Теги → данные
Быстрый переход

Германия временно запретила WhatsApp собирать информацию о пользователях

Уполномоченный Гамбурга по защите персональных данных и свободе информации Йоханнес Каспар (Johannes Caspar) запретил WhatsApp собирать информацию о немецких пользователях в течение трёх месяцев. Об этом пишет Bloomberg. Омбудсмен заявил, что попытка Facebook принудить своих пользователей принять новые правила конфиденциальности является незаконной.

ТАСС

ТАСС

Каспар считает, что действия WhatsApp непрозрачны и чрезмерно широки. По его словам, указ направлен на защиту всех жителей Германии. «Нам необходимо предотвратить ущерб и недостатки, связанные с этой процедурой», — заявил чиновник. Он также обратился к группе регуляторов ЕС, призвав принять аналогичное постановление во всём блоке стран.

WhatsApp назвал претензии Каспара «неправильными», отметив, что указ не остановит внедрение новой политики сервиса. Компания также обвинила регулятора в «фундаментальном непонимании» цели и последствий грядущего обновления.

Всё дело в том, что новые правила WhatsApp противоречат политике властей Германии, которая направлена на снижение сбора информации о пользователях. Это напрямую перекликается с рекламной политикой Facebook, которая непосредственно связана со сбором данных. Сбор пользовательских сведений позволяет более точно и детально адаптировать рекламу для пользователей сервисов.

Ранее представители WhatsApp заявили, что не будут отключать от мессенджера пользователей, которые не примут новые правила конфиденциальности. В будущем они могут добавить в сервис ежедневные напоминания с предложением принять их, однако блокировки не последует. Тем не менее, пользователи могут столкнуться с ограничением функциональности сервиса.

Новая статья: Дело техники: восстановление повреждённых файлов различных форматов

Данные берутся из публикации Дело техники: восстановление повреждённых файлов различных форматов

WhatsApp пообещал не отключать пользователей, которые не приняли новые правила конфиденциальности, но может ввести ограничения

Мессенджер WhatsApp заявил, что не станет отключать пользователей, которые не хотят принимать новые правила конфиденциальности сервиса. Правда, в будущем несогласные могут столкнуться с ограничениями функциональности платформы. Об этом пишет CNET.

Александр Манзюк, ТАСС

Александр Манзюк, ТАСС

Новые правила WhatsApp вступают в силу с 15 мая, но компания предоставит пользователям больше времени на предоставление согласия. Через несколько недель сервис начнёт регулярно присылать пользователям уведомления с напоминанием об изменениях. 

По словам представителей WhatsApp, большинство приняли новые правила конфиденциальности. Если остальные не согласятся, то в будущем они могут столкнуться с ограничением функциональности. Чего именно это коснётся, не уточняется.

WhatsApp объявил об изменениях своей политики в январе 2021 года. Благодаря им сервис сможет обмениваться данными с соцсетью Facebook. Из-за этого сервис раскритиковали пользователи, среди которых оказался и Илон Маск. На фоне скандала среди пользователей выросла популярность конкурентов — Telegram и Signal.

Почти 90 % пользователей iOS 14.5 запрещают приложениям отслеживать их активность

Аналитическая компания Flurry провела исследование популярности новых правил конфиденциальности iOS 14.5. Как выяснилось, подавляющее большинство пользователей платформы предпочитает блокировать возможность отслеживания их активности приложениями. Об этом сообщается на сайте исследовательской фирмы.

По всему миру согласие на отслеживание активности дали всего 12 % пользователей iOS при выборке в 5,3 миллиона человек. В США этот показатель составил 4 % при выборке в 2,5 миллиона владельцев устройств. Причина снижения популярности опции в США не уточняется.

Источник Flurry

Источник Flurry

Источник Flurry

Источник Flurry

Обновление iOS 14.5 вышло 26 апреля. Оно ограничивает возможности сбора данных через рекламный идентификатор IDFA и обязывает разработчиков запрашивать разрешение у пользователя.

Самым ярким противником обновления стала Facebook. Компания выступила против ограничений и даже пригрозила Apple судом. После внедрения новых правил компания выпустила специальное уведомление, в котором говорится, что использование IDFA позволяет сохранить сервисы бесплатными.

Tesla откроет пользователям в Китае доступ к данным, которые собирает их автомобиль

Американский производитель электромобилей Tesla сообщил в четверг о разработке платформы для владельцев её автомобилей в Китае, с помощью которой те получат доступ к данным, генерируемым их транспортными средствами. Как указано в заявлении Tesla, данная платформа будет запущена до конца 2021 года.

REUTERS/Tingshu Wang

REUTERS/Tingshu Wang

Следует отметить, что это первый раз, когда Tesla объявила о планах предоставить клиентам доступ к данным, генерируемым её электромобилями. По всей видимости, данный шаг призван успокоить китайские власти, которые в прошлом месяце опубликовали проект правил, регулирующих использование данных, генерируемых умными автомобилями, с целью обеспечения их безопасности.

Как заявил глава компании Илон Маск (Elon Musk), данные, получаемые с электромобилей Tesla в Китае, хранятся в стране, а потому беспокоиться не стоит. Теперь же автовладельцы смогут изучить, какую именно информацию собрало их транспортное средство.

Добавим, что в течение последних нескольких лет в выпускаемых автомобилях используется всё больше камер и датчиков для съёмки окружающей обстановки. Контроль использования, передачи и хранения этих файлов становится всё большей проблемой для автомобильной промышленности и регулирующих органов во всем мире.

Facebook обвинила Signal во лжи о её блокировке в Instagram из-за рекламной кампании

Facebook выступила с опровержением сообщения Signal о блокировке в Instagram после того, как команда мессенджера попыталась запустить серию рекламных объявлений, чтобы показать объём данных, которые платформа социальных сетей и её материнская компания Facebook собирают о пользователях, и как она их использует для продвижения целевой рекламы.

Представитель Facebook Джо Осборн (Joe Osborne) заявил, что Signal никогда не пыталась запустить подобную кампанию в Instagram и сейчас объявила о своей блокировке всего лишь для хайпа.

«Это трюк Signal, которая даже не пыталась запустить эту рекламу — и мы не блокировали её рекламный аккаунт за попытку сделать это, — сообщил он ресурсу ZDNet. — Если бы Signal попыталась запустить рекламу, некоторые из объявлений были бы отклонены, поскольку наша политика в отношении рекламы запрещает объявления, в которых сообщается, что у вас есть определённое заболевание или указана сексуальная ориентация, о чем Signal должна знать. Но, конечно, показ рекламы никогда не был их целью — речь шла о том, чтобы добиться известности».

Чтобы ответить на обвинение Facebook, команда Signal воспользовалась Twitter: «Мы действительно пытались сделать это. Рекламные объявления были отклонены, и Facebook отключила наш аккаунт». В подтверждение этого Signal опубликовала скриншоты уведомления об отключении.

Но и это сообщение команды мессенджера представитель Facebook поставил под сомнение. По его словам, скриншоты, представленные Signal, были сделаны в начале марта, «когда рекламный аккаунт [Signal] был ненадолго отключён на несколько дней из-за несвязанной проблемы с платежами».

«Сами объявления никогда не отклонялись, так как Signal никогда не запускала их. Рекламный аккаунт был доступен с начала марта, и с тех пор можно было показывать рекламу, которая не нарушает наши правила», — сообщил в Twitter Осборн.

Asustor представила сетевые хранилища Drivestor Pro на два и четыре накопителя

Компания Asustor анонсировала сетевые хранилища данных (NAS) Drivestor 2 Pro AS3302T и Drivestor 4 Pro AS3304T: новинки, выполненные в «настольном» форм-факторе, подходят для применения в сфере малого и среднего бизнеса.

В основу устройств положен процессор Realtek RTD1296, содержащий четыре вычислительных ядра с тактовой частотой до 1,4 ГГц. Объём оперативной памяти составляет 2 Гбайт без возможности расширения.

Модель Drivestor 2 Pro AS3302T рассчитана на установку двух накопителей, версия Drivestor 4 Pro AS3304T — четырёх. Могут применяться изделия типоразмера 3,5 и 2,5 дюйма с интерфейсом SATA 3.0. Максимально допустимая вместимость составляет соответственно 36 и 72 Тбайт при использовании жёстких дисков ёмкостью 18 Тбайт.

Хранилища наделены сетевым портом 2.5 Gigabit Ethernet. Есть три разъёма USB 3.0, один из которых выведен на фронтальную панель.

Младшая из двух новинок поддерживает формирование массивов RAID 0 и RAID 1. Габариты составляют 170 × 114 × 230 мм, вес — 1,6 кг без установленных накопителей.

Вторая модель способна работать с массивами RAID 0, RAID 1, RAID 5, RAID 6, RAID 10. Эта система имеет размеры 170 × 174 × 230 мм и весит 2,2 кг.

Хранилища заключены в корпус чёрного цвета. В состав системы активного охлаждения входит вентилятор. 

Intel заявила, что новая атака на кеш микроопераций опасна только для безграмотно написанных программ

Компания Intel отреагировала на сообщение о новой уязвимости в процессорах. Как сообщалось ранее, исследователи выявили возможность атаковать кеш микроопераций в процессорах, что позволяет извлекать из него пароли и другое. По утверждению Intel, новая атака будет не страшна, если при написании кода программисты придерживались уже выпущенных ранее рекомендаций для смягчения угроз типа Spectre. Поэтому в Intel не считают нужным что-то обновлять.

После изучения отчёта об уязвимости кеша микроопераций процессоров в Intel сделали вывод, что предложенные исследователями из Университета Вирджинии методы не смогли обойти существующие средства от уязвимостей типа Spectre. Поэтому никаких новых средств защиты от них или рекомендаций выпускать не нужно. Если при написании кода программисты следуют определённым простым правилам, то атака по побочным каналам на архитектуру процессоров и, в частности, на кеш микроопераций становится маловероятной.

Конкретно в заявлении Intel, которое цитирует источник, сказано: «Intel проверила отчет и проинформировала исследователей, что существующие средства защиты не были обойдены и что этот сценарий рассматривается в нашем руководстве по безопасному кодированию. Программное обеспечение, следующее нашему руководству, уже имеет защиту от атаки по побочным каналам, включая побочный канал micro-op cache. Никаких новых мер или рекомендаций не требуется».

На этот счёт Intel предложила три главных рекомендации, которые в целом опираются на принцип постоянного времени при проработке алгоритмов программ (constant time). Все они сводятся к одному, чтобы время выполнения, шаблоны доступа к коду и данным не зависели от секретных значений (secret values). Если программисты соблюдают все эти базовые принципы, то большинство атак по побочным каналам не страшны. Другое дело, что этот принцип соблюдают не все и не всегда, а значит, опасность уязвимости остаётся, и вопрос не закрыт, что бы по этому поводу не утверждали в Intel, AMD или кто-то ещё.

DigitalOcean уведомила своих клиентов об утечке платёжных данных

Стало известно о том, что американский провайдер облачной инфраструктуры DigitalOcean подвергся хакерской атаке, в результате которой злоумышленники получили доступ к платёжным данным части клиентов сервиса. Об этом пишет TechCrunch, ссылаясь на соответствующие уведомления, которые получили клиенты платформы на этой неделе.

В сообщении DigitalOcean подтверждается несанкционированное раскрытие деталей, связанных с платёжными данными профилей пользователей, а также говорится, что киберпреступники «получили доступ к некоторым платёжным данным аккаунтов, используя баг, который к настоящему моменту исправлен». Согласно имеющимся данным, злоумышленники имели доступ к данным пользователей сервиса в период с 9 по 22 апреля. Что касается похищенных данных, то речь идёт о ФИО клиентов, адресах почтовых ящиков, а также последних четырёх цифрах привязанных к аккаунтам платёжных карт и названиях банков, которые эти карты выпустили. В DigitalOcean заверили, что инцидент не затронул аккаунты пользователей и соответствующие им пароли.

DigitalOcean заявила о том, что уязвимость, которая использовалась злоумышленниками, была устранена, и компания своевременно уведомила об инциденте соответствующие органы. Однако более подробная информация о выявленной уязвимости не была раскрыта. Представитель компании подчеркнул, что инцидент затрагивает около 1 % платёжных профилей клиентов сервиса, но более детально говорить о причинах возникновения проблемы он отказался.

Данные пользователей популярного менеджера паролей Passwordstate утекли в Сеть

Австралийская компания Click Studios, разработчик менеджера паролей Passwordstate, сообщила пользователям о возможной утечке их паролей. Злоумышленники распространили вредоносное обновление программы, которое может привести к утечке данных. Об этом сообщили польские эксперты по безопасности из Niebezpiecznik.

Леон Нил, Getty Images

Леон Нил, Getty Images

Предположительно вирусное обновление распространялось с 20 по 22 апреля. На устройства клиентов скачивался архивный пакет, после распаковки которого устанавливался специальный dll-файл, который передавал злоумышленникам различные сведения с устройства пользователя. Подробный процесс его работы можно найти в блоге Тахи Карима (Taha Karim). 

В украденных данных могут храниться пароли от корпоративных систем. Как отметил специалист по безопасности SentinelOne Хуан Андре (Juan Andres), скачиваемые пароли зашифрованы, однако их можно легко расшифровать при помощи инструментов, находящихся в свободном доступе.

Важно отметить, что масштаб утечки неизвестен. Сервисом Passwordstate пользуются более 370 тысяч IT-специалистов по всему миру и 29 тысяч компаний. Многие клиенты входят в рейтинг Fortune 500. Разработчики уже выпустили исправление, призванное удалить вредоносное ПО, и рекомендовали пользователям сменить все пароли. Исследователь безопасности Таха Карим считает, что этого может быть недостаточно и потенциальным жертвам следует исследовать и проверить всю свою инфраструктуру.

Сетевые хранилища QNAP подверглись массивной атаке программы-шифровальщика

Три дня назад начались массивные атаки на сетевые хранилища QNAP. Используя незакрытые уязвимости в программном обеспечении хранилищ, шифровальщик Qlocker запаковывает файлы пользователей в архивы 7zip и защищает их паролем. Жертва атаки может получить пароль только после оплаты на счёт вымогателя 0,01 биткоина, что примерно равно $500. Компания QNAP настоятельно рекомендует всем срочно обновить три приложения, чтобы защититься от уязвимости.

Несколько дней назад QNAP исправила в своём ПО уязвимости CVE-2020-36195 и CVE-2020-2509. По предположению компании, шифровальщик Qlocker использует уязвимость CVE-2020-36195. Чтобы защититься от атак вымогателя, пользователям необходимо лишь обновить QTS, Multimedia Console и надстройку Media Streaming до последних версий. 

Также в компании порекомендовали не перегружать сетевые хранилища, если шифровальщик их запаковал и зашифровал. В QNAP изучают возможность вернуть пострадавшим пользователям контроль над файлами без уплаты выкупа.

Интересно, что некоторое время портал в сети Tor, где принимался выкуп и выдавались пароли на расшифровку файлов, имел в своём механизме приёма оплаты дыру. Специалистами по безопасности была обнаружена возможность подставлять в поле ввода данных о транзакции слегка изменённые чужие данные об оплате, после чего пользователь получал пароль на расшифровку без фактического внесения выкупа. Эта возможность была доступна в течение часа, после чего оператор Qlocker её прикрыл.

С 20 апреля счёт жертв Qlocker идёт на сотни в день. Компания QNAP ещё раз напоминает, что важно быстро обновить приложения, чтобы не попасть на удочку вымогателя.

Взломано устройство, используемое силовиками для взлома смартфонов, — его очень легко обмануть

Директор компании Signal Foundation сообщил, что они смогли взломать устройство по взлому смартфонов израильской фирмы Cellebrite, которым пользуются силовики во всём мире, в том числе ФБР и российская полиция. Выяснилось, что программное обеспечение Cellebrite написано без соблюдения элементарных требований к безопасности, что позволяет произвольно и незаметно менять собираемые силовыми структурами данные. Фактически это означает, что все проведённые ранее с применением Cellebrite расследования скомпрометированы.

Масштабы возможной катастрофы трудно переоценить. Обнаруженные в безопасности Cellebrite дыры ставят под сомнение все добытые ранее полицией улики с помощью этого устройства и его программного обеспечения. Также специалисты Signal обнаружили, что в коде Cellebrite есть фрагмент, принадлежащий компании Apple. Если это сделано без ведома Apple (хотя она вполне может сотрудничать с властями), то у компании появляется веское основание судиться с разработчиками Cellebrite из Израиля.

Как выяснили в Signal, вредоносный код можно внедрить в устройство для взлома и его программное обеспечение с помощью файла на взламываемом смартфоне во время его сканирования. «Учитывая количество имеющихся возможностей, — сообщает глава Signal Мокси Марлинспайк (Moxie Marlinspike), — мы обнаружили, что можно выполнить произвольный код на машине Cellebrite, просто включив специально отформатированный, но в остальном безобидный файл в любое приложение на устройстве, которое впоследствии подключается к Cellebrite и сканируется. Практически нет ограничений на код, который может быть выполнен».

После такой процедуры можно произвольно менять любые данные на сканируемом устройстве — текст, адреса электронной почты, фотографии и многое другое. При этом контрольные суммы и метки времени остаются без изменения. Надо ли говорить, что это означает в процессе сбора улик? Подделать можно всё. Кстати, у полиции, судя по всему, такая возможность остаётся даже без взлома, раз это доступно атакующей стороне.

Компания Cellebrite прокомментировала информацию компании Signal тем, что уверила источник в стремлении защищать целостность данных, а также ускорять правосудие и сохранять конфиденциальность при расследованиях, санкционированных законом. Устройство Cellebrite формально не продаются в страны под санкциями США, Израиля или международного сообщества, однако несмотря на это, распространено оно повсеместно.

На TikTok подали в суд за незаконный сбор информации о детях

Бывший комиссар по делам детей в Англии Энн Лонгфилд (Anne Longfield) подала иск против TikTok за незаконный сбор информации о детях. Об этом пишет The Guardian. Бывший омбудсмен утверждает, что видеосервис нарушает законы Великобритании и Евросоюза о защите персональных данных детей.

Алекс Плавевски, ТАСС

Алекс Плавевски, EPA

В иске утверждается, что компания использует данные подростков без необходимого согласия и прозрачности. Лонгфилд считает, что родители и дети не осведомлены в достаточной мере об использовании их персональных данных. Предположительно, из-за этого могли пострадать около 3,5 миллионов детей.

«Мы не пытаемся сказать, что это не весело. Этот сервис был нужен людям во время самоизоляции, и он помог пережить этот период. Тем не менее, я считаю, что люди не должны платить за это своими персональными данными. Их личная информация будет собрана и передана другим компаниям для получения финансовой выгоды, даже если они не подозревают об этом», — заявила Лонгфилд.

Экс-комиссар по делам детей намерен добиться остановки обработки данных и выплаты компенсации. Размер последней может составить миллиарды фунтов стерлингов, но точная сумма не называется.

Как отмечает Guardian, согласно последнему исследованию Ofcom (британское неправительственное агентство) 42 % детей возрастом от 8 до 12 лет пользуются TikTok. При этом в сервисе установлено минимальное возрастное ограничение в 13 лет.

Представитель TikTok назвал претензии необоснованными. «Конфиденциальность и безопасность — наши главные приоритеты, и у нас есть надёжные инструменты и процессы для защиты всех пользователей, включая подростков», — заявили в компании.

Хакеры похитили у Apple чертежи устройств и теперь требуют выкуп

Хакерская группировка REvil начала выкладывать чертежи ноутбуков компании Apple и сообщила о краже многих других конфиденциальных данных, которые она похитила в ходе атаки на контрактного производителя электроники, компанию Quanta Computer. Сообщение о краже появилось ещё до начала вчерашнего ключевого мероприятия Apple Spring Loaded, и должно было вызвать эффект разорвавшейся бомбы. Но ни Quanta, ни Apple на требования хакеров не отреагировали.

Как и многие недавние атаки на крупные компании и сети, взлому серверов Quanta Computer помогла уязвимость в Microsoft Exchange Server. Месяц назад по аналогичной схеме та же группировка REvil получила доступ к информации компании Acer. До сих пор нет ясности, заплатила Acer за возврат данных или нет, но с неё хакеры потребовали рекордный выкуп — $50 млн. С компании Quanta Computer, кстати, также требовали выкуп в размере $50 млн, но Quanta на шантаж не поддалась.

Когда не вышло надавить на производителя, хакеры из REvil использовали новую тактику — пошли с требованием выкупа к клиентам Quanta Computer. Отмечается, что это — новое слово в поведении вымогателей. Сейчас REvil ведёт переговоры о получении выкупа с Apple, а также и с других крупных клиентов Quanta, в число которых входят HP, Dell, Microsoft, Toshiba, LG, Lenovo и многие другие бренды.

Пример украденной у производителя информации. Источник изображения: The Record

Пример украденной у производителя информации. Источник изображения: The Record

Вчера группировка REvil опубликовала 21 снимок экрана со схемами Macbook и пригрозила публиковать новые данные каждый день, пока Apple или Quanta не выплатят выкуп. По данным источника, в представленной информации нет ничего нового, но это не означает, что у хакеров нет действительно чувствительной информации по атакованным компаниям. Выложить такие данные в открытый доступ — означает распрощаться с возможным выкупом. Это будет крайний шаг, если стороны не смогут договориться.

Данные российских компаний в Trello попали в открытый доступ. Это случилось из-за невнимательности сотрудников

Специалисты по безопасности Infosecurity a Softline company обнаружили в Сети тысячи досок Trello с корпоративными данными российских компаний. Об этом пишет «Коммерсантъ». Исследователи утверждают, что утечка случилась не по вине разработчика, а из-за небрежности сотрудников.

Brokwood School District 167

Brokwood School District 167

Эксперты уточняют, что в России сервисом для управления проектами Trello в основном пользуется малый и средний бизнес, но встречаются и крупные клиенты, например банки. ИБ-специалисты обнаружили миллионы досок в свободном доступе, тысячи из которых можно найти через поисковые системы.

По словам аналитиков, в утечке фигурирует множество конфиденциальных данных. Как выяснилось, некоторые организации размещают на досках сканы различных корпоративных документов, договоры, документацию о тендерах и многое другое. Только с упоминанием логинов и паролей в Сети можно найти более 9 тысяч досок. Как уточнил гендиректор Infosecurity a Softline company Кирилл Солодовников, «это иллюстрация утечки, произошедшей не вследствие хакерской атаки, а в результате невнимательности или небрежности сотрудников компании»

Это не первая утечка досок Trello в интернет. В 2017 году в СМИ сообщалось о появлении в публичном доступе корпоративных сведений МТС и «Ростелекома», а в 2018-м стало известно об утечке данных сервиса Uber.

Trello — облачная платформа для управления проектами, которая принадлежит австралийской компании Atlassian. В 2017 году разработчики утверждали, что около 80 % компаний из списка Fortune 500 используют их сервис.

window-new
Soft
Hard
Тренды 🔥
Ремейк Prince of Persia: The Sands of Time всё-таки выйдет до апреля 2022 года, а вот Skull & Bones — нет 14 мин.
Прямо в TikTok теперь можно совершать покупки — пока сервис работает в тестовом режиме 40 мин.
YouTube заплатит $100 млн создателям контента для сервиса коротких видео Shorts 45 мин.
Прошедший финансовый год стал самым успешным для серии Assassin’s Creed и другие поводы для гордости Ubisoft 2 ч.
Пользователи TikTok смогут найти работу с помощью социальной сети 2 ч.
WhatsApp отключит исходящие звонки и сообщения несогласным с новой политикой конфиденциальности 2 ч.
«Мир, Любовь и Ракеты»: следующий фестиваль QuakeCon тоже пройдёт в онлайн-формате 3 ч.
На Nintendo Switch выпустят калькулятор за 809 рублей 3 ч.
Dontnod отвергла несколько предложений о покупке, чтобы сохранить идентичность 4 ч.
Западная версия NieR Re[in]carnation получила первый трейлер — предрегистрация стартовала, но пока не везде 5 ч.