Опрос
|
реклама
Быстрый переход
Новый вид мошенничества с использованием ИИ нацелен на захват миллионов аккаунтов Gmail
15.10.2024 [05:13],
Анжелла Марина
Сотрудник Microsoft предупредил о новой «сверхреалистичной» схеме мошенничества с использованием ИИ, которая способна обмануть «даже самых опытных пользователей». Целью аферы, связанной с поддельными звонками и электронными письмами якобы от Google, является захват учётных записей Gmail. С появлением искусственного интеллекта злоумышленники находят новые способы использования технологии в своих интересах. Консультант по решениям Microsoft Сэм Митрович (Sam Mitrovic) чуть сам не попался на обман и рассказал в своём блоге, как всё происходит. Недавно он получил СМС-уведомление с просьбой подтвердить попытку восстановления доступа к своему аккаунту Gmail. Запрос пришёл из США, но он отклонил его. Однако спустя 40 минут был обнаружен пропущенный звонок с идентификатором Google Sydney. Через неделю Митрович снова получил уведомление о попытке восстановления доступа к своему аккаунту Gmail. И вновь, спустя 40 минут, получил звонок, который на этот раз решил принять. По его словам, звонивший говорил с американским акцентом, был крайне вежлив, а номер звонившего оказался австралийским. Собеседник представился и сообщил, что на аккаунте зафиксирована подозрительная активность и спросил, не находится ли Митрович в поездке? После отрицательного ответа задал ещё пару уточняющих вопросов. В процессе разговора сотрудник Microsoft решил проверить номер, используя данные Google. К его удивлению, официальная документация Google подтвердила, что некоторые звонки действительно могут поступать из Австралии, при этом номер казался подлинным. Однако, зная о возможной подмене номеров, Митрович продолжил проверку, попросив звонившего отправить ему электронное письмо. Тот согласился. При этом на линии во время ожидания были слышны звуки клавиатуры и шумы, характерные для колл-центра, что не должно было вызвать сомнений в подлинности разговора. Однако всё раскрылось в тот момент, когда звонивший повторил «Алло» несколько раз. Митрович понял, что разговаривает с ИИ, так как «произношение и паузы были слишком идеальными». Бросив трубку, он попытался перезвонить на номер, однако услышал автоматическое сообщение: «Это Google Maps, мы не можем принять ваш звонок». Далее он проверил активность входа в свой аккаунт Gmail (это можно сделать, нажав на фото профиля в правом верхнем углу, выбрав «Управление аккаунтом Google», затем перейдя в раздел «Безопасность» и проверив «Недавнюю активность безопасности»). Все входы в систему, к счастью, оказались его собственными. Далее Митрович изучил заголовки полученного письма и обнаружил, что мошенник подделал адрес отправителя с помощью системы Salesforce CRM, которая позволяет пользователям устанавливать любой адрес и отправлять письма через серверы Google Gmail. Итог истории в том, что мошенники с помощью ИИ и поддельного Email могут быть настолько убедительны в своих действиях, что даже опытные пользователи могут быть подвергнуты обману. С учётом технологических реалий сегодняшнего дня, единственной защитой является бдительность. Архив интернета возобновил работу после атаки, но пока в режиме «только для чтения»
14.10.2024 [14:23],
Дмитрий Федоров
Архив интернета, расположенный по адресу archive.org, возобновил работу после недавней хакерской атаки, но пока в режиме «только для чтения». Ранее одна из крупнейших в мире цифровых библиотек и Wayback Machine стали жертвами масштабной DDoS-атаки. Тогда хакерам удалось похитить базу данных, содержащую 31 млн уникальных записей о пользователях, включая электронные адреса, имена пользователей и хэшированные пароли. Режим «только для чтения» позволяет просматривать архивированные веб-страницы, но функция добавления новых данных в архив временно недоступна. Основатель Архива интернета Брюстер Кейл (Brewster Kahle) отметил: «Сервис снова в сети, однако возможны новые приостановки для проведения дополнительных технических работ». Это временное решение позволяет устранить уязвимости, выявленные в ходе кибератаки. Команда Архива продолжает активно работать над восстановлением ключевых сервисов и усилением защиты. Помимо восстановления основной функциональности были возвращены в строй почтовые ящики сотрудников и краулеры для работы с национальными библиотеками. Wayback Machine, важнейший инструмент Архива интернета, открывает доступ к более чем 916 млрд сохранённых веб-страниц, что делает его неоценимым ресурсом для изучения истории интернета. Его значимость возросла после того, как Google удалил ссылки на свои собственные кэшированные страницы из результатов поиска и начал добавлять ссылки на архивные сайты в Wayback Machine, ставший теперь главным инструментом доступа к старым версиям сайтов и архивным страницам. Internet Archive всё ещё не работает после взлома — на восстановление уйдёт ещё несколько дней
13.10.2024 [19:39],
Владимир Фетисов
На этой неделе хакеры взломали сервис Wayback Machine, который принадлежит некоммерческой организации Internet Archive и позволяет пользователям просматривать сохранённые когда-то в прошлом страницы веб-сайтов. Во время DDoS-атаки на платформу злоумышленникам удалось похитить данные 31 млн пользователей сервиса, включая логины, адреса электронной почты и пароли в зашифрованном виде. Работоспособность Internet Archive будет восстановлена в течение нескольких дней. «Данные в безопасности. Сервисы отключены от сети, пока мы их изучаем и совершенствуем. Извините, но это необходимо. Сотрудники @internetarchive работают не покладая рук. Ориентировочные сроки: дни, а не недели», — заявил основатель платформы Брюстер Кейл (Brewster Kahle). О взломе Internet Archive стало известно в середине недели. Посетители сайта archive.org обратили внимание на появление уведомления, которое оставили злоумышленники и в котором говорилось о взломе площадки. Позднее основатель Have I Been Pwned Трой Хант (Troy Hunt) сообщил, что в его распоряжение попал файл с украденными данными пользователей. Согласно имеющимся данным, последняя запись в украденной базе данных датирована 28 сентября 2024 года. Зарегистрированные на сайте Ханта пользователи могут получить предупреждение, если связанная с ними информация присутствует в украденной базе данных. Брокеры данных собирают огромные объёмы информации о каждом человеке, но иногда можно попросить её удалить
12.10.2024 [16:43],
Павел Котов
В интернете уже давно работают компании, называемые брокерами данных, которые собирают беспрецедентные объёмы личной информации о миллиардах людей по всему миру, но мало кто осознаёт истинный масштаб их деятельности. И не всякий знает, что в некоторых случаях можно запросить удаление этой информации. Сегодня тщательно собирается, упаковывается и продаётся с целью извлечения прибыли каждое действие человека в интернете: каждый клик, покупка и каждый «лайк». Агрегированная персональная информация в этих условиях оказываются ценным товаром, что доказывает мировая индустрия брокеров данных. И с развитием инструментов искусственного интеллекта возникает риск, что объёмы извлекаемых сведений ещё сильнее вырастут, а мир брокеров данных, и без того непрозрачный, станет ещё более агрессивным. Это усиливает опасения по поводу конфиденциальности данных. По словам 67 % американцев, они мало или вообще ничего не понимают, что компании делают с их персональными данными, показали результаты исследования, проведённого Pew Research в 2023 году — в 2019 году таких было 59 %. И большинство (73 %) американцев считает, что у них «мало или совсем нет контроля» над тем, что компании делают с их информацией. Люди не осознают, что даже их номер телефона может использоваться брокерами данных или недобросовестными лицами для раскрытия крайне конфиденциальной информации: номера социального страхования, домашнего адреса, электронной почты и даже данных о семье. Крупные игроки в этой отрасли продают информацию ответственно, а мелкие и неизвестные могут обходить правила, нарушать этические границы и использовать персональные данные граждан так, что это может причинить им вред. Среди крупнейших игроков, по версии профильного сервиса OneRep, значатся Experian, Equifax, TransUnion, LexisNexis, Epsilon (ранее Acxiom) и CoreLogic, а также службы поиска людей Spokeo и Intelius. Эти компании работают в нескольких отраслях, обрабатывая как общедоступную информацию, так и закрытые конфиденциальные данные. Они предлагают различные услуги: маркетинговую аналитику, оценку кредитоспособности и проверку биографических сведений — при этом у них сформированы процедуры запроса собранных о себе данных или запроса на их удаление. Впрочем, компания может по-разному отреагировать за запросы из разных стран и даже штатов США. Ниже приводятся типы информации, которую обычно собирают брокеры данных, по словам опрошенных CNBC экспертов по вопросам конфиденциальности.
Брокеры данных продолжают работать под незначительным контролем, поскольку их работа регламентируется не везде: есть Общий регламент по защите данных (GDPR) в ЕС и некоторые нормативные акты в двадцати американских штатах, но и там нет уверенности, что эти компании действуют надлежащим образом. Чтобы начать полноценную работу по защите конфиденциальности, обществу необходимо осознать, какие объёмы личной информации передаются ежедневно, говорят эксперты. Полностью скрыться современный человек уже не может, но в его силах выработать новые привычки и овладеть новыми средствами, которые ограничат раскрытие данных. Например, некоторым мобильным приложениям следует ограничить доступ к геопозиции, в отдельных случаях лучше отказываться от сохранения файлов cookie и воздерживаться от публикации личных данных в интернете. Поможет применение защищённых браузеров и блокировщиков трекеров. Американские потребители имеют возможность отказаться от передачи своей личной информации некоторым брокерам данных, а также запросить её удаление — в отдельных случаях такой запрос обрабатывается всего один рабочий день. Но эта процедура иногда оказывается намеренно усложнённой, указывают эксперты, а ранее удалённые персональные данные могут опять появиться в той же базе, но уже из других источников. Существуют также службы, преимущественно платные, которые берут на себя составление и отправку запросов на удаление данных у разных операторов. Тем же, кто решит действовать самостоятельно, рекомендуется выполнить поиск своей персональной информации через Google и связаться с администрациями сайтов, где эта информация может обнаружиться. Или произвести поиск на ресурсах самих брокеров данных — у них же может быть форма запроса на удаление. В некоторых случаях, вероятно, потребуется решать вопрос в судебном порядке. Перспективы отрасли брокеров данных включают в себя как положительные, так и отрицательные аспекты. С одной стороны, развитие ИИ способно значительно упростить работу этим компаниям. С другой, защитой от них могут стать блокчейн, технологии повышения конфиденциальности, а также развитие законодательной базы. Но пока соответствующие нормы не приняты, брокеры данных продолжат собирать максимально возможные объёмы информации — для них это источник дохода, и чем больше информации о каждом человеке собрано, тем она точнее, а значит, дороже. Данные более 5 млн клиентов Burger King слили в открытый доступ
10.10.2024 [15:08],
Дмитрий Федоров
Персональные данные более 5 млн клиентов сети ресторанов быстрого питания Burger King, собранные через фирменное мобильное приложение, утекли в Сеть. В компании обвинили в случившемся хакеров, которые взломали платформу Mindbox. О крупной утечке данных клиентов сети ресторанов быстрого питания Burger King сообщили эксперты сервиса поиска утечек и мониторинга даркнета (DLBI). В открытый доступ попали 5 627 676 строк, содержащих такие данные, как имя, номер телефона, адрес электронной почты, пол, дата рождения, город, любимая категория или блюдо, а также дата заказа. Информация касается клиентов, использовавших мобильное приложение Burger King и сделавших заказы в период с 31 мая 2018 года по 25 августа 2024 года. По предварительным данным, утечка была вызвана взломом мобильного приложения компании. В Burger King отметили, что персональные данные клиентов появились в открытом доступе результате хакерской атаки на платформу автоматизации маркетинга Mindbox. Инцидент затронул сразу несколько компаний. Также в компании подчеркнули, что информация о платежных реквизитах клиентов не была похищена: открытая информация о транзакциях не передается и не хранится у третьих лиц. Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC ГК «Солар», отметил, что недавние утечки данных могут означать, что хакеры обладают обширными сведениями о большинстве граждан России. Он подчёркивает, что в последние годы взломы затронули множество различных сервисов, что позволило киберпреступникам аккумулировать огромные базы данных, содержащие личную информацию россиян. Согласно информации Роскомнадзора, в 2023 году в сеть попало более 300 млн записей, содержащих данные о гражданах России. Масштабные утечки данных были зафиксированы в различных секторах: от служб доставки и интернет-магазинов до медицинских учреждений и государственных сервисов. Архив интернета взломали — похищены данные 31 млн пользователей
10.10.2024 [10:15],
Дмитрий Федоров
Архив интернета или archive.org — уникальная платформа, сохраняющая всю историю интернета, подверглась хакерской атаке, что привело к утечке данных 31 млн пользователей. Утечка затронула электронные адреса, имена пользователей и пароли. Вскоре после инцидента пользователи социальных сетей начали активно делиться скриншотами главной страницы Archive.org, на которой появилось тревожное сообщение. Около 00:00 по московскому времени пользователи увидели на главной странице Archive.org следующее сообщение: «Вам когда-нибудь казалось, что Internet Archive держится на честном слове и постоянно находится на грани катастрофической утечки данных? Это только что случилось. Увидим 31 миллион из вас на HIBP!». После публикации этого сообщения сайт оказался временно недоступен. Позже Брюстер Кейл (Brewster Kahle), основатель Archive.org, сообщил через социальные сети, что платформа подверглась DDoS-атаке. Сайт восстановил свою работу, но обсуждения последствий утечки не утихают. Хотя DDoS-атака вызвала кратковременные сбои, наибольший резонанс вызвала именно утечка данных, подтверждённая онлайн-сервисом Have I Been Pwned (HIBP), который помогает пользователям проверить, были ли их данные скомпрометированы. HIBP подтвердил, что взлом Archive.org произошёл месяц назад. В результате хакеры похитили 31 млн записей, содержащих электронные адреса, имена пользователей и хэшированные пароли. Алгоритм bcrypt, который использовался для хэширования паролей, считается одним из самых надёжных методов защиты данных. Однако даже его применение не гарантирует полной безопасности, если пользователи выбирали слабые пароли или использовали их на других платформах. В связи с этим пользователям Archive.org рекомендуется немедленно сменить свои пароли и включить двухфакторную аутентификацию для дополнительной защиты учётных записей. Выяснилось, кто взломал серверы «Доктор Веб» — хакеры DumpForums заявили о похищении 10 Тбайт информации
09.10.2024 [15:02],
Николай Хижняк
Ответственность за взлом внутренней инфраструктуры российского разработчика антивирусного ПО «Доктор Веб» (Dr.Web) взяла на себя хакерская группировка DumpForums. Об этом в своём Telegram-канале сообщили эксперты сервиса поиска утечек и мониторинга даркнета DLBI. Через официальный Telegram-бот компании «Доктор Веб» (@DrWebBot) пользователям приходят сообщения о взломе. В качестве подтверждения хакеры предоставили несколько дампов баз данных внутренних ресурсов, таких как, ldap.dev.drweb.com, vxcube.drweb.com, bugs.drweb.com, antitheft.drweb.com, rt.drweb.com и др. Судя по информации из дампов, данные в них актуальны на 17.09.2024. Хакеры заявляют, что взломали и выгрузили сервер корпоративного GitLab, где хранились внутренние разработки и проекты, сервер корпоративной почты, Confluence, Redmine, Jenkins, Mantis, RocketChat — системы, где велась разработка и обсуждались задачи. Общий объём полученных данных составил около 10 Тбайт. Злоумышленники добавляют, что после проникновения во внутреннюю инфраструктуру компании «Доктор Веб», они оставались незамеченными на протяжении целого месяца. О взломе своей инфраструктуры «Доктор Веб» сообщила в середине сентября. В компании пояснили, что атака началась 14-го числа, а признаки внешнего воздействия на инфраструктуру обнаружены 16-го, тогда же «оперативно отключили серверы». На протяжении этого времени исследователи Dr.Web «внимательно наблюдали за угрозой». «В субботу 14 сентября специалисты "Доктор Веб" зафиксировали целевую атаку на ресурсы компании. Попытка навредить нашей инфраструктуре была своевременно пресечена. На данный момент в соответствии с протоколом безопасности все ресурсы отключены от сети с целью проверки. В связи с этим временно приостановлен выпуск вирусных баз Dr.Web. Следуя установленным политикам безопасности, мы отключили все наши серверы от сети и начали комплексную диагностику безопасности». Позже Dr.Web сообщила, что обновление вирусной базы данных возобновилось. В компании добавили, что нарушение безопасности не затронуло ни одного из её клиентов. «Для анализа и устранения последствий инцидента мы реализовали ряд мер, включая использование Dr.Web FixIt! для Linux. Собранные данные позволили нашим экспертам по безопасности успешно изолировать угрозу и гарантировать, что наши клиенты не пострадают от неё». Евросоюз запретил Meta✴ бесконечно использовать данные пользователей для таргетированной рекламы
06.10.2024 [17:16],
Владимир Фетисов
Похоже, что социальным сетям, таким как Facebook✴, придётся пересмотреть политику хранения данных европейских пользователей. Верховный суд Евросоюза на этой неделе постановил, что соцсети больше не могут сколь угодно долго хранить информацию о пользователях для демонстрации им персонализированной рекламы. Это решение может иметь серьёзные последствия для Meta✴, которая владеет Facebook✴, и для других платформ, получающих основной доход от рекламодателей. Ограничения на срок хранения персональной информации будут применяться для соблюдения Общего регламента по защите данных (GDPR). Нарушение этих правил может повлечь за собой штраф в размере до 4 % от глобального годового оборота нарушителя, а в случае Meta✴ речь идёт о миллиардах долларов. Источник отмечает, что компания Марка Цукерберга (Mark Zuckerberg) уже находится во главе списка нарушителей GDPR. Представитель Meta✴ Мэтт Поллард (Matt Pollard) сообщил, что компания ожидает публикации официального постановления суда. «Мы ожидаем публикации решения суда и со временем сможем поделиться дополнительной информацией. Meta✴ очень серьёзно относится к конфиденциальности и инвестировала более €5 млрд, чтобы сделать конфиденциальность основой всех наших продуктов. Каждый, кто пользуется Facebook✴, имеет доступ к широкому спектру настроек и инструментов, которые позволяют людям управлять тем, как мы используем их информацию», — заявил господин Поллард. Не секрет, что Meta✴ зарабатывает на том, что отслеживает пользовательскую активность и создаёт цифровые профили на основе собранной таким образом информации. Эти данные применяются для демонстрации пользователям платформ компании персонализированной рекламы. Это означает, что любые ограничения на возможность непрерывного использования данных пользователей в одном из основных регионов бизнеса компании могут негативно сказаться на её доходах. Google установит противоугонную систему на все Android-смартфоны — развёртывание началось
06.10.2024 [01:56],
Анжелла Марина
Google запускает набор новых функций, анонсированный ещё в мае, для защиты Android-телефонов от кражи. Согласно информации TheVerge, две из трёх функций, такие как Theft Detection Lock и Offline Device Lock, уже появились на некоторых смартфонах. Третья, Remote Lock, также появилась, но не у всех пользователей. Наиболее заметной функцией станет Theft Detection Lock, которая использует искусственный интеллект для блокировки экрана, если обнаружит на устройстве «типичные движения, связанные с кражей». Например, когда телефон резко выхватывают из рук. Offline Device Lock автоматически заблокирует экран устройства, если оно длительное время находится в оффлайн-режиме, а Remote Lock позволит владельцам заблокировать свой смартфон с помощью номера телефона в тех случаях, когда они не смогут войти в сервис Find My Device по паролю. На данный момент функции Theft Detection Lock и Offline Device Lock поддерживаются на любых устройствах Android 10 и выше, в то время как для использования Remote Lock достаточно Android 5. Если обновление ещё не доступно, можно попробовать обновить Google Play Services. Однако известно, что Google часто выпускает новые функции постепенно, и надо просто немного подождать. Скриншоты настроек Theft Detection Lock и Offline Device Lock можно увидеть в Threads. Концепция изменилась: пароли из наборов случайных символов больше не считаются хорошими
05.10.2024 [10:21],
Анжелла Марина
Использование сложных паролей с комбинацией различных типов символов и регулярная смена паролей признана Национальным институтом стандартов и технологий США (NIST) малоэффективной практикой, сообщает Forbes. Хакеры легко взламывают такие пароли. NIST опубликовал новые рекомендации для пользователей и компаний в рамках второго публичного документа NIST SP 800-63-4 по цифровой идентификации. Многие годы считалось, что для надёжности пароли должны быть максимально сложными, включать заглавные и строчные буквы, цифры и специальные символы. Предполагалось, что такие пароли будет сложнее угадать или взломать с помощью специальных программ. Однако со временем эксперты пришли к выводу, что чрезмерная сложность паролей приводит к обратному эффекту. Согласно новому руководству, NIST больше не настаивает на соблюдении строгих правил, касающихся сложности паролей, а вместо этого рекомендует делать их длиннее. Причин для этого оказалось несколько. Во-первых, как показали исследования, пользователям сложно запоминать сложные пароли, что часто приводит к тому, что они начинают использовать один и тот же пароль на разных сайтах или придумывают слишком простую комбинацию символов, лишь бы соответствовать минимальным требованиям. Примером может служить пароль вроде «P@ssw0rd123», который технически соответствует сложным условиям, но легко поддаётся угадыванию. Во-вторых, требование менять пароли каждые 60-90 дней, которое ранее было распространённой практикой во многих организациях, также больше не рекомендуется. Это требование часто только ухудшало ситуацию, так как приводило к созданию менее надёжных паролей из-за необходимости их частой смены. NIST рекомендует отказаться от сложных паролей в пользу длинных и простых, и объясняет почему. Сила пароля часто измеряется понятием энтропии — количеством непредсказуемой комбинации символов. Чем выше энтропия, тем сложнее злоумышленникам взломать пароль методом подбора. Хотя сложность пароля может увеличивать энтропию, длина пароля на основе простых символов, как выяснилось, играет гораздо более важную роль. NIST предлагает использовать длинные пароли, которые легко запомнить, в частности, фразы из нескольких простых слов. Например, пароль в форме фразы «bigdogsmallratfastcatpurplehatjellobat» будет как безопасным, так и удобным для пользователя, хорошо знающим английский язык. Такой пароль сочетает в себе высокую энтропию и лёгкость использования, что помогает избежать небезопасных привычек, таких как записывание паролей или повторное их использование. Хотя современные технологии значительно упростили взлом коротких, но сложных паролей, тем не менее даже самые продвинутые алгоритмы сталкиваются с трудностями при попытке взлома длинных паролей из-за огромного числа возможных комбинаций. В качестве недавнего примера можно привести изменение пароля мэра Нью-Йорка Эрика Адамса (Eric Adams). Он заменил свой четырёхзначный код на шестизначный на личном смартфоне перед тем, как передать его правоохранительным органам. Это изменение увеличило количество возможных комбинаций подбора символов с 10 тысяч до 1 миллиона. На сегодняшний день NIST рекомендует компаниям разрешить пользователям создавать пароли длиной до 64 символов. Такой длинный пароль, даже если он состоит только из строчных букв и знакомых слов, будет чрезвычайно сложен для взлома. А если добавить к нему заглавные буквы и символы, взлом такого пароля станет практически невозможным. Таким образом, в новых рекомендациях NIST сделал акцент на длину пароля как на главный фактор его безопасности. Google ввела новые правила безопасности для доступа к почте Gmail
01.10.2024 [02:20],
Анжелла Марина
С 30 сентября компания Google ввела новые правила для почты Gmail, направленные на улучшение защиты аккаунтов. Миллионы пользователей столкнутся с тем, что доступ к данным Gmail из приложений, которые считаются менее безопасными, а также с устройств, не поддерживающих современные протоколы безопасности, то есть использующие для входа только логин и пароль, больше поддерживаться не будет. Как пишет Forbes, данное решение является частью масштабной кампании Google по повышению уровня безопасности своих сервисов, которое было анонсировано ещё год назад, давая пользователям и разработчикам приложений время на адаптацию. Весь последний месяц компания активно внедряла новую технологию защиты, включая ключи доступа для браузера Chrome на всех популярных платформах (Windows, macOS, Linux, Android). Новая система безопасности подразумевает переход на протокол авторизации OAuth, который обеспечивает более надёжную защиту данных. Теперь доступ к Gmail через сетевые протоколы CalDAV, CardDAV, IMAP, POP и Google Sync с использованием только имени пользователя и пароля будет невозможен. Важно отметить, что изменения затронут только пользователей сервиса Google Workspace. Владельцы личных аккаунтов Gmail могут не беспокоиться о доступе к своей почте, однако им стоит учитывать, что доступ по IMAP с помощью почтового клиента теперь будет осуществляться исключительно через протокол OAuth (Open Authorization), который позволяет стороннему приложению получить ограниченный доступ к данным пользователя на другом сервисе без передачи логина и пароля. Google рекомендует выполнить ряд действий, чтобы избежать проблем с доступом к Gmail после вступления новых правил в силу. В частности, пользователям почтового клиента Outlook 2016 и более ранних версий необходимо перейти на Microsoft 365 или актуальные версии Outlook для Windows и Mac. Также пользователям Thunderbird и других почтовых клиентов потребуется заново добавить свой аккаунт Google и настроить его для работы с IMAP через OAuth. Наконец, пользователи приложения «Почта» на iOS и macOS должны будут воспользоваться опцией входа через аккаунт Google для активации OAuth, что потребует удаления и повторного добавления аккаунта. Новый Outlook передаёт всю вашу почту в облако Microsoft — отказаться от этого нельзя
27.09.2024 [23:47],
Анжелла Марина
Недавно представленная компанией Microsoft новая версия Outlook для Windows вызвала опасения относительно конфиденциальности. Как сообщает издание XDA со ссылкой на исследование, новый Outlook гораздо теснее интегрирован с облаком, что потенциально расширяет возможности Microsoft по сбору пользовательских данных. Несмотря на то, что новый клиент предлагает современный дизайн и функции генеративного ИИ, такие как помощь в написании текстов и другие продвинутые опции, основанные на искусственном интеллекте, исследование, проведённое немецким ресурсом Heise, ставит под сомнение уровень защиты личной информации. Сообщается, что после прохождения стандартной аутентификации пользователи сталкиваются с неприметным окном, в котором Microsoft предлагает синхронизировать их электронные письма, события и контакты с облаком. Выяснилось, что функции, позволяющей отказаться от этой синхронизации и продолжить использование клиента, не существует, а в предоставленной официально информации указано, что «доступ к данным позволяет использовать поиск в почте пользователя», но при этом не раскрываются границы сбора этих данных. После авторизации Outlook фактически передаёт учётные данные в облако Microsoft, что означает, что вся обработка, включая получение писем, осуществляется в облаке. Это было подтверждено тестированием с помощью специального прокси-сервера, который показал, что аутентификация происходит через IP-адреса Microsoft, а не напрямую через почтовый сервер пользователя. Это вызвало у специалистов вопрос, является ли новый Outlook действительно независимым почтовым клиентом или это по своим функциям «обёртка» для облачных сервисов? Получается, что, подписавшись в Outlook на вынужденную синхронизацию с облаком, а также приняв лицензионное соглашение, позволяющее компании собирать данные для улучшения своих продуктов, пользователи фактически предоставляют Microsoft безусловный доступ ко всей своей электронной почте. В связи с этим возникает множество вопросов о прозрачности и условиях, при которых Microsoft будет получать доступ к данным. Ситуация особенно критична для корпоративных пользователей, которые могут случайно предоставить Microsoft доступ к конфиденциальной информации своей компании, нарушив тем самым внутренние нормы безопасности. Кроме того, просочившиеся в сеть эти данные могут быть использованы для обучения ИИ-моделей. Как отмечает сайт XDA, «важно, чтобы как обычные пользователи, так и системные администраторы понимали последствия использования нового Outlook и защищали свою конфиденциальность в условиях растущего контроля со стороны облачных технологий». Личные данные более 100 млн жителей США оказались в открытом доступе
25.09.2024 [10:43],
Владимир Фетисов
Исследователи в сфере информационной безопасности обнаружили в интернете базу данных, в которой содержится личная информация 106 316 633 граждан США — почти трети населения страны. База включает в себя информацию компании по проверке биографических данных MC2 Data, включая имена людей, их адреса, номера телефонов, копии разных юридических и трудовых документов, а также многое другое. Исследователи считают, что база данных MC2 Data попала в открытый доступ в результате человеческой ошибки, а не направленной хакерской атаки. Это косвенно подтверждается тем, что в базе содержится информация не только о тех, кого проверяли сотрудники компании, но также о более чем 2 млн клиентов, подписавшихся на услуги MC2 Data. Нынешний инцидент стал второй крупной утечкой данных из компаний, занимающихся проверкой биографических данных, за последние несколько месяцев. В августе компания National Public Data подтвердила утечку данных, из-за чего столкнулась с несколькими коллективными исками со стороны американцев, чьи данные оказались в открытом доступе. «Сервисы проверки биографических данных всегда были проблематичными, поскольку киберпреступники могли оплачивать их услуги по сбору данных о потенциальных жертвах. Такая утечка — золотая жила для киберпреступников, поскольку она открывает ряд возможностей и снижет для них риск, позволяя более эффективно использовать эти подробные данные», — прокомментировал данный вопрос исследователь из Cybernews Арас Назаровас (Aras Nazarovas). Социальные сети собирают больше личной информации пользователей, чем заявляют, выяснил регулятор США
20.09.2024 [07:23],
Алексей Разин
В конце этой рабочей недели Федеральная комиссия по торговле США (FTC) сообщила, что её расследование выявило более обширный сбор отдельными социальными сетями и стриминговыми сервисами персональных данных по сравнению с декларируемым. По сути, ряд компаний обвиняется властями США в несанкционированном сборе информации о потребителях, включая несовершеннолетних. Как сообщает The New York Times, под подозрение попали девять компаний, включая Meta✴ Platforms, YouTube и TikTok. Предоставляя свои услуги преимущественно бесплатно для пользователей, они зарабатывают на сборе информации о них с целью дальнейшей её продажи рекламодателям. Последние с помощью подробного демографического среза аудитории могут адресно продвигать те или иные товары и услуги своих клиентов. Кроме того, указанные компании, по мнению FTC, недостаточно хорошо защищают пользователей, особенно детей и подростков. По данным FTC, своё расследование комиссия начала почти четыре года назад с целью первого в своей истории подробного изучения «непрозрачной деловой практики» крупнейших онлайн-платформ, которые оперируют многомиллиардными рекламными оборотами благодаря доступа к пользовательской информации. По данным агентства, расследование доказывает необходимость усиления контроля за этой сферой со стороны федерального законодательства США, а также введения некоторых ограничений на способы использования персональных данных компаниями. Председатель FTC Лина Хан (Lina Khan) заявила: «Практика слежения угрожает частной жизни людей и их свободам, подвергая их целому набору угроз, от кражи личности до преследования». Американские регуляторы уже давно выражают обеспокоенность влиянием социальных сетей на ментальное здоровье подрастающего поколения граждан, но пока попытки законодателей усилить контроль за данной сферой в основной своей части потерпели неудачу. Лина Хан также отметила, что попытки усилить меры саморегулирования деятельности компаний также ни к чему не привели. FTC начала своё расследование в декабре 2020 года, охватив деятельность девяти компаний, владеющих 13 платформами. Свои выводы комиссия строила на основе изучения данных о деятельности компаний в период с 2019 по 2020 годы, уделяя первостепенное внимание методам сбора информации, её использования и хранения. В поле зрения регуляторов попали платформы YouTube, TikTok, Facebook✴, Whatsapp, Instagram✴, Messenger, Twitch, Discord, Snapchat, Reddit и X. Руководство комиссии не стало пояснять, в какой мере та или иная компания нарушает интересы пользователей в части защиты персональных данных. FTC выяснила, что компании получали недостающую информацию о пользователях через другие платформы, а порой покупали дополнительные данные о тех людях, которые не являлись их клиентами. Большинство компаний собирали информацию о возрасте, поле и языковых предпочтениях пользователей, некоторые дополняли её данными об образовании, уровне дохода и семейном положении. У пользователей при этом не было реальных возможностей отказаться от предоставления информации о себе, а компании нередко хранили информацию значительно дольше, чем требовалось по условиям соглашения с пользователями. Информация о клиентах буквально объединялась в подробные досье для предоставления рекламодателям. Регуляторы также обнаружили достаточное количество пользователей в возрасте до 13 лет на платформах, которые на уровне правил декларировали запрет на их подключение к своим ресурсам. Во многих приложениях сбор данных о подростках осуществлялся в том же объёме, что и о взрослых. Отдельные компании даже затруднялись объяснить следователям, насколько велик объём собираемых данных. Лина Хан в позапрошлом году инициировала процесс создания правил демонстрации рекламы пользователям онлайн-сервисов. В январе Epic Games была вынуждена согласиться с выплатой штрафа в размере $500 млн за нарушение законов в части неприкосновенности частной жизни несовершеннолетних граждан. В 2022 году социальная сеть X (ранее Twitter) была оштрафована на $150 млн за злоупотребления в области использования данных о клиентах для адресной рекламы. Google вводит кроссплатформенную синхронизацию ключей доступа с помощью PIN-кодов
19.09.2024 [22:57],
Анжелла Марина
Компания Google представила безопасную синхронизацию ключей доступа (passkeys) с расширенной поддержкой различных платформ. Помимо устройств Android теперь можно сохранять ключи доступа в Google Password Manager из Windows, macOS, Linux и Android с помощью PIN-кода. Одним из главных нововведений, пишет The Verge, стала упрощённая синхронизация ключей доступа между различными устройствами. Ранее для их использования на других платформах требовалось сканирование QR-кода. Теперь этот процесс заменён вводом PIN-кода, что должно значительно упростить сохранение и использование паролей на устройствах, отличных от Android. «Сегодня мы выпускаем обновления, которые ещё больше упростят использование ключей доступа на ваших устройствах. Теперь вы можете сохранять их в Google Password Manager из Windows, macOS, Linux и Android, а также ChromeOS в бета-версии. После сохранения ключи доступа автоматически синхронизируются на всех устройствах, что делает вход в систему таким же простым, как сканирование отпечатка пальца», — говорится в блоге Google. Новый PIN-код не только делает процесс аутентификации более удобным, но и сохраняет высокий уровень безопасности. Ключи доступа по-прежнему защищены сквозным шифрованием, что гарантирует их недоступность даже для Google. Чтобы их использовать на новом устройстве пользователю достаточно будет разблокировать экран своего Android-устройства или ввести PIN-код для Google Password Manager. Ожидается, что технология PIN-кодов позволит забыть о сложных паролях и сосредоточиться на более простых, но безопасных методах аутентификации. В компании отмечают, что уже с сегодняшнего дня можно создавать пароли для популярных сайтов и приложений, таких как Google, Amazon, PayPal и WhatsApp, так как Google Password Manager встроен в устройства Chrome и Android. |
✴ Входит в перечень общественных объединений и религиозных организаций, в отношении которых судом принято вступившее в законную силу решение о ликвидации или запрете деятельности по основаниям, предусмотренным Федеральным законом от 25.07.2002 № 114-ФЗ «О противодействии экстремистской деятельности»; |