Google заблокировала более 2,3 млн приложений Android для магазина Google Play в 2024 году. Они нарушили политику платформы, что делало их потенциально опасными для пользователей. Кроме того, компания заблокировала 158 тыс. аккаунтов разработчиков за попытку публикации вредоносных приложений, включая шпионское ПО.

Источник изображения: Bleeping Computer

Для сравнения, в 2023 году Google заблокировал 2,28 млн опасных приложений, а в 2022-м — 1,5 млн. В те же годы компания лишила доступа к платформе 333 тыс. и 173 тыс. разработчиков соответственно. Возросшее количество заблокированных приложений в 2024 году на платформе частично объясняется тем, что в поиске вредоносного ПО сотрудникам компании помогала система искусственного интеллекта.

«Сегодня более 92 % наших человеческих обзоров вредоносных приложений проводятся с помощью искусственного интеллекта, что позволяет нам принимать более быстрые и точные меры для предотвращения проникновения вредоносных приложений в Google Play. Благодаря этому мы смогли заблокировать доступ к Google Play для значительно большего, чем когда либо, количества вредоносных приложений», — пояснили в Google.

Компания также сообщила, что предотвратила 1,3 случаев получения приложениями чрезмерных прав и разрешений, которые предоставили бы ПО ненужный доступ к конфиденциальным пользовательским данным.

В 2024 году встроенная в Android система безопасности под названием Google Play Protect получила значительное обновление защиты в реальном времени даже для приложений, устанавливающихся за пределами платформы Google Play. Google утверждает, что стандартная защита Android ежедневно сканировала более 200 миллиардов приложений, выполняя анализ на уровне кода в реальном времени. В течение 2024 года эти сканирования выявили более 13 миллионов новых вредоносных приложений, полученных за пределами Google Play.

Разработчики приложений также получили новые инструменты для лучшей защиты своего ПО от вредоносных SDK и случаев неправомерной эксплуатации, а индекс Google Play SDK в прошлом году расширился на 80 новых доверенных SDK. Более широкое внедрение API Play Integrity привело к снижению нарушений из ненадёжных источников на 80 %. Теперь 91 % установок приложений используют функции безопасности и защиты конфиденциальности, доступные в Android 13 и более поздних версиях операционной системы.

Система блокировки установки ненадёжных APK от Google, впервые запущенная в качестве пилотного проекта в Сингапуре в феврале 2024 года, теперь расширена на Бразилию, Гонконг, Индию, Кению, Нигерию, Филиппины, Южную Африку, Таиланд и Вьетнам. Её успех в 2024 году отражается в предотвращении 36 миллионов попыток установки 200 000 уникальных приложений на 10 миллионах устройств Android.

Китайская лаборатория DeepSeek, которая обрела популярность благодаря выпуску революционных моделей искусственного интеллекта, предлагающих возможности, аналогичные американским, но при более скромных затратах на обучение, привлекла внимание итальянских властей — они обеспокоены «возможной угрозой для данных миллионов людей» в стране. Приложение DeepSeek уже исчезло из итальянских разделов App Store и Google Play.

Источник изображения: Solen Feyissa / unsplash.com

Приложение DeepSeek стало самым популярным на платформе Apple App Store, и итальянское Управление по защите данных (Garante) обратилось к китайской компании с просьбой предоставить информацию о чат-боте, который может представлять угрозу конфиденциальности жителей страны. Надзорный орган отвечает за применение норм «Общего регламента по защите данных» (GDPR) в Италии.

Garante сообщило, что связалось с офисами DeepSeek в Ханчжоу и Пекине и запросило информацию о том, какие персональные данные собирает чат-бот с ИИ. Ведомство поинтересовалось, каковы цели сбора данных и хранятся ли они на серверах, физически расположенных на территории Китая. В «Политике конфиденциальности» DeepSeek действительно указано, что сервис передаёт персональные данные, связанные со страной проживания пользователя, и хранит их «на защищённых серверах, расположенных в Китайской Народной Республике». Однако отмечается, что «это будет делаться в соответствии с требованиями применимых законов о защите данных».

Итальянский регулятор также запросил, какие данные используются для обучения системы искусственного интеллекта DeepSeek. Если производится сканирование веб-страниц, то каким образом зарегистрированные и незарегистрированные пользователи информируются об обработке персональных данных. DeepSeek дали 20 дней на ответ Garante. Расследование в отношении китайской лаборатории уже проводят Microsoft и OpenAI; изучать вопрос начали и американские власти.

Любопытно, что спустя несколько часов после того, как Garante запросило у DeepSeek информацию об обработке персональных данных, приложение исчезло из итальянских разделов магазинов Apple App Store и Google Play. Официальных комментариев от Apple и Google по этому вопросу не последовало.

Таганский районный суд Москвы признал американского хостинг-провайдера Namecheap виновным в нарушении неприкосновенности частной жизни, личной и семейной тайны российских граждан в связи с публикацией на сайте виртуальной блокчейн-игры Age of Mars, которую контролирует ответчик, персональных данных граждан без их согласия, пишет ТАСС со ссылкой на постановление суда, вступившее в силу 25 января.

Источник изображения: Tingey Injury Law Firm/unsplash.com

«Признать деятельность интернет-страницы https://ageofmars.io незаконной и нарушающей права граждан <...>. Признать информацию, распространяемую посредством сети интернет на соответствующем интернет-ресурсе, а равно её распространение иными интернет-ресурсами информацией, обрабатываемой с нарушением законодательства Российской Федерации в области персональных данных, — цитирует ТАСС судебный документ. — Решение суда является основанием для включения следующей интернет-страницы https://ageofmars.io в реестр нарушителей прав субъектов персональных данных».

Иск Роскомнадзора (РКН) к американскому хостинг-провайдеру NameCheap в защиту персональных данных россиян был зарегистрирован 28 ноября 2024 года, а решение по этому делу было вынесено 24 декабря. В ходе судебного разбирательства было установлено, что на сайте игры публикуются персональные данные российский гражданин, включая фамилию, имя, отчество, фотографии и дату рождения, без их согласия. «На сайте отсутствует информация, подтверждающая наличие согласия гражданина на обработку его персональных данных, включая распространение, либо иных законных оснований на обработку указанных персональных данных», — указано в судебных документах.

Немецкий поставщик облачных услуг мог непреднамеренно раскрыть персональные данные всех жителей Грузии, обнаружили исследователи в области кибербезопасности. Они выявили две доступные без паролей базы данных с записями о жителях страны.

Источник изображения: Growtika / unsplash.com

Открытие сделал эксперт в области кибербезопасности Боб Дьяченко (Bob Dyachenko) из компании SecurityDiscovery.com. Он рассказал, что обнаружил индекс Elasticsearch без защиты паролем, который содержал «обширный набор персональных данных», принадлежащих жителям Грузии. Индекс был составлен из двух баз: в одной было около 5 млн, в другой — более 7 млн записей. Учитывая, что население Грузии составляет менее 4 млн человек, есть основания предположить, что даже при наличии дубликатов записей в результате инцидента риску кражи данных, фишинга и другим угрозам подвержены все жители страны.

В архивах содержались идентификационные номера граждан (возможно, номера социального страхования), их полные имена, даты рождения, пол, номера телефонов и прочая конфиденциальная информация. «Данные, видимо, были собраны или агрегированы из нескольких источников, предположительно из правительственных или коммерческих баз и служб идентификации», — рассказали эксперты. Сервер, на которым были размещены базы, принадлежал немецкому поставщику облачных услуг, и вскоре после предания инцидента огласке его отключили.

Многие вопросы остались без ответа: был ли осведомлен об инциденте облачный провайдер, успели ли киберпреступники похитить данные перед отключением ресурса, и была ли перемещена база в другое место. Наконец, не удалось установить, по чьей вине произошла эта утечка, а значит, едва ли получится привлечь это лицо к ответственности.

В 2024 году утечек персональных данных россиян стало гораздо меньше, хотя их объёмы заметно выросли, пишут «Ведомости» со ссылкой на данные компании DLBI и Роскомнадзора.

Источник изображения: Mika Baumeister/unsplash.com

Согласно исследованию DLBI, проанализировавшей утечки данных, опубликованные в даркнете, на закрытых и публичных форумах и в Telegram-каналах, в 2024 году были зафиксированы 382 утечки, что меньше 445 утечек в 2023 году. Вместе с тем вырос объём утечек в прошлом году — были скомпрометированы 438 млн телефонных номеров и 227 млн адресов электронной почты, что на 70 % больше, чем годом ранее.

Как и в 2023 году, в 2024 году на первом месте по количеству утечек оказалась отрасль электронной коммерции, в которой произошло 148 инцидентов, а доля утечек в общем объёме составила 38 %. Второе место сохранил сегмент развлекательных ресурсов с 33 случаями утечек (8 %) против 49 случаев (11 %) в 2023 году. На третьем месте по утечкам — медицинские сервисы (7 %), тогда как в 2023 году тройку замыкали финансовые организации.

Как отметили специалисты DLBI, чем меньше компания, тем меньше у неё возможностей по борьбе с утечками данных, и тем чаще она сталкивается с подобными инцидентами.

Сократилось количество утечек и по данным Роскомнадзора, который учитывает только те инциденты, которые были проверены и подтверждены специалистами регулятора. В ведомстве сообщают, что в 2024 году были зафиксированы 135 случаев утечек, в которых содержалось более 710 млн записей, годом ранее — 168 фактов утечек с более 300 млн записей.

Как сообщают в DLBI, по объёму скомпрометированных данных в 2024 году лидирует сегмент развлекательных ресурсов с утечкой 37 % общего объёма кражи хакерами телефонных номеров и 47 % e-mail-адресов. На втором месте — финансовый сектор, на долю которого приходится 28 % утёкших номеров телефонов и 17 % адресов электронной почты. На третьем месте — сектор электронной коммерции с 10 % утёкших номеров телефонов и 13 % e-mail-адресов. В 2023 году лидировал по утечкам финансовый сектор (52 % утёкших номеров телефонов и 21 % адресов e-mail) с электронной коммерцией и развлекательными ресурсами на втором и третьем местах соответственно.

В DLBI отметили, что в 2023–2024 гг. на распределение утечек по объёму повлияло небольшое число крупных инцидентов. Например, развлекательные ресурсы за два года оказались на втором месте из-за утечки из крупного онлайн-казино (73 млн телефонных номеров и 84 млн e-mail адресов), а сегмент финансовых организаций — благодаря утечке почти 70 млн телефонных номеров и 8 млн e-mail адресов клиентов одного из производителей программного обеспечения для микрофинансовых организаций.

В основном утечки данных происходят посредством взлома инфраструктуры благодаря обнаруженным уязвимостям либо с использованием украденных паролей учётных записей с административным доступом, сообщили в DLBI. По словам экспертов, за большинством взломов по-прежнему стоят злоумышленники, которые, как правило, не пытаются продать полученные данные, а спешат выложить их в открытый доступ. Наиболее часто для взлома используются программы-стилеры, похищающие сохранённые пароли с компьютеров или мобильных устройств.

Согласно прогнозу аналитиков, в условиях геополитического конфликта в 2025 году будут продолжаться атаки как хактивистов, так и прогосударственных преступных группировок на российские государственные и коммерческие организации. Ожидается, что с развитием технологий, используемых хакерами, новые атаки будут мощнее.

Google запустила новую функцию безопасности для Android 15, которая поможет защитить цифровые аккаунты пользователей от кражи телефона. Функция под названием Identity Check требует прохождения биометрической аутентификации для доступа к определённым настройкам аккаунта и устройства, когда пользователь находится вне доверенного места, например, не у себя дома или не на работе.

Источник изображения: Google

Identity Check защищает такие важные настройки, как изменение PIN-кода устройства, отключение защиты от кражи, выключение функции Find My Device, сброс устройства к заводским настройкам и изменение биометрических данных. «Украденное устройство, попавшее в чужие руки, может раскрыть конфиденциальные данные, сделав вас уязвимыми для кражи личных данных, финансового мошенничества и нарушений конфиденциальности», — объясняет Google в своём блоге, посвящённом запуску функции.

Отметим, функция впервые появилась в тестовом режиме в декабре прошлого года в рамках обновления Pixel Drop и в ближайшие недели станет доступна для устройств Samsung Galaxy с последней версией обновления прошивки One UI 7 с функциями искусственного интеллекта Galaxy AI. Позднее, в этом же году, появится на устройствах других производителей.

Ранее Apple представила аналогичную функцию, получившую название Stolen Device Protection, для предотвращения случаев, когда злоумышленники наблюдают за вводом пароля на iPhone с последующей кражей устройства, а затем используют пароль для доступа к личной информации или блокировки владельца из его аккаунта.

Компания Sony объявила о прекращении производства оптических носителей информации Blu-ray Disc (BD) в феврале. Это решение ознаменует конец производства компанией оптических дисков в целом, поскольку преемника у формата Blu-ray не будет. Прекращение производства также затронет такие носители информации, как MiniDisc, MD Data и кассеты MiniDV.

Источник изображения: unsplash.com

Ранее, в середине 2024 года, Sony прекратила производство потребительских BD и других оптических дисков, сохранив производственные линии оптических носителей для бизнеса и корпоративных клиентов. Однако, поскольку потоковые сервисы практически вытеснили физические носители, коммерческих продаж стало недостаточно для сохранения рентабельности бизнеса Sony по производству оптических носителей.

Первый прототип BD был выпущен в 2000 году, он был разработан как преемник DVD и некоторое время конкурировал с форматом HD DVD, продвигаемым Toshiba. BD и HD DVD стали доступны для конечного потребителя в 2006 году, но HD DVD проиграл в войне форматов из-за партнёрства Sony с киностудиями и поддержки технологии Blu-ray в игровой приставке PlayStation 3.

На сегодняшний день BD доступны для покупки на различных онлайн-платформах, но товарные запасы через какое-то время неизбежно иссякнут. На первый взгляд прекращение производств BD не кажется серьёзной проблемой в эпоху скоростных широкополосных каналов связи и доступных облачных сервисов. Но не стоит забывать, что облачные хранилища требуют ежемесячной оплаты, могут изменить пользовательское соглашение в любой момент или банально прекратить своё существование. Хранение архивов на жёстких дисках не является достаточно надёжным — по прошествии лет часть жёстких дисков может оказаться нечитаемой, с чем в последнее время всё чаще сталкиваются представители музыкальной индустрии.

Оптические носители при правильном хранении могут сохранять информацию в течение десятилетий, что делает их идеальным средством для долгосрочного «холодного» хранения. Возможно, поэтому не все производители готовы прекратить их производство. Так, компания Pioneer создала диск Blu-ray, рассчитанный на долгосрочное хранение вплоть до ста лет. Другие компании занимаются разработкой оптических носителей информации, которые смогут служить миллионы лет и даже больше.

Прекращение производства дисков Blu-ray знаменует собой конец целой эпохи, на протяжении которой пользователь имел возможность физически сохранить архивную информацию, сделать резервную копию или собрать медиабиблиотеку любимых фильмов, которые можно «подержать в руках» Переход к потоковым библиотекам, где отсутствует право собственности, а фильмы, сериалы и музыка могут просто исчезнуть без предупреждения, напоминает нам, насколько хрупкой и скоротечной может быть жизнь.

«Ростелеком» прокомментировал появившуюся в интернете информацию об утечке данных пользователей в результате взлома систем хакерской группировкой. В сообщении для ТАСС компания предположила, что утечка могла произойти у одного из подрядчиков, у которого ранее уже фиксировались инциденты в информационной безопасности.

Источник изображения: Arif Riyanto/unsplash.com

«В ответ на анонимные сообщения об утечке данных, приписываемой интернет-ресурсам “Ростелекома”, компания сообщает, что ранее фиксировала инциденты информационной безопасности у одного из своих подрядчиков, обслуживавших данные ресурсы. Наиболее вероятно, что утечка произошла из инфраструктуры подрядчика, — сообщили в «Ростелекоме» новостному агентству. — "Ростелеком" предпринял меры по устранению выявленных угроз».

Ранее профильные Telegram-каналы сообщили об возможной утечке данных у «Ростелекома», к которой якобы причастна хакерская группа Silent Crow, известная громкими взломами. В частности, канал «Утечки информации» написал, что хакеры заполучили базы данных сайтов company.rt.ru и zakupki.rostelecom.ru, информация в которых датирована сентябрем 2024 года. Всего было скомпрометировано 154 тыс. уникальных адресов электронной почты и 101 тыс. номеров телефонов. Silent Crow ранее заявляла о взломе Росреестра, компаний «Киа Россия и СНГ», «АльфаСтрахование-Жизнь» и «Клуб клиентов Альфа-Банка».

В «Ростелекоме» сообщили «Коммерсанту», что данные интернет-ресурсы не предназначены для обслуживания клиентов-физических лиц. «На этих ресурсах не хранятся и не обрабатывается персональные данные частных клиентов», — пояснили в компании.

По предварительным данным «Ростелекома», утечки «особо чувствительных» персональных данных не было. Компания сообщила, что были приняты меры по устранению выявленных угроз, и в настоящий момент изучается опубликованная база данных с целью определить, «какая часть данных была скомпрометирована и относится ли она к компании».

Как передают «Ведомости» со ссылкой на представителя «Ростелекома», в утекших базах содержатся контактные данные сотрудников и представителей юрлиц, то есть речь о корпоративных данных, а не пользовательских. Вместе с тем пользователям было рекомендовано сбросить пароли и включить двухфакторную аутентификацию.

Антон Антропов, технический директор IT Task с более чем 20-летним стажем работы в сфере информационной безопасности, прокомментировал ситуацию следующим образом: «Здесь мы наблюдаем то, что я бы назвал классическим риск-ориентированным подходом из серии "зачем нам защищать все, если можно защитить только важные части сайта?". Учитывая, что информация говорит нам о взломе именно формы обратной связи, это то, о чем меньше всего обычно задумываются компании. Люди оставляют реальные имена, телефоны, почты и, как мы видим, взломщики не гнушаются взламывать никакие разделы сайта. Поэтому здесь можно смело говорить о том, что защита слаба настолько, и защищать необходимо все качественно».

Обновлено:

В Минцифры РФ заявили, что утечка данных у «Ростелекома» не затронула пользователей Госуслуг. В министерстве подчеркнули, что все данные портала под надежной защитой. В свою очередь Роскомнадзор заявил, что пока не получал официального уведомления от «Ростелекома» об утечке. Согласно закону «О персональных данных», оператор, допустивший утечку персональных данных, обязан уведомить об инциденте Роскомнадзор в течение 24 часов.

Компания Nvidia сообщила об исправлении нескольких критических уязвимостей безопасности в своих графических драйверах и программном обеспечении для управления виртуальными GPU. Эти уязвимости затрагивают операционные системы Windows и Linux.

Источник изображения: Nvidia

Последние обновления программного обеспечения Nvidia нацелены на устранение нескольких уязвимостей безопасности, которые позволяют злоумышленникам с локальным доступом выполнять вредоносный код, красть данные или вызывать сбои в работе затронутых систем. Среди исправлений выделяются две уязвимости высокой степени опасности. Первая с маркировкой CVE-2024-0150 связана с переполнением буфера в драйвере дисплея GPU, что может привести к компрометации системы вследствие подделки данных, и раскрытию информации. Вторая критическая проблема с маркировкой CVE-2024-0146 затрагивает диспетчер виртуального GPU, где скомпрометированная гостевая система может вызвать повреждение памяти, что потенциально может привести к выполнению вредоносного кода и захвату системы.

Nvidia рекомендует пользователям систем Windows обновиться как минимум до версии драйвера 553.62 (ветвь R550) или до версии 539.19 (ветвь R535). Пользователям Linux необходимо установить версию драйвера 550.144.03 или 535.230.02 в зависимости от ветви драйвера.

Обновления охватывают линейки продуктов Nvidia RTX, Quadro, NVS и Tesla. Корпоративные среды, использующие технологии виртуализации Nvidia, могут столкнуться с дополнительными рисками без установки последних обновлений безопасности. В частности, уязвимость с маркировкой CVE-2024-53881 позволяет гостевым системам прерывать соединение хост-машин, что может привести к сбоям в работе всей системы. Чтобы исправить эти уязвимости безопасности, пользователи программного обеспечения виртуальных графических процессоров должны обновиться до версии драйвера 17.5 (550.144.02) или 16.9 (535.230.02).

Компания поясняет, что уязвимости нацелены на системы, к которым злоумышленники имеют локальный доступ. Однако в виртуальных средах, где несколько пользователей совместно используют ресурсы графических процессоров, эти уязвимости представляют значительную угрозу безопасности. Системные администраторы могут загрузить обновления безопасности со страницы загрузки драйверов Nvidia. Корпоративные клиенты сред vGPU должны получить исправления через портал лицензирования Nvidia. Компания рекомендует немедленно установить эти обновления на всех затронутых системах.

Современные транспортные средства с постоянным подключением к глобальной сети давно предоставляют возможность собирать статистику о стиле вождения автовладельцев, и страховые компании по согласию клиентов используют эти данные для снижения тарифов для дисциплинированных водителей. Корпорация GM такими данными торговала без согласия со стороны клиентов и нарвалась на претензии регуляторов в США.

Источник изображения: General Motors

Как сообщает The Verge, по решению Федеральной комиссии по торговле США (FTC), корпорация General Motors и её подразделение OnStar лишены права продавать данные о пользователях фирменных сервисов сроком на пять лет. Среди подписчиков OnStar материнская компания General Motors осуществляла сбор данных о технических показателях автомобилей и их географическом положении, чтобы затем предлагать эту статистику сторонним брокерам типа LexisNexis и Verisk, сотрудничающим со страховыми компаниями. Опрос иногда проводился раз в три секунды, создавая довольно динамичную картину привычек водителя.

Некоторые из клиентов GM в итоге столкнулись с ростом страховых тарифов, поскольку страховщики получили возможность выявить среди них водителей с повышенным риском попадания в ДТП. Ситуация получалась не очень красивой: автовладелец платил GM за доступ к системе OnStar, а автопроизводитель в итоге продавал данные о водителе сторонним компаниям без его согласия, в итоге дополнительно увеличивая расходы водителя. GM не уведомляла клиентов о том, что ведёт сбор подобной информации, а также не предупреждала о передаче накопленных данных третьим компаниям. Наконец, у автовладельцев никто не спрашивал разрешения на подобные манипуляции. В итоге расследование FTC привело к запрету на продажу данных клиентов GM сторонним компаниям сроком на пять лет, и автопроизводитель объявил о прекращении работы клиентской программы OnStar Smart Driver.

Комиссия также принудила GM в дальнейшем получать от пользователей разрешение на сбор данных об их перемещениях и водительских привычках, а также предоставлять возможность удалить эту информацию по запросу клиента.

За прошлый год Роскомнадзор зафиксировал 135 случаев утечек в сеть баз данных, в которых содержалось свыше 710 млн записей о россиянах. Об этом пишет «РИА Новости» со ссылкой на предоставленные регулятором данные.

Источник изображения: Hack Capital / unsplash.com

«В 2024 году Роскомнадзор зафиксировал 135 случаев распространения в интернете баз данных, содержащих более 710 млн записей», — сообщил представитель ведомства.

Напомним, в ноябре прошлого года президент РФ подписал закон, усиливающий ответственность за утечки персональных данных и их незаконный оборот. Документ дополнил Уголовный кодекс ст. 272 «Незаконное использование и (или) передача, сбор и (или) хранение компьютерной информации, содержащей персональные данные». За массовую утечку данных (свыше 100 тыс. субъектов персональных данных или 1 млн идентификаторов) штрафы увеличились до 400 тыс. рублей для граждан, до 600 тыс. рублей для должностных лиц и до 15 млн рублей для юрлиц.

В декабре прошлого года глава Роскомнадзора Андрей Липов рассказал, что совместная работа подконтрольного ему ведомства с операторами связи позволила в шесть раз сократить количество абонентов, имеющих более тысячи SIM-карт. Он также напомнил, что с 2025 года жители страны смогут оформить не более 20 SIM-карт, а иностранцы — не более 10 SIM-карт. Тогда же он добавил, что принятые в стране новые меры ответственности будут побуждать компании серьёзнее относиться к вопросам защиты персональных данных.

Компания Meta✴ выплатила $100 000 независимому специалисту в области кибербезопасности Бену Садегипуру (Ben Sadeghipour) за обнаружение серьёзной уязвимости на платформе. Анализируя систему показа рекламы, Садегипур нашёл брешь, которая позволила ему выполнить команду в закрытой части серверной инфраструктуры Facebook✴, фактически получив над сервером полный контроль.

Источник изображения: Shutter Speed / Unsplash

Как сообщает TechCrunch, уязвимость была связана с одним из серверов, используемых Facebook✴ для создания и показа рекламы. Этот сервер оказался подвержен ранее известной и исправленной ошибке в браузере Chrome, который Facebook✴ использует в своей рекламной системе. Садегипур объяснил, что с помощью облегчённой версии браузера Chrome, запускаемой через терминал, он смог взаимодействовать с внутренними серверами компании и получить доступ к управлению ими в качестве администратора.

«Я предположил, что это критическая уязвимость, которую стоит исправить, поскольку она находится прямо внутри вашей инфраструктуры», — написал Садегипур в своём письме для Meta✴. Компания быстро отреагировала на ситуацию и попросила исследователя воздержаться от дальнейших тестов до устранения проблемы. Исправление заняло всего один час.

Садегипур также подчеркнул опасность обнаруженной ошибки. Хотя он не стал проверять всю возможную функциональность, которую можно было бы использовать, находясь внутри инфраструктуры Facebook✴, он предупредил, что данная уязвимость позволяет потенциально получить доступ к другим сайтам и системам внутри инфраструктуры компании. «С помощью уязвимости удалённого выполнения кода можно обойти ограничения и напрямую извлекать данные как с самого сервера, так и с других устройств, к которым он подключен», — пояснил он.

Meta✴ отказалась предоставить комментарий по запросу журналистов, однако факт устранения бага был подтверждён. Садегипур также добавил, что аналогичные проблемы существуют у других компаний, чьи рекламные платформы он тестировал.

Вчера вечером Telegram-канал «Утечки информации» обнаружил объявление хакеров, которые заявили, что им удалось похитить около 1 Тбайт личных данных из Росреестра. В ведомстве утечку информации из Единого государственного реестра объектов недвижимости не подтвердили.

Источник изображения: Glenn Carstens Peters / Unsplash

«В настоящее время проводятся дополнительные проверки информации, опубликованной в ряде телеграмм-каналов», — сказано в сообщении, опубликованном в Telegram-канале Росреестра.

Хакеры утверждают, что в их распоряжении находится около 1 Тбайт данных, похищенных у Росреестра. В доказательство этого злоумышленники выложили в открытый доступ архив с базой данных, в которой содержатся ФИО, адреса электронной почты, номера телефонов, адреса, паспортные данные, СНИЛС россиян, а также названия компаний.

Напомним, в ноябре прошлого года был принят закон, ужесточающий наказание за утечку персональных данных. На данный момент допустившим утечку данных клиентов компаниям грозит штраф до 100 тыс. рублей, а при повторных инцидентах — до 300 тыс. рублей. В пояснительной записке к закону говорилось, что «указанный размер штрафа не соразмерен с возможными последствиями от произошедших утечек». Поэтому для компаний были введены оборотные штрафы — до 3 % годовой выручки. Кроме того, за использование, передачу, сбор и хранение персональных данных, полученных незаконным путём, а также за создание интернет-ресурсов для распространения таких данных, предусмотрена уголовная ответственность.

Январь ещё позволяет действующему правительству США реализовывать намеченные законодательные инициативы, поэтому Министерство юстиции в этом месяце утвердило правило, которое запрещает передавать массивы персональных данных американских граждан представителям недружественных стран.

Источник изображения: Unsplash, ODISSEI

Помимо Китая и России, в этот перечень попали Иран, КНДР, Куба и Венесуэла. Специфика данных, которые запрещены к передаче в указанные страны, также описывается — это данные личных документов, биометрия, точное геопозиционирование, информация о здоровье и финансах граждан США, а также их генетические данные. По словам представителей ведомства, принятие данного правила является важным шагом по нейтрализации угрозы, исходящей от недружественных стран в сфере сбора наиболее чувствительной информации об американских гражданах.

Правило вступит в силу в течение 90 дней, оно запретит продажу указанных категорий данных в перечисленные страны. Исключения сделаны только для каналов научного обмена, включая медицинские исследования, но только некоммерческие. Американские граждане также сохранили право предоставлять свои данные представителям недружественных государств в индивидуальном порядке, если этого требует специфика их коммерческой деятельности.

Внутри США отдельные правила уже запрещают продажу данных о гражданах, за исключением сфер страхования, кредитования и подбора кандидатов на замещение вакансий. Применять полученные данные в рекламных и маркетинговых целях также запрещено.

Учёные из австралийского Университета Флиндерса (Flinders University) на новом уровне возродили идею механической записи данных, подобную древней клинописи или записям на перфокартах. Запись и считывание происходят с помощью зонда на атомарно-силовом микроскопе, а кодирование включает глубину погружения зонда в проделанные отверстия, что вчетверо увеличивает плотность записи по сравнению с плоской двоичной.

Источник изображения: ИИ-генерация Кандинский 3.1/3DNews

В случае классической двоичной записи на перфокарте, на жёстком диске, на CD и DVD либо ставится та или иная отметка, либо нет. Исследователи из Австралии смогли делать отметки в виде углублений в особой пластиковой плёнке, но они смогли также разделить глубину погружения зонда в образованную канавку, что добавило к кодированию ещё две метки — одну на глубине 0,3–1,0 нм, другую на глубине 1,5–2,5 нм. В итоге им удалось кодировать данные в троичной системе 0, 1 и 2, а это запись на одной и той же площади носителя в четыре раза большего объёма информации, чем в обычном случае двоичного кодирования.

В качестве носителя для записи учёные использовали недорогую полимерную плёнку, состоящую из серы и химического соединения, известного как дициклопентадиен. Плёнка подобрана такой, чтобы она подходила для нанесения отверстий разной глубины и была бы недорогой в производстве и нетребовательной к условиям использования. Более того, свойства плёнки позволяют стирать информацию простым нагреванием до 140 °C. В своих экспериментах учёные проделали эту операцию четыре раза, и это не привело к ухудшению свойств материала. Наконец, запись осуществляется при комнатной температуре, что гарантирует низкие энергозатраты на этом этапе.

Источник изображения: Advanced Science 2024

«Это исследование раскрывает потенциал использования простых возобновляемых полисульфидов в механическом хранилище данных на основе зондов, предлагая потенциальную альтернативу современным технологиям с более низким энергопотреблением, более высокой плотностью и более устойчивой», — поясняют учёные, которые провели исследование.