 márciusában szabtak ki. A középpontban a felejtéshez való jog volt: a GDPR szerint a magánszemélyek kérhetik a keresési találatok törlését a Google találatai közül, ha azok a találatok elévült, számukra negatív információt tartalmaznak.

Ezt a Google úgy hajtotta végre, hogy minden esetben értesítette az adott weboldal üzemeltetőjét, hogy az adott címen lévő tartalmat ezentúl nem jeleníti meg a keresési találatok között. Erre válaszul a weboldalok üzemeltetői egy másik címre tették át általában a tartalmat, ami újból megjelent a keresési találatok között. A svéd adathatóság szerint így sohasem felejtődnek el a lejárt szavatosságú információk. A Google-nak változtatnia kell ezen a gyakorlaton.

8. BBVA – 5 millió euró

A spanyol adatvédelmi hatóságról van ebben az esetben szó, a pénzügyi szolgáltató BBVA vagyis Banco Bilbao Vizcaya Argentaria kapta a magas bírságot, 2020. december 11-én.

A hatóságok szerint a pénzügyi szervezet a felhasználók beleegyezése nélkül küldött SMS üzenetekben reklámokat. Emiatt 3 millió eurós büntetést szabott ki. A fennmaradó 2 millió euró bírságot azért kapta a bank, mert nem tudták pontosan elmagyarázni, hogyan gyűjtötték és használták fel az ügyfelek személyes adatait.

9. AOK 1,24 millió euró

A német adatvédelmi hatóságok munkájának eredménye ez a bírság, 2020. június 30-án szabták ki. Az ok: az egészségügyi biztosító, Allgemeine Ortskrankenkasse (AOK) az ügyfelek személyes adatait, közöttük az egészségügyi biztosítás információit felhasználva versenyeket és sorsolásokat indított. Az AOK igyekezett megszerezni a felhasználók hozzájárulását, de nem minden esetben sikerült. És azok is részt vettek a marketing akciókban, akiknek a hozzájárulása hiányzott.

10. BKR – 830 ezer euró

Az utolsó helyezett már egymillió euró alatti bírság, de így is tetemes. A holland hatóságok szabták ki, a BKR a nemzeti hitelinformációs adatbázis. Amit a hatóságok kifogásoltak, hogy a BKR csupán évente egyszer és papíralapon engedélyeztek hozzáférést adataikhoz, más esetekben ezért fizetni kellett. Az intézmény fellebbezése a bírság ellen még folyamatban.