Новые средства контроля конфиденциальности Windows 10.

25/01/2018

Все мы прекрасно помним прошлогодние баталии о загрузке ваших данных при использовании Windows 10. Думаю, что каждый из нас захочет проверить, а что же будет с этим в будущем? Уверен, что намного легче не будет. Зато у вас появится инструмент, с помощью которого вы сможете отследить необработанные данные. Это новое приложение вместе с обновленной панелью конфиденциальности станет частью Windows 10 Insider Preview Build 17083, выпущенной в среду.

Два усовершенствования, протестированные в бета-версии Microsoft Windows 10 Insider — средство просмотра данных Windows и обновления существующей панели конфиденциальности — предназначены для того, чтобы дать пользователям некоторое чувство контроля. Так как Windows 10 все так же будет собирать данные, Microsoft обязалась разрешить вам удалять определённые данные.

Microsoft уже предоставляет ряд подробных средств контроля конфиденциальности для пользователей, которые могут управлять (или блокировать) различные отправляемые данные Windows 10, включая ваше местоположение. Существующие средства контроля конфиденциальности покажут вам все, что знает о вас Microsoft. Безусловно, посмотреть и может быть подредактировать стоит потраченного времени. Некоторые данные, например, HealthVault, на сегодня не актуальны, зато другие, как например, ваша история поиска в Интернет, имеет непосредственное влияние на вашу тайну личной жизни.

Сегодня Microsoft резко улучшила свою панель конфиденциальности двумя способами. Во-первых, существующая «временная» история активности Microsoft, связанная с хронологией добавит активность продукта и услуги в вашу панель, а во-вторых, вы можете теперь удалить отдельные элементы и экспортировать больше данных.

Что это значит для вас: я хочу разрешить Microsoft показывать мне релевантные объявления в Edge, просто чтобы я мог видеть, как мои поисковые запросы определяют, какие объявления Windows отображаются. Но мы все, вероятно, бывали в ситуации, когда мы выбрали нужную услугу или продукт элемент, возможно даже купили, а ваш браузер продолжает показывать всплывающую рекламу этой услуги (продукта).

Более полная панель конфиденциальности

Естественно, мы еще не знаем, как будут выглядеть новые элементы управления, но уже сегодня можно сказать, что есть два аспекта новой панели конфиденциальности, которые мне кажутся весьма обнадеживающими.

Во-первых, это возможность удалять отдельные фрагменты данных поэлементно. Сегодня вы можете удалить ВСЮ историю поиска, но не отдельные ее фрагменты. Единственное, что можно удалить отдельно, это отдельные голосовые запросы. Безусловно, немногие пользователи будут использовать эту функцию ежедневно, но все же повышение уровня контроля — это важный положительный шаг.

Во-первых, конечно, есть возможность удалять отдельные фрагменты данных по элементам. В настоящее время вы можете удалить всю историю поиска, но не отдельные элементы. (Вы также можете удалить отдельные голосовые запросы.) Немногие пользователи, вероятно, будут использовать эту функцию ежедневно, но повышенный уровень контроля является положительным шагом.

Что еще важнее, Microsoft демонстрирует какие приложения или службы запускались и когда на своей новой странице History.

Кроме того, теперь Microsoft планирует собирать информацию о фильмах – ширину видео, тип кодирования, шифрование, музыку и телевидение, а также количество купленных треков в коллекции человека.

Надеюсь, что Microsoft позволит пользователю узнать какие приложения обращались к вашей истории поиска, микрофону, камере и другим элементам управления, а также кому были доступны приложения, службы и устройства.

Средство просмотра диагностических данных — это придирчивый взгляд на вашу конфиденциальность

Кроме того, Microsoft добавляет приложение, чтобы показать вам, какие данные о вас собираются. Правда стоит отметить, что обычному пользователю это даст весьма мало информации. Практически никакой.

Если вы думаете, что вам станет легче и у вас будет меньше проблем с конфиденциальностью, не обольщайтесь. Просто примите это к сведению.

 

 

Реклама

В результате взлома Регионального управления здравоохранения Норвегии похищены данные почти трех миллионов пациентов

25/01/2018

https://www.devicelock.com/ru/blog/v-rezultate-vzloma-regionalnogo-upravleniya-zdravoohraneniya-norvegii-pohischeny-dannye-pochti-treh-millionov-patsientov.html

Злоумышленники взломали систему Регионального управления здравоохранения Южной и Восточной Норвегии (Helse Sør-Øst RHF) и получили доступ к персональным данным и медицинским записям около 2.9 миллиона норвежцев.

О нарушении было объявлено в понедельник.

Первыми заметили неприятности специалисты HelseCERT, национального центра информационной безопасности норвежского сектора здравоохранения, который обнаружил подозрительный трафик.

Похищенные медицинские данные содержат информацию о сотрудниках правительства, секретной службы, военных, политиках и других общественных лицах.

Потеря данных 2.9 миллиона зарегистрированных пациентов равна практически половине всего населения Норвегии (5.2 миллиона человек).

Таким образом, распространение этой информации может нанести существенный ущерб национальным интересам Норвегии.

Медицинские учреждения постоянно становятся жертвами атак, потери и хищения данных:

Автор: Владимир Безмалый


Скомпрометированы 20,000 аккаунтов пользователей при взломе популярной порно-игры

25/01/2018

https://www.devicelock.com/ru/blog/skomprometirovany-20000-akkauntov-polzovatelej-pri-vzlome-populyarnoj-porno-igry.html

У пользователей SinVR были похищены имена, адреса электронной почты и другая персональная информация.

Утечка коснулась 20 000 человек.

SinVR это порно-игра в виртуальной реальности (VR), позволяющая игрокам использовать аватар в 3D-мире и взаимодействовать с другими игроками в виртуальном мире.

Хакеры взломали SinVR, а затем предупредили компанию о существующих уязвимостях.

В своем блоге хакер Jahmel написал, что злоумышленник может использовать данную информацию для атак социальной инженерии. Некоторые пользователи могут подвергнуться шантажу на основе этой информации.

На сегодня SinVR исправил уязвимость.

Следует отметить, что данные пользователей это достаточно ходовой товар в Dark Web. Мы писали про цены черного рынка на персональные данные и отдельно про цены на российские персональные данные.

Автор: Владимир Безмалый


Пока гром не грянет? Менее 10% пользователей Gmail включили двухфакторную аутентификацию

24/01/2018

По словам разработчика программного обеспечения Google, Grzegorz Milka, менее 10% своих пользователей включили двухфакторную аутентификацию (2FA) для своих учетных записей.

Уж сколько раз говорилось о слабых паролях и необходимости внедрения двухфакторной аутентификации, но пользователи упорно используют пароли типа «123456». Предложение включить двухфакторную аутентификацию просто игнорируется!

«А ведь при наличии двухфакторной аутентификации, даже если кто-то и перехватит ваш пароль, то этого недостаточно, чтобы войти в свою учетную запись», — говорится на странице Google на 2FA.

10% пользователей это очень мало, особенно учитывая, что Google сегодня объединяет более 2 миллиардов активных устройств каждый месяц.

Milka сделал неутешительное откровение на Enigma 2018 Usenix, несмотря на то, что двухфакторная аутентификация (2FA), реализованная Google, позволяет ее пользователям получать доступ к учетной записи, предоставляя учетные данные и код аутентификации, отправленный пользователю через SMS или голосовый вызов или генерируемый через Мобильное приложение Google, пользуются такой аутентификацией всего 10% пользователей.

Эти данные демонстрируют недостаточную осведомленность пользователей о кибер-угрозах и способы уменьшения вероятности взлома учетной записи.

Многие пользователи считают, что настройка и использование 2FA для их учетных записей может усложнить их работу.

Почему Google не сделает двухфакторную аутентификацию обязательной для всех пользователей? Проблема в том, что пострадает удобство доступа. А ведь люди в таком случае будут просто искать более удобный для себя способ.

С другой стороны, Google работает над улучшением как опыта пользователей, так и безопасности, например, для использования систем машинного обучения, способных выявлять подозрительные действия, связанные с учетными записями по счетам.

Например, обычно, когда злоумышленник получает доступ к учетной записи, он отключает уведомление законного владельца и начинает изучать содержимое электронной почты путем поиска паролей, лицензий и кодов активации, адресов кошельков криптовалюты и учетных данных, интимных фотографий, и других конфиденциальных документов, включая копии удостоверений личности.

Когда Google обнаруживает одно из вышеперечисленных действий, немедленно запускаются меры противодействия.

 


Муниципалитет разослал сторонним компаниям по электронной почте персональные данные сотен граждан

21/01/2018

https://www.devicelock.com/ru/blog/munitsipalitet-razoslal-storonnim-kompaniyam-po-elektronnoj-pochte-personalnye-dannye-soten-grazhdan.html

Муниципалитет города Лестер (Великобритания) осуществил рассылку по электронной почте файла с именем «Taxi Tender Live v 3» в формате электронной таблицы, размером 23 Мб. Получателями рассылки выступили 27 компаний-перевозчиков (такси).

Изначально предполагалось организовать тендер на перевозку граждан с ограниченными возможностями (инвалидов-колясочников), однако, в тендерный документ попали персональные данные инвалидов, включая детей.

Через сутки, когда обнаружился факт утечки, муниципалитет предпринял поистине гениальное решение – разослать по тем же получателям требование не открывать и не читать первое письмо, немедленно стереть его и даже удалить из папки «Удаленные». А на случай, если получатели все же успели открыть и прочитать «запретное» письмо, их предупредили об ответственности за разглашение личной информации.

На самом деле, это классический случай случайной утечки информации, когда нет злого умысла, а есть глупость и не аккуратность в обращении с данными. С такими случаями утечек давно и успешно справляются средства предотвращения утечек данных (DLP). Во-первых, DLP-продукт проверил бы содержимое электронного письма, «залез» вовнутрь файла электронной таблицы и обнаружил бы там персональные данные. Во-вторых, DLP-средство посмотрело бы список получателей электронного письма и обнаружило бы там внешние адреса, не имеющие доступа к персональным данным. Ну и в конце концов, DLP-продукт запретил бы отсылку такого письма, сообщив о нарушении. Разумеется, в данном случае речь идет о настоящей DLP-системе, которая способна блокировать передачу данных, а не только оповещать и осуществлять расследования уже случившихся утечек.

Автор: Владимир Безмалый


Крупная британская розничная сеть по продаже мобильных телефонов оштрафована на 400 000 фунтов стерлингов за утечку данных

21/01/2018

https://www.devicelock.com/ru/blog/krupnaya-britanskaya-roznichnaya-set-po-prodazhe-mobilnyh-telefonov-oshtrafovana-na-400-000-funtov-sterlingov-za-utechku-dannyh.html

Розничная сеть Carphone Warehouse была оштрафована на 400 000 фунтов стерлингов (около 550 000 долларов США) Information Commissioner’s Office (ICO) после утечки данных, случившейся в 2015 году.

Хакеры получили неавторизованный доступ к персональным данным более трех миллионов клиентов и 1000 сотрудников ритейлера через систему управления контентом (CMS) WordPress, установленную на сайтах OneStopPhoneShop.com, e2save.com и Mobiles.co.uk.

Скомпрометированные данные включали имена, адреса, номера телефонов, даты рождения, семейное положение клиентов, а также информацию об их платежных карточках.

Кроме того, пострадали записи некоторых сотрудников Carphone Warehouse, включая имена, номера телефонов, почтовые индексы и данные о регистрации автомобилей.

Этот штраф стал одним их из крупнейших когда-либо накладываемых ICO.

Как ожидается, окончательная сумма штрафа составит 320 000 фунтов стерлингов, поскольку ICO предлагает 20% скидку на штрафы, которые выплачиваются менее чем через месяц после их назначения.

Утечки информации дорого обходятся компаниям:

Автор: Владимир Безмалый


Кража ноутбука привела к утечке данных 43 000 пациентов в Западной Вирджинии.

21/01/2018

https://www.devicelock.com/ru/blog/krazha-noutbuka-privela-k-utechke-dannyh-43-000-patsientov-v-zapadnoj-virdzhinii.html

Система здравоохранения в Западной Вирджинии предупредила 43 000 пациентов о том, что их персональные данные были скомпрометированы после того, как ноутбук сотрудника Coplin Health Systems был украден из его машины.

В письме к пациентам генеральный директор Colpin Health System сказал, что ноутбук защищен паролем, но жесткий диск зашифрован не был. Таким образом злоумышленники могли получить доступ к находившимся на нем документам, содержащим номера социального страхования, финансовую информацию и данные о здоровье.

Однако наиболее интересно другое. Инцидент произошел 2 ноября, после этого ИТ-отдел больницы предпринял несколько шагов, чтобы отключить доступ в сеть предприятия для этого ноутбука. И только в конце декабря (через два месяца после инцидента) больница сообщила об инциденте в Управление по гражданским правам Департамента здравоохранения и социальных служб. Таким образом, больница два месяца скрывала инцидент.

Интересно, а о шифровании ноутбуков в системе здравоохранения никто не задумывался до того, как ноутбук был украден? А задумываются ли после того?

За последние три месяца было зарегистрировано десять инцидентов, связанных с кражей ноутбука, настольного или мобильного устройства. Например, в декабре произошла кража жесткого диска c данными 4600 пациентов медицинский центр Chilton в штате Нью-Джерси.

Внутренние угрозы по-прежнему являются одним из основных каналов утечек данных в области здравоохранения.

Автор: Владимир Безмалый

http://m.devicelock.com/bitrix/spread.php?s=QklUUklYX1NNX0dVRVNUX0lEATIzODM5NzE3ATE1NDc2MjQyNTUBLwEBAkJJVFJJWF9TTV9MQVNUX1ZJU0lUATIxLjAxLjIwMTggMTA6Mzc6MzUBMTU0NzYyNDI1NQEvAQECQklUUklYX1NNX0xBU1RfQURWATFfWQExNTQ3NjI0MjU1AS8BAQI%3D&k=0d135b5cc9e6ec8a17b95edec57927b9