The Verge - Kazen je v okviru poravnave izrekel ameriški regulator za trgovino, FTC oz. Federal Trade Commission, in sicer zaradi nezakonitega zbiranja podatkov o otrocih, mlajših od 13 let, brez da bi v to privolili njihovi starši. Podjetje je namreč skrivaj uporabljalo zgodovino ogledov otrok, da bi jim nato plasirali personalizirane oglase. Tako zbiranje podatkov pa prepoveduje že davnega leta 1998 sprejeti zvezni zakon Children's Online Privacy Protection Act, znat tudi pod imenom COPPA. Dalje, YouTube je dolga leta ostro zanikal, da na svojo osrednjo storitev namerno mami otroke, po drugi strani...

Slo-Tech - Po poročanju Washington Posta se Facebooku v ZDA obeta rekordna kazen, ki mu jo bo izrekla Zveza agencija za trgovino (FTC). Po neuradnih podatkih - iz Facebooka komentarjev ni, FTC pa je zaradi prekinitve financiranja ameriške vlade do nadaljnjega zaprta - bo kazen bistveno višja od 22 milijonov dolarjev, ki jih je za podobne kršitve leta 2012 moral plačati Google. Facebooku očitajo kršenje dogovora s FTC iz leta 2011 glede varovanja osebnih podatkov strank.

Leta 2011 se je Facebook s FTC-jem poravnal po obtožbah o zlorabah osebnih podatkov svojih uporabnikov. Del poravnava je bila tudi zaveza, da bo bodo vse prihodnje spremembe terjale izrecno privoljenje (opt-in) in da bo 20 let izvajal zunanje preglede svoje prakse...

Slo-Tech - Ob zadnjih škandalih z zbiranjem informacij o milijonih uporabnikov Facebooka se je izpostavljalo podjetje Cambridge Analytica, ki so ga dobili s prsti v marmeladi, a še zdaleč ni edino podjetje, ki je to počelo. Malo znano podjetje Localblox iz zvezne države Washington se je znašlo pod žarometi, saj je zbralo in nevede na ogled postavilo 48 milijonov profilov.

Localblox se ukvarja z avtomatičnim brskanjem, iskanjem in zbiranjem po spletu. Svoje podatke v glavnem nabira s Facebooka, Twitterja, LinkedIna in podobnih strani. V začetku tega leta je podjetje na strežnikih Amazon S3 pustilo javno dostopen odklenjen arhiv lbdumps, ki je meril 1,2 terabajta (stisnjen pa 151 GB). V njem so bili osebni podatki 48 milijonov ljudi, nabrani iz različnih virov in sestavljeni skupaj. Arhiv je našel raziskovalec Chris Vickery, ki je v preteklosti odkril že številne pozabljene javno dostopne podatkovne baze....

Krebs On Security - Pravzaprav je bilo le vprašanje, kdaj bo mamljiva baza podatkov pricurljala na internet. Točno mesec dni po vdoru v spletno stran Ashley Madison se je na internetu znašel 10 gigabajtov težak arhiv, ki domnevno vsebuje informacije o uporabnikih strani. Prve analize kažejo, da bi bil arhiv lahko pristen, podatki pa resnični.

Ashley Madison je kanadska spletna stran, ki jo ljudje uporabljajo, da laže diskretno varajo svoje partnerje. Oglašuje se s sloganom Življenje je kratko, privoščite si afero, in je kljub kritikam nekaterih skupin zelo priljubljena stran. Nezaželeno publiciteto je stran doživela 15. julija, ko so neznani napadalci ob vdoru na stran ukradli vse podatke o uporabnikih, kar je glede na namen...

LastPass - Ponudnik priljubljene brskalniške razširitve za upravljanje z gesli LastPass je včeraj priznal, da so bili tarča vdora. Kot pravijo, so še neznani storilci uspeli pridobiti delni dostop do njihove podatkovne baze in odtujiti nekatere ("osnovne") podatke o njihovih uporabnikih.

Konkretno; odtujili naj bi podatke o vseh uporabniških računih - e-poštni naslov, opomnik za primer pozabljenega gesla ter močno zgoščeno obliko glavnega (master) gesla za zavarovanje gesel na drugih straneh. Naj pa ne bi bilo nobenih dokazov, da so se napadalci uspeli priti tudi do tistega dela podatkovne baze, kjer se hrani gesla za druge strani ("vault").

Ekipa pojasnjuje, da zgolj z navedenimi podatki praviloma ne bi smelo biti mogoče priti do izvrine (cleartext) oblike glavnega gesla in torej tudi ne do gesel za ostale strani. Za zgoščevanja gesla namreč uporabljajo...

Slashdot - RockYou, podjetje, ki izdeluje spletne družabne igre (ena bolj znanih, ki je integrirana v Facebook, je Vampires), je konec leta 2009 doživelo resen šok, ko je neznan heker z uporabo SQL vrivanja odtujil rekordno količino 32 milijonov uporabniških imen, gesel in e-poštnih naslovov. RockYou se ni držal niti osnovnih dobrih praks, saj je hranil gesla kar v čitljivi obliki, pri ustvarjanju gesla pa stran ni dovoljevala "posebnih" znakov kot so na primer #, ! ali %, kar precej zmanjša moč gesel. Porazna pa je bila tudi reakcija RockYou, saj so uporabnike o vdoru in kraji podatkov obvestili šele 12 dni kasneje, ko so lahko hekerji ukradena gesla že uporabili drugje.

RockYou je kasneje zaradi malomarnega ravnanja z uporabniškimi podatki tožil uporabnik Alan Claridge, Slashdot pa poroča, da se je včeraj RockYou pogodil s FTC, ki ga je oglobil za 250 tisoč dolarjev. Pri tem velja omeniti, da je bil RockYou oglobljen predvsem zaradi kršenja zakona COPPA. Po tem zakonu morajo namreč...

Slo-Tech - Italijanski AGCM (Autorità garante della concorrenza e del mercato), ki skrbi za varovanje konkurence in pravic potrošnikov, je Applu izrekel skoraj milijon evrov težko globo zaradi zavajanja potrošnikov.

Srž problema je tičala v oglaševanju osnovne in plačljive podpore in garancije. V Evropi je namreč že od leta 1999 v veljavi direktiva 1999/44/ES, ki eksplicitno zahteva najmanj dvoletno garancijo za stvarne napake na vsak izdelek, ki se proda v EU (pri nas je določba prenesena v 37.b in 37.c člen Zakona o varstvu potrošnikov). Medtem pa je Apple v Italiji na svojih...

Heise - Francoski CNIL (Commission nationale de l'informatique et des libertés), ki skrbi za varovanje osebnih podatkov, je Googlu izrekel globo v višini 100.000 evrov. CNIL je namreč odločil, da je bilo zbiranje podatkov o brezžičnih omrežjih, ki so jih domnevno nevede prestrezala in zbirala Googlova vozila za snemanje okolice za storitev Google Street View, kaznivo dejanje.

Ko se je škandal razkril, so nekatere države sprožile preiskavo, med njimi tudi Francija. CNIL je od Googla zahteval in tudi dobil zbrane podatke. Analiza je pokazal, da Google ni zbiral le imen omrežij (SSID) in MAC-naslovov, marveč tudi vsebinske podatke o prometu.

Google ima dva meseca časa, da se na globo pritoži. Ko...

CNet - Prejšnji mesec smo pisali o malomarnosti skrbnikov strani RockYou, ki so uporabniška imena in gesla hranili kar v tekstovni obliki v bazi, ki je bila povrhu še občutljiva na napad SQL injection. Kdor izziva nesrečo, si je kriv sam, in tudi v tem primeru se je našel nepridiprav, ki je izkoristil na stežaj odprta vrata in odtujil 30 milijonov uporabniških podatkov. RockYou je reagiral slabo, saj so najprej poskusili vse skupaj zamolčati, nato pa so uporabnike obvestili z veliko zamudo.

Alan Claridge iz Indiane je mnenja, da je takšno varovanje podatkov nedopustno, zato podjetje RockYou toži, ker niso uspeli zagotoviti zaščite podatkov. Tožbo je vložil v ponedeljek na sodišču v San Franciscu, prizadeva pa si, da bi dobila status skupinske tožbe (class action). V tožbi piše, da je RockYou lahkomiselno in zavedno opustil najosnovnejše korake za zaščito podatkov, uporabnike pa obvestil šele 12 dni po vdoru. V devetih točkah jim očita malomarnost, kršitev pogodbe, kršitev kalifornijskih...

TechCrunch - Zlikovci so vdrli v uporabniško bazo podatkov podjetja RockYou Inc., ki izdeluje aplikacije za socialno mreženje (npr. vtičnike za Facebook), in odtujili 30 milijonov podatkov o uporabniških računih. Podatki so bili shranjeni v tekstovni obliki v kompromitirani podatkovni bazi, pri čemer so bila uporabniška imena enaka, kot so jih imeli uporabniki za dostop do spletnega poštnega predala (Gmail, Yahoo, Hotmail ...). Ker mnogo ljudi še vedno uporablja isto geslo za več različnih strani, to proži še dodatne probleme.

Podjetje Imperva je ta konec tedna RockYou opozorilo, da je z njihovo podatkovno bazo nekaj resno narobe, saj je občutljiva na napad SQL injection. RockYou naj bi luknjo hitro zakrpal, a so nadebudni heker pred tem uspeli prebrati prav vse podatke iz baze podatkov - 32.603.388 parov imen in gesel. Del tega so tudi objavili, za zdaj z ustrezno zakritimi gesli, in zagrozili RockYou, naj ne lažejo, sicer bodo objavili celoten seznam. Slednji so se odzvali in javno priznali,...

The Age - Na vsesplošno zadovoljstvo so na križ pribili še enega plodnega spamerja, ki je bil odgovoren za dobršen del spama v naših nabiralnikih. Lance Atkinson iz Christchurcha v Novi Zelandiji, ki je zadnja leta sicer živel v Avstraliji, je bil obsojen na plačilo 16 milijonov dolarjev kazni zaradi razpošiljanja spama. Ameriška zvezna trgovinska komisija (FTC) je že lani zamrznila njegovo premoženje, ko so uvedli preiskavo, sedaj pa ga izdatno je oglobila.

Atkinson je sicer že pred tem priznal pošiljanje spama, za kar ga je novozelandsko sodišče kaznovalo s 100.000 dolarji (50.000 evrov), kar se je Američanom zdelo premalo. Nič čudnega, saj so z dvema milijonoma spamerskih sporočil, ki so jih poslali...