реклама
Теги → данные
Быстрый переход

Новый вид мошенничества с использованием ИИ нацелен на захват миллионов аккаунтов Gmail

Сотрудник Microsoft предупредил о новой «сверхреалистичной» схеме мошенничества с использованием ИИ, которая способна обмануть «даже самых опытных пользователей». Целью аферы, связанной с поддельными звонками и электронными письмами якобы от Google, является захват учётных записей Gmail.

 Источник изображения: Andras Vas/Unsplash

Источник изображения: Andras Vas/Unsplash

С появлением искусственного интеллекта злоумышленники находят новые способы использования технологии в своих интересах. Консультант по решениям Microsoft Сэм Митрович (Sam Mitrovic) чуть сам не попался на обман и рассказал в своём блоге, как всё происходит.

Недавно он получил СМС-уведомление с просьбой подтвердить попытку восстановления доступа к своему аккаунту Gmail. Запрос пришёл из США, но он отклонил его. Однако спустя 40 минут был обнаружен пропущенный звонок с идентификатором Google Sydney. Через неделю Митрович снова получил уведомление о попытке восстановления доступа к своему аккаунту Gmail. И вновь, спустя 40 минут, получил звонок, который на этот раз решил принять. По его словам, звонивший говорил с американским акцентом, был крайне вежлив, а номер звонившего оказался австралийским.

Собеседник представился и сообщил, что на аккаунте зафиксирована подозрительная активность и спросил, не находится ли Митрович в поездке? После отрицательного ответа задал ещё пару уточняющих вопросов. В процессе разговора сотрудник Microsoft решил проверить номер, используя данные Google. К его удивлению, официальная документация Google подтвердила, что некоторые звонки действительно могут поступать из Австралии, при этом номер казался подлинным. Однако, зная о возможной подмене номеров, Митрович продолжил проверку, попросив звонившего отправить ему электронное письмо.

Тот согласился. При этом на линии во время ожидания были слышны звуки клавиатуры и шумы, характерные для колл-центра, что не должно было вызвать сомнений в подлинности разговора. Однако всё раскрылось в тот момент, когда звонивший повторил «Алло» несколько раз. Митрович понял, что разговаривает с ИИ, так как «произношение и паузы были слишком идеальными».

Бросив трубку, он попытался перезвонить на номер, однако услышал автоматическое сообщение: «Это Google Maps, мы не можем принять ваш звонок». Далее он проверил активность входа в свой аккаунт Gmail (это можно сделать, нажав на фото профиля в правом верхнем углу, выбрав «Управление аккаунтом Google», затем перейдя в раздел «Безопасность» и проверив «Недавнюю активность безопасности»). Все входы в систему, к счастью, оказались его собственными.

Далее Митрович изучил заголовки полученного письма и обнаружил, что мошенник подделал адрес отправителя с помощью системы Salesforce CRM, которая позволяет пользователям устанавливать любой адрес и отправлять письма через серверы Google Gmail. Итог истории в том, что мошенники с помощью ИИ и поддельного Email могут быть настолько убедительны в своих действиях, что даже опытные пользователи могут быть подвергнуты обману. С учётом технологических реалий сегодняшнего дня, единственной защитой является бдительность.

Архив интернета возобновил работу после атаки, но пока в режиме «только для чтения»

Архив интернета, расположенный по адресу archive.org, возобновил работу после недавней хакерской атаки, но пока в режиме «только для чтения». Ранее одна из крупнейших в мире цифровых библиотек и Wayback Machine стали жертвами масштабной DDoS-атаки. Тогда хакерам удалось похитить базу данных, содержащую 31 млн уникальных записей о пользователях, включая электронные адреса, имена пользователей и хэшированные пароли.

 Источник изображения: web.archive.org

Источник изображения: web.archive.org

Режим «только для чтения» позволяет просматривать архивированные веб-страницы, но функция добавления новых данных в архив временно недоступна. Основатель Архива интернета Брюстер Кейл (Brewster Kahle) отметил: «Сервис снова в сети, однако возможны новые приостановки для проведения дополнительных технических работ». Это временное решение позволяет устранить уязвимости, выявленные в ходе кибератаки.

Команда Архива продолжает активно работать над восстановлением ключевых сервисов и усилением защиты. Помимо восстановления основной функциональности были возвращены в строй почтовые ящики сотрудников и краулеры для работы с национальными библиотеками.

Wayback Machine, важнейший инструмент Архива интернета, открывает доступ к более чем 916 млрд сохранённых веб-страниц, что делает его неоценимым ресурсом для изучения истории интернета. Его значимость возросла после того, как Google удалил ссылки на свои собственные кэшированные страницы из результатов поиска и начал добавлять ссылки на архивные сайты в Wayback Machine, ставший теперь главным инструментом доступа к старым версиям сайтов и архивным страницам.

Internet Archive всё ещё не работает после взлома — на восстановление уйдёт ещё несколько дней

На этой неделе хакеры взломали сервис Wayback Machine, который принадлежит некоммерческой организации Internet Archive и позволяет пользователям просматривать сохранённые когда-то в прошлом страницы веб-сайтов. Во время DDoS-атаки на платформу злоумышленникам удалось похитить данные 31 млн пользователей сервиса, включая логины, адреса электронной почты и пароли в зашифрованном виде. Работоспособность Internet Archive будет восстановлена в течение нескольких дней.

 Источник изображения: pexels.com

Источник изображения: pexels.com

«Данные в безопасности. Сервисы отключены от сети, пока мы их изучаем и совершенствуем. Извините, но это необходимо. Сотрудники @internetarchive работают не покладая рук. Ориентировочные сроки: дни, а не недели», — заявил основатель платформы Брюстер Кейл (Brewster Kahle).

О взломе Internet Archive стало известно в середине недели. Посетители сайта archive.org обратили внимание на появление уведомления, которое оставили злоумышленники и в котором говорилось о взломе площадки. Позднее основатель Have I Been Pwned Трой Хант (Troy Hunt) сообщил, что в его распоряжение попал файл с украденными данными пользователей. Согласно имеющимся данным, последняя запись в украденной базе данных датирована 28 сентября 2024 года. Зарегистрированные на сайте Ханта пользователи могут получить предупреждение, если связанная с ними информация присутствует в украденной базе данных.

Брокеры данных собирают огромные объёмы информации о каждом человеке, но иногда можно попросить её удалить

В интернете уже давно работают компании, называемые брокерами данных, которые собирают беспрецедентные объёмы личной информации о миллиардах людей по всему миру, но мало кто осознаёт истинный масштаб их деятельности. И не всякий знает, что в некоторых случаях можно запросить удаление этой информации.

 Источник изображения: Claudio Schwarz / unsplash.com

Источник изображения: Claudio Schwarz / unsplash.com

Сегодня тщательно собирается, упаковывается и продаётся с целью извлечения прибыли каждое действие человека в интернете: каждый клик, покупка и каждый «лайк». Агрегированная персональная информация в этих условиях оказываются ценным товаром, что доказывает мировая индустрия брокеров данных. И с развитием инструментов искусственного интеллекта возникает риск, что объёмы извлекаемых сведений ещё сильнее вырастут, а мир брокеров данных, и без того непрозрачный, станет ещё более агрессивным. Это усиливает опасения по поводу конфиденциальности данных.

По словам 67 % американцев, они мало или вообще ничего не понимают, что компании делают с их персональными данными, показали результаты исследования, проведённого Pew Research в 2023 году — в 2019 году таких было 59 %. И большинство (73 %) американцев считает, что у них «мало или совсем нет контроля» над тем, что компании делают с их информацией. Люди не осознают, что даже их номер телефона может использоваться брокерами данных или недобросовестными лицами для раскрытия крайне конфиденциальной информации: номера социального страхования, домашнего адреса, электронной почты и даже данных о семье. Крупные игроки в этой отрасли продают информацию ответственно, а мелкие и неизвестные могут обходить правила, нарушать этические границы и использовать персональные данные граждан так, что это может причинить им вред.

Среди крупнейших игроков, по версии профильного сервиса OneRep, значатся Experian, Equifax, TransUnion, LexisNexis, Epsilon (ранее Acxiom) и CoreLogic, а также службы поиска людей Spokeo и Intelius. Эти компании работают в нескольких отраслях, обрабатывая как общедоступную информацию, так и закрытые конфиденциальные данные. Они предлагают различные услуги: маркетинговую аналитику, оценку кредитоспособности и проверку биографических сведений — при этом у них сформированы процедуры запроса собранных о себе данных или запроса на их удаление. Впрочем, компания может по-разному отреагировать за запросы из разных стран и даже штатов США.

 Источник изображения: Pawel Czerwinski / unsplash.com

Источник изображения: Pawel Czerwinski / unsplash.com

Ниже приводятся типы информации, которую обычно собирают брокеры данных, по словам опрошенных CNBC экспертов по вопросам конфиденциальности.

  • Основные идентификаторы: полное имя, домашний адрес, номер телефона и адрес электронной почты.
  • Финансовые данные: кредитные рейтинги и история платежей.
  • История покупок: что потребитель ищет в интернете, что и где покупает, и как часто покупает определённые продукты.
  • Данные о здоровье: медикаменты, заболевания, а также взаимодействие потребителя с приложениями или сайтами, связанными со здравоохранением.
  • Поведенческие данные: информация о том, что человеку нравится, не нравится, и какие типы рекламы он, вероятно, будет смотреть.
  • Данные о местоположении в реальном времени: данные спутниковой геопозиции из приложений, которые отслеживают поездки потребителя, где он совершает покупки и как часто посещает определённые места.
  • Предположительные характеристики: на основе истории просмотра и потребления медиа — посещения сайтов, чтения статей, просматриваемых видео — брокеры данных составляют сводку об образе жизни человека, его доходе, предпочтениях, религиозных или политических убеждениях, хобби и даже вероятности благотворительного пожертвования.
  • Отношения с семьёй, друзьями и коллегами: анализируя связи с друзьями, контактами в соцсетях и мессенджерах, брокеры данных могут составить карту отношений отдельного человека и даже отслеживать, как часто он взаимодействует с определёнными лицами, чтобы оценить глубину этих связей.

Брокеры данных продолжают работать под незначительным контролем, поскольку их работа регламентируется не везде: есть Общий регламент по защите данных (GDPR) в ЕС и некоторые нормативные акты в двадцати американских штатах, но и там нет уверенности, что эти компании действуют надлежащим образом. Чтобы начать полноценную работу по защите конфиденциальности, обществу необходимо осознать, какие объёмы личной информации передаются ежедневно, говорят эксперты. Полностью скрыться современный человек уже не может, но в его силах выработать новые привычки и овладеть новыми средствами, которые ограничат раскрытие данных. Например, некоторым мобильным приложениям следует ограничить доступ к геопозиции, в отдельных случаях лучше отказываться от сохранения файлов cookie и воздерживаться от публикации личных данных в интернете. Поможет применение защищённых браузеров и блокировщиков трекеров.

Американские потребители имеют возможность отказаться от передачи своей личной информации некоторым брокерам данных, а также запросить её удаление — в отдельных случаях такой запрос обрабатывается всего один рабочий день. Но эта процедура иногда оказывается намеренно усложнённой, указывают эксперты, а ранее удалённые персональные данные могут опять появиться в той же базе, но уже из других источников. Существуют также службы, преимущественно платные, которые берут на себя составление и отправку запросов на удаление данных у разных операторов. Тем же, кто решит действовать самостоятельно, рекомендуется выполнить поиск своей персональной информации через Google и связаться с администрациями сайтов, где эта информация может обнаружиться. Или произвести поиск на ресурсах самих брокеров данных — у них же может быть форма запроса на удаление. В некоторых случаях, вероятно, потребуется решать вопрос в судебном порядке.

Перспективы отрасли брокеров данных включают в себя как положительные, так и отрицательные аспекты. С одной стороны, развитие ИИ способно значительно упростить работу этим компаниям. С другой, защитой от них могут стать блокчейн, технологии повышения конфиденциальности, а также развитие законодательной базы. Но пока соответствующие нормы не приняты, брокеры данных продолжат собирать максимально возможные объёмы информации — для них это источник дохода, и чем больше информации о каждом человеке собрано, тем она точнее, а значит, дороже.

Данные более 5 млн клиентов Burger King слили в открытый доступ

Персональные данные более 5 млн клиентов сети ресторанов быстрого питания Burger King, собранные через фирменное мобильное приложение, утекли в Сеть. В компании обвинили в случившемся хакеров, которые взломали платформу Mindbox.

 Источник изображения: cliff1126 / Pixabay

Источник изображения: cliff1126 / Pixabay

О крупной утечке данных клиентов сети ресторанов быстрого питания Burger King сообщили эксперты сервиса поиска утечек и мониторинга даркнета (DLBI). В открытый доступ попали 5 627 676 строк, содержащих такие данные, как имя, номер телефона, адрес электронной почты, пол, дата рождения, город, любимая категория или блюдо, а также дата заказа. Информация касается клиентов, использовавших мобильное приложение Burger King и сделавших заказы в период с 31 мая 2018 года по 25 августа 2024 года. По предварительным данным, утечка была вызвана взломом мобильного приложения компании.

В Burger King отметили, что персональные данные клиентов появились в открытом доступе результате хакерской атаки на платформу автоматизации маркетинга Mindbox. Инцидент затронул сразу несколько компаний. Также в компании подчеркнули, что информация о платежных реквизитах клиентов не была похищена: открытая информация о транзакциях не передается и не хранится у третьих лиц.

Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC ГК «Солар», отметил, что недавние утечки данных могут означать, что хакеры обладают обширными сведениями о большинстве граждан России. Он подчёркивает, что в последние годы взломы затронули множество различных сервисов, что позволило киберпреступникам аккумулировать огромные базы данных, содержащие личную информацию россиян.

Согласно информации Роскомнадзора, в 2023 году в сеть попало более 300 млн записей, содержащих данные о гражданах России. Масштабные утечки данных были зафиксированы в различных секторах: от служб доставки и интернет-магазинов до медицинских учреждений и государственных сервисов.

Архив интернета взломали — похищены данные 31 млн пользователей

Архив интернета или archive.org — уникальная платформа, сохраняющая всю историю интернета, подверглась хакерской атаке, что привело к утечке данных 31 млн пользователей. Утечка затронула электронные адреса, имена пользователей и пароли. Вскоре после инцидента пользователи социальных сетей начали активно делиться скриншотами главной страницы Archive.org, на которой появилось тревожное сообщение.

 Источник изображения: abbiefyregraphics / Pixabay

Источник изображения: abbiefyregraphics / Pixabay

Около 00:00 по московскому времени пользователи увидели на главной странице Archive.org следующее сообщение: «Вам когда-нибудь казалось, что Internet Archive держится на честном слове и постоянно находится на грани катастрофической утечки данных? Это только что случилось. Увидим 31 миллион из вас на HIBP!».

 Источник изображения: Archive.org

Источник изображения: Archive.org

После публикации этого сообщения сайт оказался временно недоступен. Позже Брюстер Кейл (Brewster Kahle), основатель Archive.org, сообщил через социальные сети, что платформа подверглась DDoS-атаке. Сайт восстановил свою работу, но обсуждения последствий утечки не утихают.

Хотя DDoS-атака вызвала кратковременные сбои, наибольший резонанс вызвала именно утечка данных, подтверждённая онлайн-сервисом Have I Been Pwned (HIBP), который помогает пользователям проверить, были ли их данные скомпрометированы. HIBP подтвердил, что взлом Archive.org произошёл месяц назад. В результате хакеры похитили 31 млн записей, содержащих электронные адреса, имена пользователей и хэшированные пароли.

Алгоритм bcrypt, который использовался для хэширования паролей, считается одним из самых надёжных методов защиты данных. Однако даже его применение не гарантирует полной безопасности, если пользователи выбирали слабые пароли или использовали их на других платформах. В связи с этим пользователям Archive.org рекомендуется немедленно сменить свои пароли и включить двухфакторную аутентификацию для дополнительной защиты учётных записей.

Выяснилось, кто взломал серверы «Доктор Веб» — хакеры DumpForums заявили о похищении 10 Тбайт информации

Ответственность за взлом внутренней инфраструктуры российского разработчика антивирусного ПО «Доктор Веб» (Dr.Web) взяла на себя хакерская группировка DumpForums. Об этом в своём Telegram-канале сообщили эксперты сервиса поиска утечек и мониторинга даркнета DLBI.

 Источник изображения: Bleeping Computer

Источник изображения: Bleeping Computer

Через официальный Telegram-бот компании «Доктор Веб» (@DrWebBot) пользователям приходят сообщения о взломе.

В качестве подтверждения хакеры предоставили несколько дампов баз данных внутренних ресурсов, таких как, ldap.dev.drweb.com, vxcube.drweb.com, bugs.drweb.com, antitheft.drweb.com, rt.drweb.com и др. Судя по информации из дампов, данные в них актуальны на 17.09.2024.

Хакеры заявляют, что взломали и выгрузили сервер корпоративного GitLab, где хранились внутренние разработки и проекты, сервер корпоративной почты, Confluence, Redmine, Jenkins, Mantis, RocketChat — системы, где велась разработка и обсуждались задачи. Общий объём полученных данных составил около 10 Тбайт. Злоумышленники добавляют, что после проникновения во внутреннюю инфраструктуру компании «Доктор Веб», они оставались незамеченными на протяжении целого месяца.

О взломе своей инфраструктуры «Доктор Веб» сообщила в середине сентября. В компании пояснили, что атака началась 14-го числа, а признаки внешнего воздействия на инфраструктуру обнаружены 16-го, тогда же «оперативно отключили серверы». На протяжении этого времени исследователи Dr.Web «внимательно наблюдали за угрозой».

«В субботу 14 сентября специалисты "Доктор Веб" зафиксировали целевую атаку на ресурсы компании. Попытка навредить нашей инфраструктуре была своевременно пресечена. На данный момент в соответствии с протоколом безопасности все ресурсы отключены от сети с целью проверки. В связи с этим временно приостановлен выпуск вирусных баз Dr.Web. Следуя установленным политикам безопасности, мы отключили все наши серверы от сети и начали комплексную диагностику безопасности».

Позже Dr.Web сообщила, что обновление вирусной базы данных возобновилось. В компании добавили, что нарушение безопасности не затронуло ни одного из её клиентов.

«Для анализа и устранения последствий инцидента мы реализовали ряд мер, включая использование Dr.Web FixIt! для Linux. Собранные данные позволили нашим экспертам по безопасности успешно изолировать угрозу и гарантировать, что наши клиенты не пострадают от неё».

Евросоюз запретил Meta✴ бесконечно использовать данные пользователей для таргетированной рекламы

Похоже, что социальным сетям, таким как Facebook, придётся пересмотреть политику хранения данных европейских пользователей. Верховный суд Евросоюза на этой неделе постановил, что соцсети больше не могут сколь угодно долго хранить информацию о пользователях для демонстрации им персонализированной рекламы. Это решение может иметь серьёзные последствия для Meta, которая владеет Facebook, и для других платформ, получающих основной доход от рекламодателей.

 Источник изображения: GregMontani / Pixabay

Источник изображения: GregMontani / Pixabay

Ограничения на срок хранения персональной информации будут применяться для соблюдения Общего регламента по защите данных (GDPR). Нарушение этих правил может повлечь за собой штраф в размере до 4 % от глобального годового оборота нарушителя, а в случае Meta речь идёт о миллиардах долларов. Источник отмечает, что компания Марка Цукерберга (Mark Zuckerberg) уже находится во главе списка нарушителей GDPR.

Представитель Meta Мэтт Поллард (Matt Pollard) сообщил, что компания ожидает публикации официального постановления суда. «Мы ожидаем публикации решения суда и со временем сможем поделиться дополнительной информацией. Meta очень серьёзно относится к конфиденциальности и инвестировала более €5 млрд, чтобы сделать конфиденциальность основой всех наших продуктов. Каждый, кто пользуется Facebook, имеет доступ к широкому спектру настроек и инструментов, которые позволяют людям управлять тем, как мы используем их информацию», — заявил господин Поллард.

Не секрет, что Meta зарабатывает на том, что отслеживает пользовательскую активность и создаёт цифровые профили на основе собранной таким образом информации. Эти данные применяются для демонстрации пользователям платформ компании персонализированной рекламы. Это означает, что любые ограничения на возможность непрерывного использования данных пользователей в одном из основных регионов бизнеса компании могут негативно сказаться на её доходах.

Google установит противоугонную систему на все Android-смартфоны — развёртывание началось

Google запускает набор новых функций, анонсированный ещё в мае, для защиты Android-телефонов от кражи. Согласно информации TheVerge, две из трёх функций, такие как Theft Detection Lock и Offline Device Lock, уже появились на некоторых смартфонах. Третья, Remote Lock, также появилась, но не у всех пользователей.

 Источник изображения: Denny Müller/Unsplash

Источник изображения: Denny Müller/Unsplash

Наиболее заметной функцией станет Theft Detection Lock, которая использует искусственный интеллект для блокировки экрана, если обнаружит на устройстве «типичные движения, связанные с кражей». Например, когда телефон резко выхватывают из рук.

Offline Device Lock автоматически заблокирует экран устройства, если оно длительное время находится в оффлайн-режиме, а Remote Lock позволит владельцам заблокировать свой смартфон с помощью номера телефона в тех случаях, когда они не смогут войти в сервис Find My Device по паролю.

 Источник изображения: MishaalRahman/Reddit

Источник изображения: MishaalRahman/Reddit

На данный момент функции Theft Detection Lock и Offline Device Lock поддерживаются на любых устройствах Android 10 и выше, в то время как для использования Remote Lock достаточно Android 5. Если обновление ещё не доступно, можно попробовать обновить Google Play Services. Однако известно, что Google часто выпускает новые функции постепенно, и надо просто немного подождать. Скриншоты настроек Theft Detection Lock и Offline Device Lock можно увидеть в Threads.

Концепция изменилась: пароли из наборов случайных символов больше не считаются хорошими

Использование сложных паролей с комбинацией различных типов символов и регулярная смена паролей признана Национальным институтом стандартов и технологий США (NIST) малоэффективной практикой, сообщает Forbes. Хакеры легко взламывают такие пароли. NIST опубликовал новые рекомендации для пользователей и компаний в рамках второго публичного документа NIST SP 800-63-4 по цифровой идентификации.

 Источник изображения: Copilot

Источник изображения: Copilot

Многие годы считалось, что для надёжности пароли должны быть максимально сложными, включать заглавные и строчные буквы, цифры и специальные символы. Предполагалось, что такие пароли будет сложнее угадать или взломать с помощью специальных программ. Однако со временем эксперты пришли к выводу, что чрезмерная сложность паролей приводит к обратному эффекту.

Согласно новому руководству, NIST больше не настаивает на соблюдении строгих правил, касающихся сложности паролей, а вместо этого рекомендует делать их длиннее. Причин для этого оказалось несколько. Во-первых, как показали исследования, пользователям сложно запоминать сложные пароли, что часто приводит к тому, что они начинают использовать один и тот же пароль на разных сайтах или придумывают слишком простую комбинацию символов, лишь бы соответствовать минимальным требованиям. Примером может служить пароль вроде «P@ssw0rd123», который технически соответствует сложным условиям, но легко поддаётся угадыванию.

Во-вторых, требование менять пароли каждые 60-90 дней, которое ранее было распространённой практикой во многих организациях, также больше не рекомендуется. Это требование часто только ухудшало ситуацию, так как приводило к созданию менее надёжных паролей из-за необходимости их частой смены. NIST рекомендует отказаться от сложных паролей в пользу длинных и простых, и объясняет почему.

Сила пароля часто измеряется понятием энтропии — количеством непредсказуемой комбинации символов. Чем выше энтропия, тем сложнее злоумышленникам взломать пароль методом подбора. Хотя сложность пароля может увеличивать энтропию, длина пароля на основе простых символов, как выяснилось, играет гораздо более важную роль.

NIST предлагает использовать длинные пароли, которые легко запомнить, в частности, фразы из нескольких простых слов. Например, пароль в форме фразы «bigdogsmallratfastcatpurplehatjellobat» будет как безопасным, так и удобным для пользователя, хорошо знающим английский язык. Такой пароль сочетает в себе высокую энтропию и лёгкость использования, что помогает избежать небезопасных привычек, таких как записывание паролей или повторное их использование.

Хотя современные технологии значительно упростили взлом коротких, но сложных паролей, тем не менее даже самые продвинутые алгоритмы сталкиваются с трудностями при попытке взлома длинных паролей из-за огромного числа возможных комбинаций. В качестве недавнего примера можно привести изменение пароля мэра Нью-Йорка Эрика Адамса (Eric Adams). Он заменил свой четырёхзначный код на шестизначный на личном смартфоне перед тем, как передать его правоохранительным органам. Это изменение увеличило количество возможных комбинаций подбора символов с 10 тысяч до 1 миллиона.

На сегодняшний день NIST рекомендует компаниям разрешить пользователям создавать пароли длиной до 64 символов. Такой длинный пароль, даже если он состоит только из строчных букв и знакомых слов, будет чрезвычайно сложен для взлома. А если добавить к нему заглавные буквы и символы, взлом такого пароля станет практически невозможным. Таким образом, в новых рекомендациях NIST сделал акцент на длину пароля как на главный фактор его безопасности.

Google ввела новые правила безопасности для доступа к почте Gmail

С 30 сентября компания Google ввела новые правила для почты Gmail, направленные на улучшение защиты аккаунтов. Миллионы пользователей столкнутся с тем, что доступ к данным Gmail из приложений, которые считаются менее безопасными, а также с устройств, не поддерживающих современные протоколы безопасности, то есть использующие для входа только логин и пароль, больше поддерживаться не будет.

 Источник изображения: Solen Feyissa/Unsplash

Источник изображения: Solen Feyissa/Unsplash

Как пишет Forbes, данное решение является частью масштабной кампании Google по повышению уровня безопасности своих сервисов, которое было анонсировано ещё год назад, давая пользователям и разработчикам приложений время на адаптацию. Весь последний месяц компания активно внедряла новую технологию защиты, включая ключи доступа для браузера Chrome на всех популярных платформах (Windows, macOS, Linux, Android).

Новая система безопасности подразумевает переход на протокол авторизации OAuth, который обеспечивает более надёжную защиту данных. Теперь доступ к Gmail через сетевые протоколы CalDAV, CardDAV, IMAP, POP и Google Sync с использованием только имени пользователя и пароля будет невозможен.

Важно отметить, что изменения затронут только пользователей сервиса Google Workspace. Владельцы личных аккаунтов Gmail могут не беспокоиться о доступе к своей почте, однако им стоит учитывать, что доступ по IMAP с помощью почтового клиента теперь будет осуществляться исключительно через протокол OAuth (Open Authorization), который позволяет стороннему приложению получить ограниченный доступ к данным пользователя на другом сервисе без передачи логина и пароля.

Google рекомендует выполнить ряд действий, чтобы избежать проблем с доступом к Gmail после вступления новых правил в силу. В частности, пользователям почтового клиента Outlook 2016 и более ранних версий необходимо перейти на Microsoft 365 или актуальные версии Outlook для Windows и Mac.

Также пользователям Thunderbird и других почтовых клиентов потребуется заново добавить свой аккаунт Google и настроить его для работы с IMAP через OAuth. Наконец, пользователи приложения «Почта» на iOS и macOS должны будут воспользоваться опцией входа через аккаунт Google для активации OAuth, что потребует удаления и повторного добавления аккаунта.

Новый Outlook передаёт всю вашу почту в облако Microsoft — отказаться от этого нельзя

Недавно представленная компанией Microsoft новая версия Outlook для Windows вызвала опасения относительно конфиденциальности. Как сообщает издание XDA со ссылкой на исследование, новый Outlook гораздо теснее интегрирован с облаком, что потенциально расширяет возможности Microsoft по сбору пользовательских данных.

 Источник изображения: xda-developers.com

Источник изображения: xda-developers.com

Несмотря на то, что новый клиент предлагает современный дизайн и функции генеративного ИИ, такие как помощь в написании текстов и другие продвинутые опции, основанные на искусственном интеллекте, исследование, проведённое немецким ресурсом Heise, ставит под сомнение уровень защиты личной информации.

Сообщается, что после прохождения стандартной аутентификации пользователи сталкиваются с неприметным окном, в котором Microsoft предлагает синхронизировать их электронные письма, события и контакты с облаком. Выяснилось, что функции, позволяющей отказаться от этой синхронизации и продолжить использование клиента, не существует, а в предоставленной официально информации указано, что «доступ к данным позволяет использовать поиск в почте пользователя», но при этом не раскрываются границы сбора этих данных.

 Источник изображения: xda-developers.com

Источник изображения: xda-developers.com

После авторизации Outlook фактически передаёт учётные данные в облако Microsoft, что означает, что вся обработка, включая получение писем, осуществляется в облаке. Это было подтверждено тестированием с помощью специального прокси-сервера, который показал, что аутентификация происходит через IP-адреса Microsoft, а не напрямую через почтовый сервер пользователя. Это вызвало у специалистов вопрос, является ли новый Outlook действительно независимым почтовым клиентом или это по своим функциям «обёртка» для облачных сервисов?

Получается, что, подписавшись в Outlook на вынужденную синхронизацию с облаком, а также приняв лицензионное соглашение, позволяющее компании собирать данные для улучшения своих продуктов, пользователи фактически предоставляют Microsoft безусловный доступ ко всей своей электронной почте.

В связи с этим возникает множество вопросов о прозрачности и условиях, при которых Microsoft будет получать доступ к данным. Ситуация особенно критична для корпоративных пользователей, которые могут случайно предоставить Microsoft доступ к конфиденциальной информации своей компании, нарушив тем самым внутренние нормы безопасности. Кроме того, просочившиеся в сеть эти данные могут быть использованы для обучения ИИ-моделей. Как отмечает сайт XDA, «важно, чтобы как обычные пользователи, так и системные администраторы понимали последствия использования нового Outlook и защищали свою конфиденциальность в условиях растущего контроля со стороны облачных технологий».

Личные данные более 100 млн жителей США оказались в открытом доступе

Исследователи в сфере информационной безопасности обнаружили в интернете базу данных, в которой содержится личная информация 106 316 633 граждан США — почти трети населения страны. База включает в себя информацию компании по проверке биографических данных MC2 Data, включая имена людей, их адреса, номера телефонов, копии разных юридических и трудовых документов, а также многое другое.

 Источник изображения: Shutterstock

Источник изображения: Shutterstock

Исследователи считают, что база данных MC2 Data попала в открытый доступ в результате человеческой ошибки, а не направленной хакерской атаки. Это косвенно подтверждается тем, что в базе содержится информация не только о тех, кого проверяли сотрудники компании, но также о более чем 2 млн клиентов, подписавшихся на услуги MC2 Data.

Нынешний инцидент стал второй крупной утечкой данных из компаний, занимающихся проверкой биографических данных, за последние несколько месяцев. В августе компания National Public Data подтвердила утечку данных, из-за чего столкнулась с несколькими коллективными исками со стороны американцев, чьи данные оказались в открытом доступе.

«Сервисы проверки биографических данных всегда были проблематичными, поскольку киберпреступники могли оплачивать их услуги по сбору данных о потенциальных жертвах. Такая утечка — золотая жила для киберпреступников, поскольку она открывает ряд возможностей и снижет для них риск, позволяя более эффективно использовать эти подробные данные», — прокомментировал данный вопрос исследователь из Cybernews Арас Назаровас (Aras Nazarovas).

Социальные сети собирают больше личной информации пользователей, чем заявляют, выяснил регулятор США

В конце этой рабочей недели Федеральная комиссия по торговле США (FTC) сообщила, что её расследование выявило более обширный сбор отдельными социальными сетями и стриминговыми сервисами персональных данных по сравнению с декларируемым. По сути, ряд компаний обвиняется властями США в несанкционированном сборе информации о потребителях, включая несовершеннолетних.

 Источник изображения: Pixabay

Источник изображения: Pixabay

Как сообщает The New York Times, под подозрение попали девять компаний, включая Meta Platforms, YouTube и TikTok. Предоставляя свои услуги преимущественно бесплатно для пользователей, они зарабатывают на сборе информации о них с целью дальнейшей её продажи рекламодателям. Последние с помощью подробного демографического среза аудитории могут адресно продвигать те или иные товары и услуги своих клиентов. Кроме того, указанные компании, по мнению FTC, недостаточно хорошо защищают пользователей, особенно детей и подростков.

По данным FTC, своё расследование комиссия начала почти четыре года назад с целью первого в своей истории подробного изучения «непрозрачной деловой практики» крупнейших онлайн-платформ, которые оперируют многомиллиардными рекламными оборотами благодаря доступа к пользовательской информации. По данным агентства, расследование доказывает необходимость усиления контроля за этой сферой со стороны федерального законодательства США, а также введения некоторых ограничений на способы использования персональных данных компаниями.

Председатель FTC Лина Хан (Lina Khan) заявила: «Практика слежения угрожает частной жизни людей и их свободам, подвергая их целому набору угроз, от кражи личности до преследования». Американские регуляторы уже давно выражают обеспокоенность влиянием социальных сетей на ментальное здоровье подрастающего поколения граждан, но пока попытки законодателей усилить контроль за данной сферой в основной своей части потерпели неудачу. Лина Хан также отметила, что попытки усилить меры саморегулирования деятельности компаний также ни к чему не привели.

FTC начала своё расследование в декабре 2020 года, охватив деятельность девяти компаний, владеющих 13 платформами. Свои выводы комиссия строила на основе изучения данных о деятельности компаний в период с 2019 по 2020 годы, уделяя первостепенное внимание методам сбора информации, её использования и хранения. В поле зрения регуляторов попали платформы YouTube, TikTok, Facebook, Whatsapp, Instagram, Messenger, Twitch, Discord, Snapchat, Reddit и X. Руководство комиссии не стало пояснять, в какой мере та или иная компания нарушает интересы пользователей в части защиты персональных данных.

FTC выяснила, что компании получали недостающую информацию о пользователях через другие платформы, а порой покупали дополнительные данные о тех людях, которые не являлись их клиентами. Большинство компаний собирали информацию о возрасте, поле и языковых предпочтениях пользователей, некоторые дополняли её данными об образовании, уровне дохода и семейном положении. У пользователей при этом не было реальных возможностей отказаться от предоставления информации о себе, а компании нередко хранили информацию значительно дольше, чем требовалось по условиям соглашения с пользователями. Информация о клиентах буквально объединялась в подробные досье для предоставления рекламодателям.

Регуляторы также обнаружили достаточное количество пользователей в возрасте до 13 лет на платформах, которые на уровне правил декларировали запрет на их подключение к своим ресурсам. Во многих приложениях сбор данных о подростках осуществлялся в том же объёме, что и о взрослых. Отдельные компании даже затруднялись объяснить следователям, насколько велик объём собираемых данных.

Лина Хан в позапрошлом году инициировала процесс создания правил демонстрации рекламы пользователям онлайн-сервисов. В январе Epic Games была вынуждена согласиться с выплатой штрафа в размере $500 млн за нарушение законов в части неприкосновенности частной жизни несовершеннолетних граждан. В 2022 году социальная сеть X (ранее Twitter) была оштрафована на $150 млн за злоупотребления в области использования данных о клиентах для адресной рекламы.

Google вводит кроссплатформенную синхронизацию ключей доступа с помощью PIN-кодов

Компания Google представила безопасную синхронизацию ключей доступа (passkeys) с расширенной поддержкой различных платформ. Помимо устройств Android теперь можно сохранять ключи доступа в Google Password Manager из Windows, macOS, Linux и Android с помощью PIN-кода.

 Источник изображения: Copilot

Источник изображения: Copilot

Одним из главных нововведений, пишет The Verge, стала упрощённая синхронизация ключей доступа между различными устройствами. Ранее для их использования на других платформах требовалось сканирование QR-кода. Теперь этот процесс заменён вводом PIN-кода, что должно значительно упростить сохранение и использование паролей на устройствах, отличных от Android.

«Сегодня мы выпускаем обновления, которые ещё больше упростят использование ключей доступа на ваших устройствах. Теперь вы можете сохранять их в Google Password Manager из Windows, macOS, Linux и Android, а также ChromeOS в бета-версии. После сохранения ключи доступа автоматически синхронизируются на всех устройствах, что делает вход в систему таким же простым, как сканирование отпечатка пальца», — говорится в блоге Google.

 Источник изображения: Google

Источник изображения: Google

Новый PIN-код не только делает процесс аутентификации более удобным, но и сохраняет высокий уровень безопасности. Ключи доступа по-прежнему защищены сквозным шифрованием, что гарантирует их недоступность даже для Google. Чтобы их использовать на новом устройстве пользователю достаточно будет разблокировать экран своего Android-устройства или ввести PIN-код для Google Password Manager.

Ожидается, что технология PIN-кодов позволит забыть о сложных паролях и сосредоточиться на более простых, но безопасных методах аутентификации. В компании отмечают, что уже с сегодняшнего дня можно создавать пароли для популярных сайтов и приложений, таких как Google, Amazon, PayPal и WhatsApp, так как Google Password Manager встроен в устройства Chrome и Android.

window-new
Soft
Hard
Тренды 🔥
WhatsApp научился расшифровывать голосовые сообщения в текст — русский язык поддерживается 42 мин.
Новая игра создателей The Invincible отправит в сердце ада выживать и спасать жизни — первый трейлер и подробности Dante’s Ring 2 ч.
Центр ФСБ по компьютерным инцидентам разорвал договор с Positive Technologies 3 ч.
Android упростит смену смартфона — авторизовываться в приложениях вручную больше не придётся 3 ч.
OpenAI обдумывает создание собственного интернет-браузера и поисковых систем для противостояния Google 4 ч.
Apple разрабатывает LLM Siri — она будет больше похожа на человека и выйдет с iOS 19 5 ч.
Новая статья: Верные спутники: 20+ полезных Telegram-ботов для путешественников 11 ч.
Итоги Golden Joystick Awards 2024 — Final Fantasy VII Rebirth и Helldivers 2 забрали больше всех наград, а Black Myth: Wukong стала игрой года 12 ч.
В программу сохранения классических игр от GOG вошли S.T.A.L.K.E.R. Shadow of Chernobyl и Call of Pripyat, а Clear Sky — на подходе 13 ч.
Star Wars Outlaws вышла в Steam с крупным обновлением и дополнением про Лэндо Калриссиана 14 ч.
Kioxia подала заявку на IPO — третьего крупнейшего производителя флеш-памяти оценили всего в $4,85 млрд 31 мин.
«Джеймс Уэбб» первым в истории нашёл «зигзаг Эйнштейна» — уникальное искривление пространства-времени 33 мин.
Второй электромобиль Xiaomi выйдет через год после первого и будет заметно от него отличаться 2 ч.
Oracle объявила о доступности облачного ИИ-суперкомпьютера на базе NVIDIA H200 2 ч.
Positive Technologies получила сертификат ФСТЭК на межсетевой экран PT NGFW 3 ч.
Google снова уходит с рынка планшетов, сворачивая разработку Pixel Tablet 2 4 ч.
Представлен внешний SSD SanDisk Extreme на 8 Тбайт за $800 и скоростной SanDisk Extreme PRO с USB4 12 ч.
Представлен безбуферный SSD WD_Black SN7100 со скоростью до 7250 Мбайт/с и внешний SSD WD_Black C50 для Xbox 12 ч.
Новая статья: Обзор ноутбука ASUS Zenbook S 16 (UM5606W): Ryzen AI в естественной среде 12 ч.
Redmi показала флагманский смартфон K80 Pro и объявила дату его премьеры 14 ч.