Paull
Награды:
65К рейтинг
56 подписчиков
110 подписок
112 постов
33 в горячем
Осень
БМ промолчал
Данные 20 млн россиян можно свободно приобрести на рынке в Москве
Журналист купил «с рук» флешку с базой данных банковских должников, ВИЧ-инфицированных, сотрудников ФСБ и преступников.
Сотрудник издания The Insider Сергей Канев заявил о доступности конфиденциальной информации 20 млн россиян на Митинском радиорынке в Москве. По словам журналиста, за 10 тыс. руб. ему удалось купить «флешку» с базой данных размером 42 ГБ.
Канев узнал о возможности приобрести информацию о миллионах соотечественников из рекламного буклета, врученного ему у станции метро «Щукинская». Журналист позвонил по указанному номеру, встретился с продавцом на Митинском радиорынке и без труда купил базу данных. На вопрос, достоверна ли информация, продавец ответил, что получил ее непосредственно от сотрудников правоохранительных органов.
Как сообщил Канев, в его распоряжении оказались личные данные (ФИО, адреса, номера телефонов, должности) 20 млн клиентов и должников крупнейших российских банков, сотрудников засекреченных подразделений ФСБ и даже ВИЧ-инфицированных. Купленная журналистом «флешка» содержала папки «Федеральный скоринг 2015», «Должники Сбербанка», «Стоп-листы ВТБ-24», «Должники Уральского банка реконструкции и развития», «Недобросовестные заемщики «Русского стандарта», «Банки Негатив» и пр.
Скоринг представляет собой оперативную оценку потенциального заемщика банка. По существу, папка «Федеральный скоринг 2015» является неким «черным» списком клиентов. В нее попали не только недобросовестные заемщики, но и оперативная информация российских правоохранительных органов о международных террористах, а также лицах, находящихся в федеральном розыске и судимых за преступления.
Если в графу «место работы» в базе данных ввести ФСБ, она выдает 1503 фамилии с указанием домашних адресов, номеров телефона, паспортных данных, а в некоторых случаях даже занимаемых должностей сотрудников спецслужбы. В частности, БД содержит информацию о так называемых «опушниках» - сотрудниках ОПУ (засекреченного подразделения ФСБ), ведущих наблюдение под прикрытием.
Показать полностью
1
Баг BadKernel представляет опасность для каждого шестнадцатого Android-устройства
Представлен новый отчет об уязвимости, известной под названием BadKernel. Данный баг был обнаружен в составе движка V8 JavaScript еще в 2015 году, и проблема проявлялась в версиях 3.20-4.2. Хотя уязвимость исправили год назад, исследователи пишут, что многие устройства, включая девайсы LG, Samsung, Motorola и Huawei, по-прежнему находятся в зоне риска.
В 2015 году эксперты Qihoo 360 нашли баг в V8 JavaScript, для эксплуатации которого злоумышленнику было достаточно заманить жертву на вредоносную веб-страницу. RCE-уязвимость предоставляет атакующему практически полный контроль над устройством жертвы, позволяя перехватывать SMS-сообщения, данные с камеры, похищать пароли и информацию из памяти устройства, узнать местоположение жертвы и так далее. Перед проблемой BadKernel оказался уязвим не только Chromium и приложения, построенные на его основе, но и WebView, который тоже использует V8 JavaScript.
Так как WebView применяется во множестве сторонних приложений (WeChat, Facebook, Twitter, Gmail и так далее), масштабы проблемы оказались весьма велики. Хуже того, уязвимые версии WebView являлись дефолтными для Android, начиная от версии 4.4.4 и до версии 5.1.
В 2015 году эксперты сообщали, что проблема V8 JavaScript распространяется также на различные SDK, к примеру, Tencent X5.SDK. Это означало, что приложения, созданные с использованием данных SDK, тоже уязвимы перед атаками BadKernel. В их число вошли популярные в Китае QQ, QQ Space, Jingdong, 58 City, Sohu и Sina News.
Хотя исправление для проблемы BadKernel было представлено в 2015 году, исследователи пишут, что множество уязвимых версий V8 JavaScript по-прежнему входят в состав различных приложений. Некоторые приложения не обновляли сами разработчики, другие забывают обновлять пользователи.
«В США и странах Европы о проблеме BadKernel по-прежнему известно весьма мало, так как исследователи Qihoo 360, обнаружившие уязвимость, опубликовали все данные о ней на китайском языке, что сделало их недоступными для всего остального мира», — рассказывает эксперт Trustlook Mobile Security Кларк Донг (Clark Dong).
Компания Trustlook Mobile Security решила донести информацию о проблеме до всего остального мира и представила собственный отчет о проблеме. На сайте компании также был опубликован длинный список уязвимых перед проблемой BadKernel устройств, в который вошли гаджеты таких производителей как Alcatel, Asus, HTC, Huawei, Lenovo, LG, Motorola, Samsung, Sony и так далее. Эксперты пишут, что BadKernel представляет угрозу для 41,48% всех моделей смартфонов Samsung, 38,89% всех моделей смартфонов Huawei , 26,67% моделей Motorola и 21,93% девайсов LG.
По данным Trustlook Mobile Security, наибольшее число уязвимых устройств сосредоточено в Перу, там BadKernel представляет опасность для каждого пятого Android-девайса. Следом идут Франция (14,7%), Нигерия (12,4%), Бангладеш (10,2%) и Таиланд (9,4%).
Согласно отчету, самыми «дырявыми» являются встроенные браузеры LG (уязвимы 75,1% всех установок), следом за которыми идут браузеры Samsung (41% установок уязвим), а также проблема проявляется в мобильных версиях Google Chrome (11% уязвимых установок).
Показать полностью
2
Минкомсвязи: Аутентификация по SMS угрожает безопасности банков
Для аутентификации клиентов банкам стоит использовать более безопасные способы, чем введение кодов, присланных в SMS
По мнению экспертов Минкомсвязи РФ, аутентификация пользователей по SMS представляет угрозу для банков. Об этом в среду, 5 октября, сообщает издание «Известия» со ссылкой на пресс-службу ведомства.
Для аутентификации своих клиентов банкам стоит использовать более безопасные способы, чем введение кодов, присланных в SMS. В качестве альтернативы Минкомсвязи предлагает применять генераторы одноразовых паролей (TOTP) с дополнительной защитой при помощи шифрования.
Для создания одноразовых паролей можно использовать сервисы наподобие «Яндекс.Ключ» или Google Authenticator. Пользователю нужно установить на свой планшет или смартфон соответствующую программу. Она подключается к сайту и генерирует одноразовые пароли с ограниченным сроком действия. При авторизации пользователю нужно будет вводить не старый, а новый одноразовый пароль.
Как пояснила руководитель управления дистанционного банковского обслуживания ВТБ24 Елена Дегтева, уязвимость представляет не сама технология формирования кода, а SMS-канал, по которому он доставляется от банка пользователю.
«Существует несколько способов компрометации такого канала передачи информации», - соглашается с Дегтевой Эльман Бейбутов из Solar Security. К примеру, злоумышленники могут заразить устройство пользователя трояном, способным перехватывать SMS с кодами. По словам эксперта, таким образом со счетов россиян ежегодно похищается более 50 млн руб.
Мошенники также могут перевыпустить SIM-карту с номером жертвы, воспользовавшись поддельным удостоверением личности.«Это недорого – порядка 50 тыс. рублей на черном рынке за одну SIM-карту», - поясняет Бейбутов. Злоумышленники активируют дубликат карты в сети оператора и переводят все деньги со счета жертвы на свои собственные. Далее похищенные средства обналичиваются в банкоматах.
Показать полностью
1
В России могут ввести штрафы за скачивание пиратских фильмов
Скачавших нелегальный контент пользователей будут вычислять по IP-адресам.
В правительстве РФ ведется обсуждение возможного введения наказания за скачивание контента, нарушающего авторские права. Об этом в понедельник, 3 октября, сообщает Rambler News Service со ссылкой на осведомленный источник.
Ранее Министерство культуры РФ разработало поправки в антипиратский закон, предполагающие досудебную блокировку пиратских ресурсов, однако Минкомсвязи и интернет-сообщество не поддержали данную инициативу.
Как сообщил источник, если предложенные Минкультуры поправки внесены не будут, тогда власти могут ввести систему штрафов, подобную той, что в настоящее время действует в Германии. Согласно законодательству некоторых европейских стран, за скачивание нелегального контента пользователи обязаны платить персонифицированный штраф. Нарушитель вычисляется по IP-адресу, а затем на его физический или юридический адрес приходит соответствующее уведомление. В Германии сумма штрафа составляет до 1 тыс. евро.
В настоящее время российские профильные ведомства рассматривают возможность введения штрафов только за скачивание пиратских копий фильмов отечественного производства. Обсуждение ведется на неофициальном уровне.
Взято с securitylab.ru
Показать полностью
Банки могут получить доступ к базам сотовых операторов
Банку нужно получить данные по статусу клиента от оператора сотовой связи для своевременного предотвращения. Это может быть информация о смене SIM-карты, о наличии блокировки, геоположении устройства.
Минкомсяви РФ будет разрабатывать законопроект о дружественных отношениях банков и операторов связи. С такой инициативой выступила подгруппа «Интернет+финансы» рабочей группы при администрации президента. Идея достаточно проста: банки должны знать номер телефона человека, взявшего кредит и его текущее местоположение.
Известия цитируют заместителя директора Института развития интернета и члена подгруппы «Интернет+финансы» Екатерину Лобанову:
«Развитие современных технологий заставляет нас совершенствовать законодательство — банку нужно получить данные по статусу клиента от оператора сотовой связи для своевременного предотвращения мошенничества. Это может быть информация о смене SIM-карты, о наличии блокировки, геоположении устройства. Роскомнадзор в рамках действующего законодательства запрещает всё это делать. Было бы логично такие услуги оказывать на основании прямых договоров: банк — оператор связи, без посредников».
Информация о текущем местоположении должника позволит коллекторским фирмам без проблем находить человека. Идея создания общей базы должников не нова. Ранее активист проекта Общественной палаты (ОП) «Перспектива» Денис Калугин выступал за создание единой базы телефонов должников. По словам Калугина, коллекторы ежемесячно отправляют 100 млн SMS сообщений. При этом 27% сообщений не доходят до адресатов.
В настоящий момент в Минкомсвязи отказались от каких-либо комментариев относительно будущего законопроекта.
Взято с securitylab.ru
Показать полностью
1
