«Это просто совпало так»

Недавно мы рассказывали о том, как на Госуслугах отключили механизм удаления аккаунта. А сегодня Госдума, за несколько часов ознакомления с текстом, приняла «закон об электронных повестках».

Конечно, подобная спешка не обошлась без очевидных ляпов в тексте закона. Социальный фонд, например, опять превратился в пенсионный, вопреки поправкам от 1 января текущего года.

Сам закон, по сути, устанавливает равный правовой статус электронных повесток и бумажных. Помимо прочего, ряд пунктов закона закрывает многие лазейки для уклонистов.

Глава комитета Госдумы по обороне уже предложил всем «карьерным релокантам», подлежащим призыву, взять отпуск и вернутся в РФ послужить годик.

НеКасперский

Слили «585 GOLD»

Вчера об этом объявил хакер, который ранее сливал Дикси, ru.puma.com и Бристоль. В обширном дампе самой крупной ювелирной сети РФ почти 10 млн. записей, среди которых:

• ФИО
• Дата рождения
• Возраст
• Пол
• Адрес
• Телефон (8,4 млн. уникальных)
• E-mail (3,1 млн. уникальных)
• Паспорт (серия, номер и кем выдан)
• Дата операций
• Другая техническая информация.

Судя по датам операций клиентов, записи совсем свежие и актуальны на 10.04 этого года. Самая старая же запись — 27.07.2020. Выборочная проверка показала, что телефоны клиентов действительно зарегистрированы на сайте.

UPD: Утечка именно от сети «585 Gold», а не «585*Золотой»)

И сразу осветим на вопрос: Ювелирная компания не может не иметь практику сбора паспортных данных, т.к. по закону от ₽60 тыс. наличными и ₽400 тыс. картой покупатель обязан их предоставить.

НеКасперский

Произошел фингеринпринтинг

Банк России ввел в действие новый стандарт, а вместе с ним и новое понятие – «цифровой отпечаток устройства». Механизм направлен на обеспечение безопасности пользователей при совершении финансовых операций.

По задумке, цифровой отпечаток — аппаратно-программный слепок устройства, позволяющий использовать ваш смартфон как фактор аутентификации или артефакт при расследовании киберинцидентов.

Мера еще не стала жестким требованием, но Альфа-банк и ВТБ уже сообщили, что готовы имплементировать подобные решения в свои системы безопасности.

И не смотря на то, что цифровые слепки наших устройств делаются уже на каждом углу сетевого пространства, с потенциальной аккумуляцией этих данных в таком масштабе сталкиваться еще не приходилось.

НеКасперский

Госуслуги заменят паспорт и точка

Минцифры уложилось в срок и опубликовало проект указа о цифровизации паспортов граждан РФ. Функционал снова будет на Госуслугах.

Мы уже рассказывали через призму негодования об инициативе внедрения QR для проверки возраста. Теперь же можно ожидать плавного перехода на цифровые паспорта. И в чем тогда был смысл QR?

Согласно тексту проекта, цифровой и бумажный паспорта должны будут иметь равный правовой статус. А обеспечить законодательную базу и согласовать реализацию для этого поручили Правительству РФ и органам исполнительной власти, в лице МВД и ФСБ. На всё, про всё – 90 дней.

Ждем очередных изменений в 152 ФЗ, новых подзаконных актов с набором подводных камней и надеемся, что в этот раз обойдется без сбора биометрии. И надлежащее хранение завезите пожалуйста.

НеКасперский

СОГАЗ держит планку 👍🏼

Более 8 млн. строчек вчера слила проукраинская C.A.S. из базы личных кабинетов пользователей страховой компании. Хакеры заявили, что атака — ответ на атаки украинские страховые компании. Среди данных оказались:

• ФИО
• Логин
• Телефон (5,39 млн. уникальных)
• E-mail (7,86 млн. уникальны)
• Хешированный пароль
• Дата рождения
• Место работы (частично)
• Другая тех. информация

Дамп опять взяли из «Bitrix». В прошлый раз хакерам удалось скомпрометировать только 50 тыс. пользователей из CMS страховой компании. Вопрос, который мы поставили в прошлый раз остаётся открытым. СОГАЗ владеет VK, соответственно отвечает и за безопасность самой крупной социальной сети РФ. Кроме того, мы так и не увидели новостей, что компания понесла хоть какую-нибудь ответственность за предыдущие утечки.

Актуальность дампа датируется октябрём 2022, как и прошлые. Предполагаем, что в октябре хакеры выгрузили образы сервисов компании, сейчас же постепенно их публикуют.

НеКасперский

Отдай свою биометрию

Авито, при разблокировке аккаунтов пользователей теперь требует подтвердить права на профиль биометрией. Один из пользователей сообщил о прецеденте запроса со стороны площадки на передачу вместе со сканом паспорта, видеозаписи лица пользователя.

Под предлогом аутентификации личности сервис фактически устанавливает запрет на использование аккаунта лицам, не предоставившим свои биометрические данные. В целом Авито не считает видео лица - биометрией (видимо даже связка с сканом паспорта их не смущает).

Любопытно, что собираются данные непонятной сторонней организацией ООО «Кабутек», а не самим Авито. К тому же в организации согласно выписке работает всего один человек. Он один обрабатывает все ПДн? Он один отвечает за их сохранность?

Поддержка, традиционно ссылается на пользовательское соглашение, в котором, к слову, сообщается и о потенциальной возможности передачи данных пользователей третим лицам.

НеКасперский

Стадия первая — Принятие

Rheinmetall признала недавнюю кибератаку на свою инфраструктуру.

Представители компании заявляют, что масштабы ущерба в настоящее время еще не определены, но основная операционная деятельность не пострадала. А слитые сотрудники видимо в сделку не входили.

Атака, как заявляется, осуществлена на гражданское подразделение компании, и только в минувшую пятницу началось расследование киберинцидента.

Следственные органы отказались комментировать подробности атаки. Зато их прокомментировали Killnet.

Очень «своевременное» расследование. В очередной раз рекомендуем всем «расследователям» мониторить публичные ресурсы Killnet.

НеКасперский

Желаем вам провести это праздник в кругу семьи

НеКасперский

Что там с Western Digital?

Пару недель назад мы писали, что компания подверглась серьезнейшей атаке со стороны неизвестных злоумышленников, а теперь стало известно, что расследование инцидента фактически приостановлено.

Так или иначе, выяснилось, что в результате атаки хакеры выкрали данные клиентов из внутренней сети компании. За эту информацию злоумышленники требуют «круглую сумму», которая публично не разглашается. WD на требования о выкупе не отвечает, а в пресс-службе заявили, что внутреннее расследование до сих пор находится на «ранней стадии».

Как это обычно и бывает, если хакеры так и не получат ответа, украшенные данные будут постепенно публиковаться в открытый доступ.

В случае нахождения в открытом доступе кредов пользователей, например, WD MyCloud, компания может быть вынуждена совсем уйти с рынка ПО и заняться исключительно железом. На фоне этих новостей, кстати, акции компании упали на 7,5%.

НеКасперский

Это вам не доставки суши и kakadu.ua сливать

Хакеры из XakNet Team взломали информационную инфраструктуру украинской сети медицинских лабораторий «Синэво» (synevo.ua) и, как это всегда и бывает, слили кучу персухи клиентов и сотрудников компании.

Утекший SQL-дамп с набором штучных текстовых файлов совокупным объемом в 4 млн. строк и около 5 млн. уникальных параметров данных, актуальных на начало года в общей сложности содержит:

• ФИО клиента и врача
• почта
• номер телефона
• дата рождения
• пол
• IP-адрес
• номер карты лояльности и стоимость услуг

Анализ ряда сведений говорит о возможной утечке из внутренней CRM-системы компании.

Не смотря на относительную «несвежесть» утекшей информации, содержание может стать весьма чувствительным, при условии, что услугами сети клиник могли пользоваться не только простые смертные.

Сама сеть полностью принадлежит Российской лабораторной службе «Хеликс» и не совсем понятно, имеет ли украинский филиал какое-либо отношение к материнской компании сейчас.

НеКасперский

Лицо Израиля представили?

В результате продолжающихся хакерских атак в столичном аэропорту Бен-Гурион сегодня произошел сбой в функционировании систем проверки документов. Пассажиры в течении нескольких часов не могли ни выехать, ни въехать на территорию страны.

Очень «своевременно», ведь сбой имел место быть во время массового возвращения граждан после празднования Пасхи.

Израиль на протяжении длительного времени уже отхватывает кибер-атаками, которые начались ещё 2 февраля с атаками на богоизбранные химические заводы. Далее 9 апреля с отключения водоснабжения систем орошения полей в долине реки Иордан. Через сутки прилегла отдохнуть почтовая инфраструктура страны, которая, не без помощи национального киберуправления, смогла быстро, правда со скрипом вернутся в строй. Немногим позже под удар попали и умные дома, в которых взбесилась вся техника, а на телевизорах транслировали сцены запусков ракет и терактов.

Удивительно, как ещё ни один Мойша не обвинил Россию🇷🇺 в атаках, как это было в 2019.

НеКасперский

Почтовые клиенты-агрегаторы

Большинство кибер-атак берут своё начало из электронных писем, на которые ведутся невнимательные сотрудники.

Такие почтовые агрегаторы, как Google или Microsoft собирают огромное количество информации о вас для таргетированной рекламы даже в личных письмах. Кроме того, в популярных клиентах, как правило, не используется сквозное шифрование и зачастую намеренно, чтобы было легче исполнять государственные требования. Политика конфиденциальности Google и вовсе позволяет третим лицам сканировать личные письма для отображение более качественной рекламы.

Почтовый сервис должен быть безопасным, лишенным таргетированной рекламы, обладать защищенным соединением, а центр обработки данных должен находится вне юрисдикции альянса «14 Eyes».

Среди альтернативных почтовых сервисов мы выделим:

• ProtonMail — первопроходец в сфере. Интерфейс, никаких конфиденциальных данных при регистрации и самоуничтожающиеся письма и по факту бесплатный. Основной минус — отсутствие сквозного шифрования для поля темы письма.

• MailBox — больше всего похож на привычные GMail и Outlook. Подходит как корпоративный почтовый сервис, благодаря дружественном интерфейсу, вспомогательным инструментам, совместимости со смартфонами. Идёт в тандеме с зашифрованным облачным хранилищем и корпоративными мессенджерами. Не имеет бесплатного плана, не шифрует метаданные, базируется в Германии.

А лучше, конечно, иметь собственный локальный почтовый сервер и mail-gateway 😉

НеКасперский

Продолжаем представлять

Собянин дал указание использовать местную систему распознавания лиц в городских камерах наблюдения для поиска военнообязанных. Так называемая «Сфера» под руководством департамента транспорта столицы должна будет определить актуальное место жительства призывника, чтобы военкомат смог вручить ему повестку.

Несмотря на новомодные электронные повестки, Минцифры заявляют, что правительство пока не установило отдельным актом электронный способ вручения повесток. Сейчас же с новым законом Госуслуги может функционировать только как портал для рассылки уведомлений, поэтому Сергей Семёнович скреативил.

НеКасперский

Продолжим тред о безопасных почтовых клиентах. В этот раз акцентируем внимание на механизме двухфакторной аутентификации и на стойкости шифрования писем и других данных пользователя:

• Tutanota – отличный почтовый клиент с акцентом на безопасность передаваемых писем. В отличии от последующих в списке клиентов, использует шифрование AES и RSA, комбинирующие симметричные и ассиметричные ключи. Помимо самих писем шифрует ваши контакты и календари, чистит метаданные и богат на различные механизмы защиты от фишинговых писем.

• Startmail – детище нидерландского поисковика Startpage. Возможно не самое надежное PGP шифрование, но зато умеет скрывать ваш IP и адрес хоста. IMAP и SMPT протоколы дают возможность развернутся на собственном домене, что позволит использовать свои шлюзы безопасности.

• CounterMail – безопасное решение от Шведов для тех, кому нужна «аутентификация на все бабки». Дает возможность использовать даже USB-ключи для доступа к почте. Что интересно, почтовые серверы в Швеции запускаются с CD-ROM, вместо привычных массивов HDD. Встроенный менеджер паролей с своим мастер-паролем даст возможность избавиться от стикеров на мониторе.

• Runbox – почтовый клиент из Норвегии, с разграничением доступа к учетной записи по IP-адресу, удобным всторенным аудитом безопасности в клиенте, а также полноценной поддержкой POP, IMAP, SMTP и WAP протоколов.

• Kolab Now – еще один провайдер защищенной почты из Швейцарии со сквозным шифрованием, сертифицированным по требованиям GDPR и PCI. Шифрует ваши календари, заметки и контакты, а еще позволяет проводить видеоконференции с применением end-to-end шифрования пакетов данных.

НеКасперский

152 ФЗ вышел из чата

Сегодня, глава Минцифры, Максут Шадаев, предложил реализовать единую систему шифрования персональных данных граждан, хранящихся в базах государственных ИС. Идея – централизовать хранение и обеспечить удобное и надежное хеширование.

Главной предпосылкой инициативы стал рост объемов ПДн, хранимых в подобных ГИСах, а значит и повышение рисков утечки информации. Концепция идеи – «одновременно научиться обогащать и объединять, при этом не увеличивая риски утечки данных, договорится о какой-то единой системе хэширования всех ПДн».

Сопроводить создание системы предлагается, прежде всего, «ревизией» хранимых ПДн и наведением порядка в существующих базах данных. Более того, ПДн, не представляющие оперативного интереса можно просто «спрятать куда-то поглубже».

Централизация хранения с хешированием на фоне децентрализации с шифрованием, определенно, не выглядит, как панацея для защиты ПДн от утечек. А учитывая существование требований 21 и 378 приказов, целесообразность инициативы от Минцифры тает на глазах у ФСТЭКа и ФСБ.

НеКасперский

Гитхаб по-московски

Правительство столицы совместно с разработчиками приступило к закрытому тестированию библиотеки Mos.Hub – альтернативы иностранным репозиториям открытого исходного кода. Проект будет запущен как часть московской экосистемы разработки софта.

Идея возникла еще в начале года, а ₽1.3 млрд финансирования нашли на одном из замороженных счетов «Росинфокоминвеста». Сопровождение повесили на ДИТ Москвы. Из отличительных, на фоне иностранных решений, особенностей уже отметили возможности проверки кода на ошибки и уязвимости.

«Mos.Hub – часть большой работы по формированию столичной экосистемы разработки программного обеспечения. В ближайшие несколько лет мы планируем полностью перейти на собственные решения для совместной разработки ПО, включая сервисы управления проектами, ведение документации и другие инструменты».

Хоть пока и непонятно, кто в стране будет наполнять репозиторий самим кодом, поскольку, за основу большинства разработок в реальности брались иностранные исходники, очень интересно посмотреть на используемые механизмы анализа кода на уязвимости и их потенциальную применимость к существующим конвейерам и концепциям безопасной разработки софта в РФ.

НеКасперский