Теги → безопасность данных
Быстрый переход

За несколько месяцев в Сеть утекли данные более 8 млн пользователей сервисов доставки еды

C начала февраля по середину мая в интернете были опубликованы данные более чем 8 млн пользователей сервисов доставки еды. Об этом пишет РБК со ссылкой на данные сервиса DLBI, который специализируется на изучении утечек данных и мониторинге даркнета.

 Источник изображения: Pixabay

Источник изображения: Pixabay

За отчётный период крупнейшие утечки данных были зафиксированы у сервисов «Яндекс.Еда» (более 6,8 млн пользователей) и «Два берега» (780 тыс. пользователей). Замыкает тройку лидеров сайт hgclub.ru, который принадлежит оператору ресторанных сетей «Росинтер Ресторантс Холдинг». Согласно имеющимся данным, 2 мая в свободный доступ попали данные 106 тыс. клиентов компании. Ещё несколько утечек пришлось на региональные сервисы с небольшим количеством клиентов.

На этой неделе стало известно об утечке данных клиентов крупнейшего сервиса доставки еды в России Delivery Club. В компании не озвучили число пострадавших, но сообщили, что банковские реквизиты клиентов не были похищены. По данным Telegram-канала In4security, утекшая база данных клиентов Delivery Club содержит более 250 млн строк с персональными данным пользователей, в том числе их Ф.И.О., адреса и информацию о заказах. В DLBI рассказали, что выложенный злоумышленниками образец базы данных состоит из около 1 млн строк, которые содержат Ф.И.О. пользователей сервиса, телефонные номера, адреса доставки, адреса почтовых ящиков и др. Из дат и времени следует, что в базе содержится информация о заказах, сделанных в период с 24 мая 2020 года по 4 июля 2021 года.

«Каков реальный объём клиентских данных во всей базе, сказать сложно, так как экстраполяция доли уникальных пользователей в пробнике даёт 50 млн клиентов, что вряд ли возможно. Однако можно говорить, что если реальный объём утечки соответствует заявленным 250 млн строк, то в руки злоумышленников попала большая часть или вся база заказов Delivery Club, и это — крупнейшая утечка из российских служб доставки на данный момент», — считает основатель сервиса DLBI Ашот Оганесян.

Министерство юстиции США освободило «белых» хакеров от ответственности

Министерство юстиции США опубликовало документ, разъясняющий, что деяния, подпадающие под действие закона «О компьютерном мошенничестве и злоупотреблениях» (Computer Fraud and Abuse Act, CFAA), принятого ещё в 1984 году и обновлённого в 1986-м, не должны повлечь за собой уголовное преследование, если они совершены для «добросовестных исследований в области IT-безопасности».

 Источник изображения: Pexels/pixabay.com

Источник изображения: Pexels/pixabay.com

На момент принятия и корректировки закона специалистов по кибербезопасности просто не существовало. Кроме того, старые определения допускали такое широкое толкование, что уголовному преследованию мог подвергнуться любой, включая офисных сотрудников, проверяющих личную почту на рабочем месте.

Согласно документу министерства, добросовестными исследованиями в сфере IT-безопасности считаются факты использования компьютера «исключительно для тестирования, расследования и/или исправления проблем систем безопасности или поиска уязвимостей, если подобная деятельность проводится в форме, не допускающей вреда отдельным лицам или общественности», а полученная информация используется для защиты «устройств, машин или онлайн-сервисов». В документе упоминается, что министерство не заинтересовано в преследовании добросовестных исследователей, так называемых «белых» хакеров, выявляющих уязвимости ради всеобщего блага.

До недавних пор, согласно CFAA, любой, пытавшийся получить доступ к файлам, компьютерам, вычислительным системам и даже чужим сайтам, мог стать объектом для преследования правоохранительными органами США даже при наличии законного доступа к системе. Впрочем, «добросовестное исследование в сфере безопасности» — тоже довольно расплывчатый термин, хотя эксперты признают, что он несколько лучше старых определений, предусмотренных законом.

Верховный суд США постановил большинством голосов, что указанный в законе термин «злоупотребление авторизованным доступом» — слишком расплывчатое определение, и оно не должно касаться случаев несанкционированного использования систем, к которым граждане имеют легальный доступ, поскольку из-за этого уголовная ответственность предусмотрена для огромного количества ежедневных действий пользователей с компьютерами.

 Источник изображения: ernestoeslava/pixabay.com

Источник изображения: ernestoeslava/pixabay.com

В качестве примера были приведены случаи «приукрашивания» профилей пользователей в приложениях для знакомств, создание недостоверных аккаунтов при устройстве на работу или поиске жилья для аренды, использование псевдонимов на сайтах, политика которых запрещает их использование, проверка результатов спортивных матчей на работе или, например, оплата счетов с рабочего компьютера — формально все эти действия могут расцениваться законом как федеральное преступление.

Согласно заявлению Министерства юстиции, теперь его ресурсы будут концентрироваться на случаях, когда подсудимый не был авторизован для использования компьютера вообще или имел легальный доступ лишь к одному из его сервисов, например, электронной почте, а вместо этого разыскивал в памяти машины материалы, не имеющие к пользователю никакого отношения, например, письма других пользователей. С текстом документа можно ознакомиться на сайте Министерства юстиции США.

В Delivery Club обнаружена утечка данных о заказах пользователей

Сервис доставки еды и продуктов, медикаментов, товаров для красоты и товаров для дома Delivery Club сообщил об утечке данных о совершённых некоторыми пользователями заказах.

 Источник изображения: pixabay.com / TheDigitalArtist

Источник изображения: pixabay.com / TheDigitalArtist

Похищенная информация включает только сведения о заказах и не затрагивает банковские реквизиты. В компании уже занимаются внутренним расследованием, обещая провести дополнительный аудит внутренних систем.

«В компании занимаются внутренним расследованием инцидента. Слив не затронул информацию о банковских реквизитах пользователей. Судя по всему, масштаб текущей утечки гораздо меньше, чем это было ранее с другим сервисом доставки», — отметили в Delivery Club.

 Источник изображения: pixabay.com / geralt

Источник изображения: pixabay.com / geralt

Напомним, в начале марта стало известно об утечке информации из базы службы «Яндекс.Еда». Утечка не коснулась банковских, платёжных и регистрационных данных пользователей, то есть логинов и паролей. Тем не менее, более 30 клиентов службы обратились в суд, требуя каждый по 100 тыс. рублей в качестве компенсации.

Минцифры готовится ввести оборотные штрафы в размере 1 % за утечки данных и ещё больше — за сокрытие инцидентов

До конца текущего года российские власти могут ввести оборотные штрафы для бизнеса за утечки персональных данных в размере 1 % от годового оборота. При этом неуведомление об утечке может повлечь гораздо более суровое наказание.

 Источник изображения: TBIT/pixabay.com

Источник изображения: TBIT/pixabay.com

Как сообщает ТАСС со ссылкой на главу департамента обеспечения кибербезопасности Минцифры России Владимира Бенгина, выступавшего на форуме по практической безопасности Positive Hack Days, у министерства имеются предложения, которые хочется внедрить «буквально завтра».

«Мы хотим ввести оборотные штрафы <...> в ближайшей перспективе, до конца этого года. <...> Наше мнение, что штраф должен быть очень большой, <...> 1% от годового оборота [компаний]», — заявил представитель министерства.

Он добавил, что Минцифры готовит не менее важное изменение в законодательство — федеральный закон, согласно которому организации будут обязаны уведомлять об утечке персональных данных. Если компания не уведомит об инциденте, «штраф должен быть гораздо больше, чем штраф только за утечку». Бенгин отметил, что утечки очень сложно скрыть. Об этом косвенно свидетельствует недавнее пополнение нелегальной базы, в которой имеются данные из известных в России компаний и сервисов.

В прошлом месяце о намерении ввести чувствительные оборотные штрафы за утечки персональных данных сообщал сам руководитель Минцифры Максут Шадаев.

Samsung представит собственное решение для защиты от голосового фишинга

Компания Samsung Electronics представит решение, блокирующее установку вредоносных приложений для т. н. голосового фишинга (вишинга) на смартфонах. Известно, что оно будет применяться как минимум на моделях текущего и прошлого флагманских поколений.

 Источник изображения: Zazu70/pixabay.com

Источник изображения: Zazu70/pixabay.com

Как сообщает южнокорейское издание Business Korea, вчера компания анонсировала новое решение в сфере безопасности для смартфонов флагманских серий Galaxy S21 и S22, которое станет доступным в первой половине текущего года. Оно будет уведомлять пользователей, распознавая вредоносные приложения, устанавливаемые в обход официального маркетплейса.

По словам представителя Samsung Electronics, система «блокирует установку приложений с подтверждённой историей голосового фишинга и демонстрирует предупреждение или всплывающее уведомление о блокировке, когда устанавливается приложение из неизвестного источника».

Пользователи смогут увидеть список не идентифицированных приложений и назначить разрешения и запреты для каждого из них. После применения нового инструмента, если пользователь выберет «запретить все установки из неизвестных источников», их установка будет заблокирована.

Samsung планирует постепенно внедрять решения для всех смартфонов Galaxy с оболочкой One UI 4.1 или новее, сначала в Корее.

Многие из 100 тыс. популярных сайтов собирают данные из ещё не отправленных пользователями веб-форм

Университет Неймегена совместно с Лозаннским университетом провели исследование, согласно результатам которого многие из 100 тыс. наиболее популярных сайтов в глобальной сети собирают данные из веб-форм до того, как заполнивший их пользователь нажмёт кнопку «Отправить». И делается это без ведома последнего.

 Источник изображения: hitesh0141/pixabay.com

Источник изображения: hitesh0141/pixabay.com

Выяснилось, что многие сайты собирают персональные данные, включая адреса электронной почты пользователей, при помощи интегрированных сторонних трекеров, используемых в рекламных и маркетинговых целях. Университеты исследовали в автоматическом режиме поведение 100 тыс. популярных сайтов в случае их посещения пользователями из США и ЕС. Выяснилось, что 1844 ресурса «захватывали» данные, включая адреса электронной почты, у посетителей из ЕС. В случае с посетителями из США фактической кражей данных занимались 2950 из этих же сайтов.

В большинстве случаев трекеры принадлежали компаниям Meta* и TikTok, получавших данные пользователей с посещаемых ими страниц. Тем не менее, исследователи выявили 41 прежде неизвестный домен трекеров. Проводя исследование, эксперты сознательно игнорировали случаи, когда сайты имели, вероятно, «легитимные» причины для сбора информации, например, для проверки по базе сайта аналогичных имени пользователя или почтового адреса.

Известно, что в США трекеры собирают данные на сайтах USA Today, Business Insider, Fox News, Time и Trello, а в ЕС на сайтах Independent, Shopify, Newsweek и Marriott. Утверждается, что на 52 сайтах сторонние сервисы собирали пароли из форм.

 Источник изображения: StockSnap/pixabay.com

Источник изображения: StockSnap/pixabay.com

По итогам исследования эксперты порекомендовали пользователям всегда исходить из того, что вводимая в веб-форму информация собирается трекерами, даже если пользователь никогда не инициирует отправку — проблема требует повышенного внимания со стороны разработчиков браузеров, специалистов по кибербезопасности и специального защитного ПО.

Помимо «обычного» сбора адресов в некоторых случаях трекеры Meta* и TikTok собирали хешированные персональные данные. Предполагается, что сбор происходит из-за того, что скрипт Facebook* ложно интерпретирует клики по любым кнопкам как подтверждение отправки форм. Представители Meta* и TikTok пока не комментировали запросы СМИ.

Известно, что Apple и другие компании уже начали блокировать сторонние файлы cookie и трекеры для обеспечения безопасности пользователей, но идея сбора адресов электронной почты слишком привлекательна, чтобы маркетологи отказались от неё полностью.

Также известно, что адреса электронной почты служат в качестве «идеального идентификатора» для отслеживания посещений разных платформ в долгосрочной перспективе, особенно в сравнении с другими параметрами. Подробная информация будет представлена на конференции Usenix в августе.


* Внесена в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности».

Новый инструмент Google позволит пользователям удалять информацию о себе из результатов поиска

Многие пользователи вбивали своё имя в строку поиска Google, желая узнать, какая информация о них хранится на просторах интернета. Теперь техногигант разработал инструмент, позволяющий быстро и эффективно удалять персональные данные из поисковой выдачи.

 Источник изображения: Google

Источник изображения: Google

Скоро появится возможность легко контролировать наличие персональной информации в поиске Google — это может несколько успокоить тех, кто опасается наличия в открытом доступе своих контактов и адресов.

Не так давно компания обновила свою политику, благодаря чему люди теперь могут запросить удаление из поисковой выдачи важных персональных данных, включая контактные сведения вроде телефонных номеров, адресов электронной почты или домашнего адреса.

Теперь задача максимально упростится. При обнаружении пользователем в выдаче Google ресурсов с персональной информацией можно будет быстро запросить их удаление из поиска несколькими кликами и отслеживать статус таких запросов. Функция будет доступна в ближайшие месяцы в приложении Google для смартфонов, а до этого запрос на удаление информации можно делать со страницы поддержки.

В Google обещают оценивать, не нарушает ли запрос на удаление информации права пользователей на доступ к другим общественно полезным данным, например, новостям. Кроме того, удаление информации из Google вовсе не означает её полного исчезновения из Сети — она может быть легко обнаружена другими поисковиками, поэтому по возможности стоит обратиться к владельцам самого сайта, если они готовы идти на сотрудничество.

Новые правила ЕС потребуют от мессенджеров сканировать сообщения для выявления правонарушений

Еврокомиссия готова предложить новые правила, согласно которым приложения мессенджеров вроде WhatsApp или Facebook* Messenger будут выборочно сканировать сообщения пользователей в поисках материалов, связанных с сексуальным насилием над детьми (т.н. CSAM) и попытками домогательств до несовершеннолетних со стороны взрослых. Проект раскритиковали эксперты по информационной безопасности и правозащитники.

 Источник изображения: alberthbq/pixabay.com

Источник изображения: alberthbq/pixabay.com

После того, как данные о законопроекте появились ранее на этой неделе, он немедленно подвергся критике ряда групп и экспертов. По словам одного из них, «документ представляет самую страшную вещь из тех, что он когда-либо видел». Некоторые специалисты заявляют, что это один из самых «постыдных» законов, полностью несовместимый с любой свободной демократией. В частности, закон предусматривает ряд новых обязательств для «онлайн-провайдеров сервисов», включая магазины приложений, хостинг-сервисы и любых провайдеров «сервисов межличностного общения».

Наиболее суровые нормы будут применяться к популярным мессенджерам. Так, после получения запроса от властей администрация мессенджера обязана будет сканировать сообщения указанных властями пользователей в поисках материалов, связанных с сексуальным насилием в отношении детей, а также фактов домогательств — это потребует использования инструментов машинного зрения и систем ИИ для анализа контекста фото и текстов. Запросы будут делаться правоохранительными органами отдельных государств. Тем не менее, в документе отсутствует определение того, как именно будут «таргетироваться» запросы — на отдельных личностей, сообщества или более широкие категории пользователей.

 Источник изображения: iAmMrRob/pixabay.com

Источник изображения: iAmMrRob/pixabay.com

Критики утверждают, что подобные запросы могут быть использованы для слежки за большими группами. По мнению некоторых экспертов, законопроект «оставляет дверь открытой для намного более обобщённой слежки». Кроме того, в случае принятия закон сможет полностью свести на нет систему сквозного шифрования. Хотя оно не запрещается в документе, компании будут обязаны использовать в своих системах программное обеспечение, способное идентифицировать CSAM-контент, что сделает сквозное шифрование практически невозможным. Поскольку правила ЕС оказывают влияние на цифровую политику во всех частях света, аналогичные нормы могут распространиться и на всю планету.

По словам представителя правозащитной организации Electronic Frontier Foundation, отсутствует способ сделать то, что намерен сделать ЕС, без массового сканирования сообщений. Если проект станет законом, это приведёт к нарушению конфиденциальности пользователей не только в ЕС, но и по всему миру.

Кроме того, в случае «домогательств» обнаружение контента потребует использования специальных инновационных алгоритмов, в результате чего неизбежны ошибки и попадание в поле зрения правоохранительных органов невиновных пользователей мессенджеров. В качестве примера неэффективности подобных инструментов правозащитники приводят спам-фильтры, постоянно ошибающиеся в оценке контента.


* Внесена в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности».

Российская Positive Technologies занялась ликвидацией последствий кибератаки на Rutube

Печально прославившийся из-за недавней кибератаки видеохостинг Rutube привлёк для ликвидации последствий крупного инцидента несколько экспертных команд. Как сообщает агентство ТАСС, после виртуального нападения на сервис 9 мая восстановлением функциональности займутся специалисты российской Positive Technologies.

 Источник изображения: mohamed_hassan/pixabay.com

Источник изображения: mohamed_hassan/pixabay.com

Как сообщается в Telegram-канале Rutube, «для расследования атаки и устранения её последствий привлечены несколько экспертных команд, в частности, команда специалистов экспертного центра безопасности Positive Technologies (PT Expert Security Center). Эксперты Positive Technologies уже вторые сутки вместе с сотрудниками Rutube занимаются решением проблемы».

По данным Positive Technologies, за два дня экспертам удалось понять «основной инструментарий», благодаря которому атака хакеров увенчалась успехом. По словам главы отдела реагирования информационной безопасности экспертного центра безопасности Positive Technologies Дениса Гойденко, работы много из-за большой и комплексной инфраструктуры Rutube. Компания старается «найти во всех частях инфраструктуры Rutube весь инструментарий хакеров, чтобы перекрыть хакерам возможные пути возвращения».

По данным пресс-службы Rutube, атака оказалась самой мощной за всю историю видеохостинга. Тем не менее утверждается, что злоумышленникам не удалось получить доступ к видеоархиву и вся библиотека хранится на серверах сервиса, а исходный код не повреждён.

При этом в Rutube отмечают, что атака привела к поражению 75 % баз и инфраструктуры основной версии сервиса и 90 % резервных копий и кластеров, предназначенных для восстановления баз. В результате каждый из сотен серверов приходится восстанавливать в ручном режиме, поэтапно ликвидируя последствия атаки. Пока нет точных данных, когда платформа намерена возобновить работу. Не называются и причины, которые привели к катастрофическим для сервиса последствиям.

Власти Москвы включат камеры видеонаблюдения ночных клубов в общегородскую систему

Мэрия Москвы обратилась к руководству ночных клубов с просьбой обеспечить передачу в реальном времени видео с камер видеонаблюдения в общегородскую систему видеомониторинга, к которой имеют доступ и правоохранительные органы. Как сообщает «Коммерсантъ», видео будет передаваться в общегородской центр обработки данных с возможностью последующего распознавания лиц.

 Источник изображения: stux/pixabay.com

Источник изображения: stux/pixabay.com

По данным источников «Коммерсанта», уже с апреля некоторые заведения обязали обеспечить подключение систем видеонаблюдения к Единому центру хранения данных (ЕЦХД) столичной мэрии. В частности, на его базе функционирует система распознавания лиц, управлением которой занимается департамент информационных технологий города. За реализацию проекта отвечает префектура Центрального административного округа, причём владельцы клубов обязаны будут подписывать гарантийные письма с оговоренными сроками установки необходимого оборудования.

По некоторым данным, в первую очередь речь идёт о подключении к центру камер на входах в клубы. При этом системы видеонаблюдения должны соответствовать требованиям оборудования ЕЦХД, поэтому быстрой реализации проекта не предвидится. По имеющимся у издания сведениям, разрешение камер должно быть не ниже 720p, скорость передачи видео — не ниже 1-4 Мбит/с, а фреймрейт — от 15 до 25 FPS. Известно, что аналогичные требования предъявлялись владельцам столичных торговых центров в 2021 году — в первую очередь для выявления объектов, на которых не соблюдался масочный режим.

По официальным данным, в Москве работают 213 тыс. камер, данные из которых поступают в ЕЦХД. В частности, доступ к ним имеют правоохранительные органы, а материалы могут использоваться для распознавания лиц, соответствующая система ежегодно масштабируется. Так, в прошлом году она стала использоваться для оплаты проезда в метрополитене с помощью FacePay, а в дальнейшем её планируется использовать и в наземном транспорте. По некоторым сведениям, основной идеей является интеграция на первом этапе систем видеонаблюдений государственных компаний, после чего — коммерческих организаций.

По мнению экспертов, хотя ночные клубы могут формально согласиться с использованием их камер, в реальности проект будет часто саботироваться различными способами, от использования недостатков камер и систем передачи данных до установки видеонаблюдения в неподходящих, тёмных местах — иначе клубы рискуют потерять значительное количество клиентов, даже самые законопослушные из которых вряд ли хотели бы, чтобы данные об их ночных похождениях хранились в единой общегородской системе.

Индийское госагентство предупредило о необходимости срочного обновления Chrome

Занимающееся обеспечением кибербезопасности правительственное индийское агентство CERT-In предупредило о наличии критических уязвимостей в браузере Google Chrome для настольных компьютеров. Эксперты назвали риск «высоким» и обозначили версии обозревателя, небезопасные для пользователей.

 Источник изображения: pixel2013/pixabay.com

Источник изображения: pixel2013/pixabay.com

По данным CERT-In, версии, вышедшие раньше Google Chrome 101.0.4951.41, уязвимы для внешнего воздействия. Подчёркивается, что уязвимости могут не только использоваться для исполнения произвольного кода на компьютере пользователя, но и для получения важной персональной информации.

Для того, чтобы сохранить свои системы в безопасности, необходимо обновить браузер до версии Google Chrome 101.0.4951.41 или более поздней версии. Любая ранняя версия может стать лёгкой целью атак со стороны хакеров, что приведёт к потере важных данных.

 Источник изображения: Google

Источник изображения: Google

По данным портала BGR, существование проблемы признала и Google, упомянувшая существование 30 уязвимостей, семь из которых являются угрозами высокого уровня. Пострадать могут пользователи платформ Windows, Mac и Linux. В самой Google заявили, что доступ к детальной информации об уязвимостях будет ограничен до тех пор, пока большинство пользователей не обновят программное обеспечение. Кроме того, ограничения сохранятся, если проблемы существуют и в библиотеках сторонних приложений и они ещё не устранены. Google заявила, что уже выпускает обновления для Windows, Mac и Linux и большинство желающих смогут получить их в ближайшие дни или недели.

Если браузер ещё не обновился автоматически, необходимо нажать в верхнем правом углу браузера три вертикальные точки, выбрать раздел «Настройки», после чего выбрать подраздел «Справка», «О браузере», обновление обычно начинается автоматически. После того, как оно состоялось, необходимо перезапустить браузер.

Преступники стали массово красть персональные данные, с помощью запросов от имени полиции

Злоумышленники всё чаще пытаются получить конфиденциальную информацию о клиентах IT-гигантов вроде Google, Apple и прочих, маскируясь под представителей правоохранительных органов разных стран. Жертвами в результате становятся пользователи самых разных возрастных категорий.

 Источник изображения: geralt/pixabay.com

Источник изображения: geralt/pixabay.com

Как сообщает «Коммерсант», запросы персональных данных со стороны полиции и спецслужб у представителей тех или иных компаний стали насколько обыденным делом, что ответственные лица часто не удосуживаются проверять реальные полномочия обращающихся за информацией. Проведённое журналистами и специалистами по кибербезопасности расследование показало, что в последнее время получить информацию с помощью ложных запросов становится всё проще, причём такого рода атакам подвергаются не только малоизвестные компании, но и гиганты вроде Google, Apple, Snap, Twitter, Discord и др.

Речь идёт об имитации т. н. экстренных запросов данных (Emergency Data Request или EDR). Они не требуют судебной санкции на получение информации и сведения может получить буквально любой сотрудник правоохранительных органов. Хотя удовлетворять такие запросы компании не обязаны и процедура их валидации отсутствует, сотрудники часто идут навстречу, поскольку оперативное предоставление информации может спасти чью-то жизнь — в случае террористической угрозы, похищения ребёнка и т. д. Этим и пользуются злоумышленники.

По статистике, техногиганты удовлетворяют большую часть экстренных запросов, в том числе с поступающих с похожих на реальные почтовых адресов. Если злоумышленникам удаётся найти в Сети и похожую на настоящую форму запросов, задача упрощается. Часто в группировках хакеров состоят буквально подростки, продающие полученные от техногигантов данные об отдельных пользователях буквально за $100-200, иногда значительно дешевле.

По некоторым данным речь идёт не только о краже финансовой информации. Получая данные об аккаунтах пользователей и, иногда, даже доступ к их компьютерам, жертв из числа несовершеннолетних и женщин часто склоняют к интимным съёмкам, разговорам на интимные темы и прочей активности, причём часто злоумышленники выступали от лица представителей правоохранительных органов, что способно было ещё больше запугать жертв. Часто информация о жертвах размещалась и на различных сайтах, посетители которых активно присоединялись к шантажу и буллингу.

 Источник изображения: geralt/pixabay.com

Источник изображения: geralt/pixabay.com

По мнению экспертов, защититься от таких действий крайне сложно, буквально единственным способом является вариант вообще не иметь никаких аккаунтов в социальных сетях.

Хотя многие социальные сети и другие крупные компании имеют специальные интерфейсы для взаимодействия с правоохранительными органами, часто они отвечают и на обычные почтовые запросы, поскольку иногда информация нужна срочно, а запросы направляются из десятков стран, причём часто сведения запрашивают местные полицейские участки, имеющие очень мало возможностей для связи с администрацией той или иной компании.

Реальные инструменты борьбы со злоумышленниками пока отсутствуют, но власти многих стран начинают обращать внимание на существование проблемы — пути её решения на государственном уровне ещё предстоит найти.

Илон Маск заявил о необходимости сквозного шифрования личных сообщений в Twitter

Будущий владелец Twitter Илон Маск (Elon Musk) неоднократно критиковал существующую политику и инструментарий социальной сети, а также часто делился своими взглядами на функциональность подобных площадок вообще. Хотя миллиардеру уже указали на то, что не всё в этом бизнесе будет идти по его правилам даже в случае покупки Twitter, его реформаторский пыл не остыл — недавно Маск сообщил о необходимости сквозного шифрования личных сообщений в Twitter.

 Источник изображения: TheDigitalArtist/pixabay.com

Источник изображения: TheDigitalArtist/pixabay.com

Сквозное шифрование (E2EE), как в Signal, Telegram и других безопасных мессенджерах, позволяет обеспечить гораздо более безопасную связь пользователей, причём содержание пересылаемых сообщений недоступно даже самим администраторам платформ.

Маск выступил с соответствующим сообщением всего через несколько дней после заключения соглашения о покупке социальной сети. Использование E2EE, по мнению Маска, позволит улучшить Twitter. Кроме того, целями платформы должно стать появление новых функций, открытие алгоритмов сети для укрепления доверия, победа над спам-ботами и всеобщая аутентификация людей.

«Личные сообщения Twitter должны поддерживать сквозное шифрование, как у Signal, чтобы никто не смог шпионить за вами или взламывать сообщения», — завил Маск в одном из последних твитов.

 Источник изображения: twitter.com/elonmusk

Источник изображения: twitter.com/elonmusk

Пока личные сообщения в Twitterв том виде, в котором она существует сегодня, видны отправителю, получателю и администраторам Twitter, имеющим необходимый уровень допуска. Для рядового пользователя это означает, что его якобы «личные» сообщения отнюдь не являются личными и, помимо штата социальной сети (даже если тот работает добросовестно), могут стать доступными буквально всем желающим, от сотрудников правоохранительных органов до хакеров. В результате содержание переписки иногда может представлять реальную угрозу для пользователей.

Сквозное шифрование помогает предотвратить доступ посторонних к личным сообщениям — пересылаемые материалы шифруются и перехватить такой контент практически невозможно, поскольку в теории необходимые криптографические ключи имеют только отправитель и получатель.

Хотя большинство пользователей приветствуют использование подобных методов шифрования, прочие заинтересованные стороны, включая правоохранительные органы и спецслужбы всего мира, а также всевозможные некоммерческие группы, выступают против подобной защиты, поскольку она якобы помогает преступникам уйти от ответственности.

Миллиард устройств Интернета вещей был атакован злоумышленниками в прошлом году

По мере распространения умных устройств, интегрируемых в систему Интернета вещей, повышается и интерес к подобной электронике со стороны хакеров. Настоящие проблемы только начинаются — число атак будет нарастать, под их удар попадёт всевозможная техника, от умных розеток до автономных газонокосилок.

 Источник изображения: TheDigitalArtist/pixabay.com

Источник изображения: TheDigitalArtist/pixabay.com

Стремительный рост популярности умных устройств не остался незамеченным хакерскими группами. По данным доклада SAM Seamless Network, в 2021 году произошел миллиард атак на системы Интернета вещей. По представленной статистике, порядка половины атак осуществляется на домашние сети и микробизнесы, в числе самых распространённых — всевозможные атаки от фишинга и «брутфорса» до DDoS.

Большая часть атак пришлась на роутеры домашнего уровня, причём подобное оборудование в домах, кафе и на других площадках мелких бизнесов очень уязвимо для атак. В числе прочего популярного среди взломщиков оборудования — Wi-Fi репитеры, связанные с Сетью системы хранения данных (СХД), VoIP-оборудование, камеры и другие компактные устройства умного дома.

Большинство успешных атак, по данным доклада, стало возможно благодаря слабым мерам по обеспечению безопасности и неверно выставленным настройкам. В целом среди пользователей наблюдается недопонимание важности мер безопасности для экосистемы Интернета вещей, особенно это касается руководителей микробизнеса. Более того, многообразие операционных систем и их версий ведёт к тому, что разработчикам довольно сложно выпускать обновления безопасности для своего оборудования — многие предпочитают вообще никогда не возвращаться к обновлению ПО.

Важно, что атакующие разрабатывают сложные ботнеты, «просеивающие» интернет в поисках уязвимых устройств. Так, ботнеты Mirai и Mozi нацелены на гаджеты Интернета вещей и роутеры с 2016 года, причём вредоносное программное обеспечение получает всё больше возможностей и всё лучше скрывается от систем защиты. Тот факт, что умные гаджеты редко получают обновления, играет на руку злоумышленникам.

Доклад 2021 IoT Security Landscape компании SAM Seamless Network составлен после анализа данных, полученных от 132 млн активных устройств Интернета вещей и 730 000 сетей.

Южнокорейский оператор LG U+ запустил первую в мире PQC-линию, защищённую от взлома квантовыми компьютерами

Принадлежащий LG Electronics южнокорейский мобильный оператор LG U+ объявил о запуске первой в мире линии с «постквантовой криптографией» (PQC), способной защитить пользователей от атаки с помощью квантового компьютера, несоизмеримо более производительного, чем классические неквантовые варианты любого уровня.

LG U+ стала первым оператором в Южной Корее, запустившим PQC-сервис. Как сообщает Business Korea, соответствующая криптографическая технология в теории способна защитить информацию от атаки вычислительной системы даже в 10 млн раз производительнее среднестатистического суперкомпьютера. Она основана на сложных математических алгоритмах, на расшифровку которых уйдут триллионы лет — даже с помощью квантового оборудования.

Специализированная линия использует конфигурируемые оптические мультиплексоры ввода-вывода (ROADM), использующие PQC-технологии. Этот метод позволяет шифровать и дешифровать данные с помощью устойчивых к квантовым вычислениям криптографических ключей при передаче пользователем данных через защищённую линию.

Специализированная линия представляет собой канал, напрямую связывающий телекоммуникационную компанию и клиента. Она является B2B-сервисом и предназначена для компаний и государственных организаций, остро нуждающиеся в быстрой и, главное, безопасной связи.

window-new
Soft
Hard
Тренды 🔥
Авторы Sniper Elite 5 раскрыли системные требования и рассказали про стелс в игре 19 мин.
Демоверсия вдохновлённого The Legend of Zelda экшена XEL стала доступна для скачивания в Steam 38 мин.
Take-Two завершила приобретение Zynga за $12,7 млрд — пока что это самая крупная сделка в истории видеоигр 2 ч.
Instagram создала эксклюзивные шрифты Instagram Sans — он позволит отличить Reels от TikTok 2 ч.
Студия-разработчик последних Deus Ex могла выпустить свою Final Fantasy XV, но Square Enix передумала 2 ч.
Видео: список целевых платформ и отрывки игрового процесса в новом трейлере экшен-приключения I, the Inquisitor 3 ч.
Clearview AI оштрафовали на $9,5 млн и обязали удалить данные жителей Великобритании 5 ч.
Минцифры хочет ограничить разработку ПО госсектором для повышения заработка IT-компаний 5 ч.
Президент Европейского центробанка назвала криптовалюты бесполезными и ничем не обеспеченными 6 ч.
Большое обновление эмулятора PCSX2: тёмная тема, поддержка DualShock 4 и DualSense, улучшенный интерфейс 6 ч.