»

Irski informacijski pooblaščenec preverja (stari) vdor v Facebook

vir: BBC
BBC - V pobeglih podatkih Facebookovih uporabnikov, ki so jih hekerji minuli teden ponovno priobčili na spletu, je tudi okrog 110.000 telefonskih številk iz Slovenije. Facebook trdi, da gre za star vdor iz leta 2019, katerega vzrok so že odpravili. Tudi SI-CERT je s pregledom podatkov ugotovil, da so starejšega datuma. Vseeno pa je irski informacijski pooblaščenec začel preiskavo, v kateri želijo potrditi, da gre res za stari vdor.

Ker ima Facebook evropski sedež na Irskem, je prav tamkajšnji informacijski pooblaščenec ključen za nadzor nad tem velikanom. Tudi zaradi tega so še posebej previdni in bodo tudi to pot ponovno preverili, kaj se je zgodilo. Časovnica je pomembna tudi zato, ker se je stari vdor zgodil pred uveljavitvijo GDPR, morebitni novi pa bi imel bistveno resnejše posledice za podjetje.

Kljub temu pa velja poudariti, da je večina pobeglih podatkov sorazmerno nespremenljivih. Ime in priimek sta skupaj z rojstnimi podatki zagotovo takšna, tudi prebivališče, telefonske...

1 komentar

British Airways za vdor doletela zajetna globa

vir: Max Pixel

vir: The Verge
The Verge - Britanska informacijska pooblaščenka je otoškemu letalskemu prevozniku zaradi lanskoletnega vdora izrekla globo v višini 183 milijonov funtov. V incidentu so bili razgaljeni osebni podatki približno pol milijona njihovih strank, med drugim številke kreditnih kartic, naslovi, imena, uporabniška imena in gesla ter podrobnosti o posameznikovih potovanjih.

Pooblaščenka je ukrep pospremila s komentarjem, da izguba osebnih podatkov ni zgolj neprijetnost, pač pa je naloga podjetij vzpostavitev potrebnih ukrepov, da bi zaščitili pravice svojih uporabnikov do zasebnosti. Globa še ni pravnomočna, British Airways (BA) ima zdaj 28 dni časa za pritožbo, v podjetju pa so nad odločitvijo regulatorja obenem presenečeni in razočarani.

...

4 komentarji

Odgovorno razkritje ali neodgovorno nerazkritje

Dostop preko HTTPS povezave nas preusmeri na povsem drugo spletišče, kar kaže na uporabo skupnega gostovanja za eno večjih zbirk osebnih podatkov.

Slo-Tech - V lanskem letu se je v Sloveniji zgodil eden večjih incidentov na področju varstva osebnih podatkov v zdravstvu. V eni večjih slovenskih zdravstvenih ustanov niso bili ogroženi le osebni podatki zaposlenih, pač pa tudi osebni podatki pacientov. Dostopna je bila zdravniška dokumentacija, vključno z napotnicami, ki vsebujejo zelo občutljive osebne podatke pacientov. Vse skupaj je bilo široko odprto v splet, spletni strežnik zdravstvene ustanove pa sploh ni uporabljal HTTPS zaščitene povezave.

In zakaj javnost o tem incidentu ničesar ne ve? Preprosto zato, ker v Sloveniji prevladuje kultura skrivanja napak in pometanja le-teh pod preprogo. Namesto, da bi se o napakah pripravilo izčrpno poročilo, ki bi vsebovalo...

139 komentarjev

Twitter napaden, ukradenih 250.000 gesel

vir: Twitter
Twitter - Twitter je včeraj zvečer objavil, da so bili v preteklem tednu žrtev hekerskih napadov, ki so jim odnesli "omejene osebne informacije" 250.000 uporabnikov. V tem tednu so odkrili nenavaden vzorec dostopa do njihovih storitev, za katerega se je po pregledu izkazalo, da gre za nepooblaščen dostop ozira vdor. Napad so takoj po odkritju uspeli preprečiti, a so hekerji v vmesnem času vseeno pridobili nekatere podatke.

Twitter ima 140 milijonov uporabnikov, od katerih jih je prizadetih 250.000. Napadalci so uspeli pridobiti uporabniška imena, elektronske naslove, žetone za sejo in šifrirana gesla. Zaradi tega je Twitter ponastavil gesla za vse prizadete uporabnike in jim preklical vse piškotke. Ti bodo na svoj elektronski naslov prejeli povezavo, kjer si bodo izbrali novo geslo in se ponovno prijavili. Stara gesla ne delujejo več. Kdor je...

10 komentarjev

Sony zaradi predlanskega vdora oglobljen v Veliki Britaniji

BBC - Britanski informacijski pooblaščenec je Sonyju izrekel 250.000 funtov globe zaradi napada na Sonyjevo omrežje PSN (PlayStation Network) leta 2011. V napadu, ki se je izkazal za precej resnejšega od prvotnih ocen, je bilo odtujenih ogromno osebnih podatkov naročnikov, kar je tudi razlog za izrek globe.

Informacijski pooblaščenec David Smith pojasnjuje, da je Sony nepotrebnemu tveganju izpostavil imena, naslove, elektronske naslove, gesla, številke kreditnih kartic, rojstne podatke in druge osebne podatke, ki so mu jih v dobri veri zaupali uporabniki. Sony je z malomarno zaščito prekršil Data Protection Act. Preiskava je namreč odkrila, da se bil Sony napadu mogel izogniti, če bi uporabljal svežo programsko opremo in če bi svoje omrežje...

4 komentarji

Manchestrska policija kaznovana s 120.000 funti za iznos podatkov na nešifriranih USB ključkih

Tamkajšnja policija je že itak na udaru zaradi vprašljivih pooblastil za odstranitev vinjenih nogometnih navijačev, ter zaradi slabega ravnanja v primeru umora dveh uniformiranih policistk v začetku meseca.

vir: computing.co.uk
computing.co.uk - Policistom v angleškem Manchestru je lani oz. predlani uspelo izgubiti dva USB ključka s podatki o tekočih preiskavah oz. tajnih sodelavcih policije, potem ko so jih brez uporabe šifriranja ali podobnih varnostnih ukrepov preprosto odnesli domov, da bi lahko nadaljevali delo. Britanski informacijski pooblaščenec se je minuli teden odločil, da da je policija kljub dobremu namenu grobo kršila določbe o varstvu osebnih podatkov, ter policijski postaji naložil plačilo civilne kazni v višini 120.000 funtov. Ta ponedeljek je bila tudi plačana, k sreči z 20% popustom za rano plačilo (naša polovička).

Namestnik vodje urada informacijskega pooblaščenca, David Smith, je ob tem povedal, da sicer ne nasprotujejo iznosu...

4 komentarji

Aretiran še en član LulzSeca

vir: Sophos
Slo-Tech - Medtem ko je v medijih potihnilo vse povezano s hekersko skupino LulzSec, se delo organov pregona nadaljuje. Skupina je bila uradno razpuščena že pred letom dni, a to ni ustavilo preiskave. Letos marca so aretirali pet vodilnih članov skupine, pri čemer jim je pomagal tudi skesanec Sabu, ki je bil vodja skupine in je precej časa sodeloval s policijo. V Veliki Britaniji so bili aretirali 20-letnika, ki je bil letos junija obtožen sodelovanja pri napadih. Te dni pa so aretirali še enega člana skupine LulzSec, ki ga sumijo sodelovanja pri lanskem vdoru v Sony.

Že pred tem so bili aretirali...

9 komentarjev

Sony ni pričal pred Kongresom, uradno mnenje IP

Slo-Tech - Minila sta dva tedna, odkar je Sony opazil vdor v svojo storitev PlayStation Network (PSN). Prvikrat so v torek, 19. aprila, opazili, da se je nekaj strežnikov ponovno zagnalo, česar niso načrtovali. Dan pozneje so v preiskavi dnevniških datotek našli indice, da je bil omrežje napadeno in uporabniški osebni podatki odtujeni. Dokaze o tem so pridobili šele 25. aprila in dan pozneje so uporabnike obvestili o vdoru. Zgodba s tem še zdaleč ni končana. Sony je obljubil, da bo prenovljena in bolje zavarovana verzija PSN še ta teden spet dosegljiva, in do sredine tedna se to še ni zgodilo. So pa napovedali izid novega popravka za strojno programsko opremo (firmware) na konzolah na verzijo 3.61, ki bo uporabnike tudi prisilila v zamenjavo gesla.

Sonyjevi inženirji medtem delajo nadure. BBC je objavil, da je Sony najel tudi zunanje izvedence iz več podjetij, ki bodo pomagali v preiskavi in gradnji varnejšega omrežja. Da bi razjasnili podrobnosti o napadu, so na zaslišanje predstavnike...

13 komentarjev

Sony PlayStation Network nazaj prihodnji teden, številke kreditnih kartic so bile šifrirane

Le kakšne bodo dolgoročne posledice napada za Sony?

vir: Ars Technica
Slo-Tech - Sonyjeva storitev PlayStation Network (PSN), ki je zaradi vdora v sistem nedosegljiva že od prejšnjega tedna, ostaja izključena, medtem ko na internet curljajo nove, to pot bolj pomirljive informacije o incidentu. Čeprav so na Ars Technici poročali o bralcih, ki so doživel zlorabo kreditne kartice in za to obtožili vdor v Sony PSN, ker sicer kreditne kartice niso bili nikjer uporabili, se to zdi manj verjeten razlog.

Sony je namreč zagotovil, da so bili vsi podatki o kreditnih karticah strank šifrirani, tako da si napadalci tudi z odtujenimi podatki ne bi mogli pomagati, če je bilo šifriranje seveda kakovostno (o tem Sony ni razkril podrobnosti). Poizvedba sicer kaže, da tabela s temi podatki sploh ni bila odtujena. Toda priznali so, da ostali podatki niso bili šifrirani, marveč shranjeni kot...

49 komentarjev

Informacijski pooblaščenec podal mnenje o elektronskem cestninjenju

Slo-Tech - Danes je Informacijski pooblaščenec podal Mnenje o varstvu osebnih podatkov pri elektronskem cestninjenju. Slovenija naj bi v skladu z EU direktivo 2004/52/ES, ki uvaja načelo plačevanja cestnine glede na prevožene kilometre, po nekaterih napovedih elektronsko cestninjenje uvedla že v letu 2009, vsekakor pa verjetno med prvimi v Evropi.

Ker gre pri elektronskem cestninjenju za zbiranje velikega števila osebnih podatkov, med drugim tudi lokacijske in časovne podatke o prevoženi poti, je seveda zelo pomembno, kako bodo ti podatki zavarovani. Prekomerno zbiranje in nepooblaščen dostop do podatkov bi namreč omogočala sledenje posameznim vozilom ali naknadno ugotavljanje, kje se je neko vozilo v danem trenutku nahajalo.

Pri debatah okrog uvedbe elektronskega cestninjenja se trenutno izpostavljata dva koncepta. Prvi predvideva uporabo naprave, ki bo povezana z nadzornim oziroma obračunskim centrom (ne nujno s stalno povezavo), kamor bo posredovala lokacije o gibanju vozila. Drugi pa...

87 komentarjev