22 сентября 2016 года компания Yahoo признала, что персональные данные ее пользователей были похищены. Речь идет о краже данных не менее 500 миллионов аккаунтов.
Это произошло еще в 2014 году, но факт был признан компанией только сейчас. Yahoo! обнаружила этот взлом после того, как в августе получила информацию о другой атаке, которая оказалась ложной.
Объем похищенных данных превышает объемы, украденные с серверов других электронных компаний – таких как MySpace.Читать полностью »
В распоряжение ресурса leakedsource.com, специализирующегося на информационной безопасности, попала база учетных записей от сервиса Rambler.ru, которая была украдена злоумышленниками еще в 2012 году. Предоставил ее пользователь daykalif@xmpp.jp~~pobj, который также ответственнен за публикацию базы аккаунтов last.fm.
Каждая из 98 167 935 учетных записей содержит логин пользователя, его пароль и еще некоторую информацию. Отдельно стоит отметить, что пароли не зашифрованы и хранятся в виде обычного текста. Самыми популярными паролями базы оказались «asdasd» «asdasd123» и, конечно, «123456».
Читать полностью »
Как часто вы задумываетесь о том, что за каждым вашим шагом в интернете следят? Опустим конспирологов, фриков и прочих помешанных на анонимности в сети и рассмотрим обычного среднестатистического пользователя, который имеет профиль в социальных сетях, закупается на Amazon и вполне спокойно ведет деловую переписку через Gmail. Согласитесь, людей, подходящих под это описание — подавляющее большинство, да и многие из читателей ведут себя так же.
Мы давно смирились с тем, что введенные нами запросы фиксируются Google, Bing, «Яндексом» или другим популярным поисковиком. Мы давно привыкли к тому, что из наших интересов в поиске формируется контекстная реклама товаров или услуг и, возможно, иногда она даже бывает полезна. Мы давно знаем, что любой мало-мальски крупный сервис требует нашего согласия на обработку наших персональных данных, которые мы же добровольно и предоставляем в виде анкет, места жительства и прочей информации. А даже если и не предоставляем — сервис сам получает их по собственным каналам.
Информация о людях — основа бизнеса технологических гигантов. Конечно, торговля информацией о нас происходит в некотором завуалированном виде, в составе массива, но между пользователем и компаниями существует негласный паритет: они нам бесплатный сервис, а мы им возможность привлечь деньги рекламодателей.
Читать полностью »
В этом году мы получили сертификат ФСТЭК (ТУ+НДВ4) на версию Veeam Backup & Replication v8 Update #2. В этом посте я кратко расскажу о том, в каких случаях стоит выбирать именно эту (сертифицированную) версию продукта вместо обычной (не сертифицированной) версии, о ключевых отличиях нашей сертифицированной версии, и об общих требованиях законодательства к резервному копированию информации ограниченного доступа, не относящейся к гостайне.
Вчера компания WhatsApp объявила о внесении изменений в два документа — Условия предоставления услуг (Terms Of Service) и Политику конфиденциальности (Privacy Policy).
Текст документов на русском языке
Изменения в эти документы вносят впервые за четыре года. Как несложно догадаться, изменения связаны с тем фактом, что в 2014 году компания WhatsApp перешла в собственность корпорации Facebook. Пришло время окупить потраченные деньги, то есть слить новому владельцу информацию о своих пользователях.
Читать полностью »
Беспокойство граждан Евросоюза, связанное с хранением их личных данных глобальными корпорациями, в последние годы сильно возросло и уже граничит с открытым возмущением. Виной тому стали быстрое развитие коммуникационных технологий, участившиеся случаи утечек персональных данных, размытая политика IT-гигантов в отношении обеспечения защиты личной информации и отсутствие единых и прозрачных правил.
Под давлением активистов органы Европейской юстиции и Европарламент приняли ряд законов по защите личных данных своих сограждан и их репутации («Общие положения о защите данных» – GDPR и нашумевшее “право на забвение”). Однако, судя по последним событиям, борьба за сохранность конфиденциальной информации еще далека от завершения.
Читать полностью »
Время от времени я провожу внешние аудиты безопасности IT компаний, поддерживающих Bug Bounty. Согласно странице Рокетбанк может принять решение о вознаграждении в случаях обнаружения серьезных и публично неразглашенных уязвимостей.
За текущий год я обнаружил значительное количество уязвимостей в системе Рокетбанка, в том числе позволяющих получить персональные данные всех клиентов, реализовать XSS-атаку. В данной статье я опишу результаты последнего проведенного мной аудита Рокетбанка.
Читать полностью »
На прошлой неделе, 27 июня, Организация Объединенных Наций приняла резолюцию «о защите прав в Интернете» (The promotion, protection and enjoyment of human rights on the Internet).
Согласно тексту документа, Генассамблея ООН призвала страны пересмотреть свою позицию по перехвату информации, чтению переписки, сбору персональных данных и слежки за собственными гражданами. Наравне с этим была выражена обеспокоенность, что современные технологии активно используются террористическими группировками. В резолюции осуждаются любые блокировки и ограничения доступа к сети Интернет. Бороться же с преступностью предлагается при помощи поиска альтернатив и налаживания взаимодействия структур, ответственных за безопасность, с социумом.
Фактически, документ, принятый Генассамблеей, идет вразрез с последними «антитеррористическими поправками» Яровой-Озерова.
Читать полностью »
«Яндекс» представил сервис Яндекс.Аудитории на ежегодной конференции YaCM. Сервис позволяет загружать, исследовать, разбивать аудиторию существующего офлайн бизнеса на целевые группы для показа им сфокусированной онлайн рекламы (или намеренного не показа рекламы «плохим клиентам»).
Я.Аудитории принимают от рекламодателя список email адресов, Читать полностью »
Всего несколько дней назад мы получили уведомление от испанской электроэнергетической компании Endesa, в котором нас предупредили о новом онлайн-мошенничестве, поражающем жертвы с помощью поддельных электронных писем. Кибер-преступники отправляли ложные счета испанским пользователям якобы от имени компании Endesa, при открытии которых они подвергались кибер-атаке. К сожалению, кибер-преступникам удалось успешно начать свои атаки, и даже продолжить их в других странах. Сейчас очень трудно оценить число людей, получивших такие «письма счастья», и долю тех, кто стал жертвой данной атаки.
За последние несколько часов обнаружен новый очаг подобной атаки. Государственная электрическая компания PGE (Польша) также попала под внимание данной сети кибер-преступников, которые использовали этот метод атаки уже на международном уровне. Подобно инциденту в Испании, в этом случае преступники также поражают важную и чувствительную информацию, принадлежащую домашним и корпоративным пользователям, после того как открывается зараженный файл, в котором, как предполагается, должен быть счет за электричество (который оказывается слишком дорогим для пользователей).Читать полностью »
