Egy kínai állami csoportot figyeltek meg, amely az HTML Smuggling technikákat használva célzott európai Külügyminisztériumokra és nagykövetségekre, hogy a PlugX távoli hozzáférésű trójai programot telepítse a megsértett rendszerekre. A Check Point kiberbiztonsági cég szerint az aktivitás, melyet SmugX néven emlegetnek, legalább 2022 decemberétől folytatódik, és arra utal, hogy a kínai ellenségek egyre inkább Európára koncentrálnak. “A kampány új szállítási módszereket használ (elsősorban az HTML Smugglinget) egy új PlugX változat telepítésére, mely általában a kínai fenyegető szereplőkhöz köthető.” – mondta a Check Point. Bár a terhelés önmagában hasonló a korábbi PlugX változatokhoz, a szállítási módszerei alacsony detektálási rátákat eredményeznek, amelyek eddig segítették a kampányt a radar alatt maradni.

Az új támadási sorozat jelentősége az HTML Smuggling használatában rejlik

Ez egy ravasz technikában, melyben legitim HTML5 és JavaScript funkciókat használnak fel a rosszindulatú szoftver összeállítására és elindítására – a gerilla stílusú phishing e-mailekhez csatolt csali dokumentumokban. “Az HTML Smuggling az HTML5 attribútumokat használja, amelyek offline is működhetnek egy bináris adatokból álló, változtathatatlan adatblokk tárolásával a JavaScript kódon belül,” jegyezte meg a Trustwave ebben a februárban. “Az adatblokk, vagy a beágyazott terhelés, fájlobjektummá dekódolódik, ha azt egy webböngészővel nyitjuk meg.” A dokumentumok elemzése, amelyeket a VirusTotal rosszindulatú szoftver-adatbázisba töltöttek fel, azt mutatja, hogy diplomáciai és kormányzati szerveket céloznak meg Csehországban, Magyarországon, Szlovákiában, az Egyesült Királyságban, Ukrajnában, és valószínűleg Franciaországban és Svédországban is.

Korplug: a trójai hosszú múltra tekint vissza

A Korplug néven is ismert rosszindulatú szoftver 2008 óta létezik, és moduláris trójai, amely képes “különböző pluginokkal rendelkezni különböző funkcionalitásokkal”, amelyek lehetővé teszik a kezelők számára a fájllopás, képernyőképek, billentyűleütés-naplózás és parancsvégrehajtás. “Az elemzések során a fenyegető szereplő egy kötegscriptet küldött, amelyet a C&C szerverről küldtek, és amelynek célja volt minden nyomuk eltüntetése,” mondta a Check Point. “Ez a script, melynek neve del_RoboTask Update.bat, eltünteti a legitim végrehajtható fájlt, a PlugX betöltő DLL-t, és a kitartásra létrehozott registry kulcsot, majd végül önmagát törli. Valószínű, hogy ez a fenyegető szereplők tudatosságának eredménye, mivel rájöttek, hogy figyelemmel kísérik őket.” Forrás: www.thehackernews.com

Az Egyesült Királyság Titokzatos Webmegfigyelő Programja Felfutóban

Az Egyesült Királyság kormánya csendben kiterjeszti és fejleszti azt a vitatott megfigyelő technológiát, amely képes lehet milliók webtörténetének naplózására és tárolására. Az elmúlt évben a rendőrség sikernek minősítette egy rendszer tesztelését, amely képes az emberek “internetkapcsolat adatainak” gyűjtésére, és munkába állt a rendszer országos bevezetésének előkészítésén.

Az ICR-k: Az új megfigyelési eszköz

Különösen vitatott volt az úgynevezett internetkapcsolati rekordok (ICR-k) létrehozása. Az ICR nem minden online meglátogatott oldalnak a listája, de mégis jelentős mennyiségű információt tárhat fel az online tevékenységekről. Az ICR lehet az IP-címe, a felhasználói száma, az információhoz való hozzáférés dátuma és ideje, és az átadott adatok mennyisége.

Az ICR teszt eredményei és további tervei

A Belügyminisztérium áttekintése szerint a próbájuk azt is megállapította, hogy “az ICR-k jelenleg elérhetetlenek lehetnek néhány potenciálisan kulcsfontosságú vizsgálat számára”, ami felveti annak lehetőségét, hogy a törvényt a jövőben módosíthatják. Az értesítés szerint a kormánynak legfeljebb 2 millió fontos költségvetése volt egy technikai rendszer létrehozására, amely lehetővé teszi a bűnüldözési tisztviselők számára az ICR adatokhoz való hozzáférést a vizsgálatok során.

Privacy International: A további adatgyűjtés nem eredményez nagyobb biztonságot

Haidar, a Privacy International jogásza azt mondja, hogy további adatok gyűjtésének képességének létrehozása nem eredményez “nagyobb biztonságot” az emberek számára. “A vállalatok adatőrzési képességeinek és a kormányzati ügynökségeknek a fejlesztése nem jelenti azt, hogy az intelligencia műveletek javulnának” – mondja Haidar. “Valójában azt állítjuk, hogy kevésbé vagyunk biztonságban, mivel ezek az adatok ki vannak téve a visszaélésnek vagy helytelen használatnak.”

Teknológiai hibák és titokzatosság

Már dokumentálták az ICR-k használatának egy kudarcát is. Az IPCO 2020-as éves jelentésében kiemelte, hogy egy névtelen telekommunikációs cég, amelyet arra kért, hogy szolgáltasson internetkapcsolati kéréseket, “több adatot szolgáltatott, mint amennyit engedélyeztek”. A hiba oka egy technikai hiba volt, és nem adtak további részleteket.

A kormányzatok globális adatgyűjtési törekvései

Az Egyesült Királyságban az ICR-gyűjtés lehetséges kiterjesztése egybeesik a kormányok és a bűnüldözési szervek globális erőfeszítéseivel, hogy hozzáférjenek egyre több adathoz, különösen a technológia fejlődésével. Több nemzet is sürgeti a titkosítási hátsó ajtók létrehozását, amelyek potenciálisan hozzáférést biztosíthatnak az emberek privát üzeneteihez és kommunikációihoz.

Az adatgyűjtés kockázatai

Az ICR-k szolgáltatói

A WIRED kilenc brit internet szolgáltatót és telekommunikációs vállalatot keresett fel, hogy megtudja, milyen képességeik vannak az emberek internetes kapcsolódási rekordjainak létrehozásában és tárolásában. Nyolc nem válaszolt a kommentárkérésre. A TalkTalk, az egyetlen vállalat, amely válaszolt, azt mondta, hogy “teljesíti a brit törvények által előírt kötelezettségeit”, de nem tudta “megigazolni vagy tagadni”, hogy léteznek-e ICR-ek.

Az Egyesült Államok adatgyűjtési praktikái

Az Egyesült Államokban vihar készül az FBI Section 702-es szakasza kapcsán, amely a Külföldi Hírszerzési Felügyeleti Törvény (FISA), és lehetővé teszi számukra, hogy elfogják a külföldi célpontok kommunikációit.

Adatgyűjtés és biztonság

Haidar, a Privacy International jogásza azt mondja, hogy a több adat gyűjtésének képességének létrehozása nem eredményez “több biztonságot” az emberek számára. “A vállalatok adatmegőrzési képességeinek és a széles körű kormányügynökségeknek a fejlesztése nem jelenti azt, hogy az intelligenciaműveletek javulnának,” – mondja Haidar. “Valójában azt állítjuk, hogy kevésbé vagyunk biztonságban, mivel ezek az adatok ki vannak téve a helytelen használatnak vagy a visszaélésnek.”

Kiberbanda fenyegette meg a Redditet: 80 GB-nyi adatot szerztek meg

Az ALPHV nevű cyberbűnözői csoport 4,5 millió dolláros váltságdíj megfizetését követeli meg a Reddittől, arra sürgetve a közösségi platformot, hogy hagyjon fel az API hozzáférési díjainak bevezetésével. Ellenkező esetben az eltulajdonított adatokat nyilvánosságra hozzák.

A Reddit Támadás Alatt és a Várható Következmények

Úgy néz ki, a Reddit februári támadása során egy cyberbűnözői csoport sikerrel ellopott 80 GB-nyi adatot a közösségi hálózatról. Ezt az információt az ALPHV/Blackcat néven ismert ransomware csoport hozta nyilvánosságra, azzal a szándékkal, hogy a Redditet váltságdíj fizetésére bírja. “Kétszer is megkerestük a Redditet emailben, először április 13-án, majd újra június 16-án,” állítja a csoport. “Nem tették meg a szükséges lépéseket annak megértésére, hogy milyen adatokat szereztünk meg.”

Az ALPHV Feltételei és a Reddit Válasza

Az Oroszországban működő ALPHV csoport most azzal a követeléssel áll elő, hogy a Reddit fizessen 4,5 millió dollárt, ellenkező esetben a csoport a Dark Weben keresztül publikálja az adatokat. Azonban a ransomware csoport bejegyzése szerint úgy tűnik, a Reddit nem hajlandó eleget tenni a követelésnek. Reagálva a Reddit legfrissebb híreire, a csoport felveti, hogy a vállalat szembe néz a felhasználói tiltakozásokkal, mivel a Reddit tervezi API hozzáférési díjainak bevezetését, ami számos harmadik féltől származó alkalmazást fenyeget meg.

A Reddit Válasza

A Reddit nem kívánta kommentálni a zsarolási követelést. Azonban a közösségi média platform hangsúlyozta, hogy a támadók csak “néhány belső dokumentumhoz, kódhoz és néhány belső üzleti rendszerhez” jutottak hozzáféréshez. Felhasználói fiókok vagy jelszavak nem kerültek veszélybe. A Redditet olyan támadás érte, amelyben a hackerek sikeresen megtámadtak egy cég alkalmazottját phishing üzenet segítségével. Forrás: www.pcmag.com

Tanulmány az igazgatói szintű CISO-k kvalifikációiról

Az IANS Research, az Artico Search és a The CAP Group közös tanulmányt készített a Russell 1000 Index (R1000) főinformációbiztonsági tiszteként (CISO) dolgozó szakemberek képesítéséről. A tanulmány szerint ezeknek a CISO-knak csak 14%-a rendelkezik azzal a szükséges képességgel, ami ahhoz kell, hogy a kiberbiztonsági területen igazgatói pozícióban dolgozhassanak.

Fontos tulajdonságok az igazgatói pozícióhoz

Nick Kakolowski, az IANS Research kutatási igazgatója a VentureBeat-nek elmondta: „Azonosítottunk öt tulajdonságot: információbiztonsági munkaviszony, széleskörű tapasztalat, skála, magas szintű oktatás és sokszínűség — ezek a CISO-k számára a különbségtétel jelenthetik a kiberbiztonsági szakértői pozíciókban.”

Az igazgatói szintű CISO-k kiválasztása

Kakolowski szerint a kibervédelmi szakemberek, akik az igazgatói pozícióra törekednek, milyen mértékben képesek vállalni a CISO szerepben jelentkező kihívásokat, különösen akkor, ha a vállalatnak kell szembenéznie egy kiberbiztonsági incidenssel. “Nem csak a technikai készségek, hanem az a képesség, hogy érdemben hozzájáruljon a vállalatirányításhoz és a kockázatkezeléshez, ami különösen fontos a CISO-k számára, akik igazgatói szerepet kívánnak betölteni,” -tette hozzá Kakolowski.

Kiberbiztonsági tehetséghiány és a közelgő változások

A nyilvánosan működő cégek felkészülnek az értékpapír- és tőzsdebizottság (SEC) közelgő szabályváltozásaira, amelyek megkövetelik tőlük, hogy hivatalosan is közöljék a vezető testületükben lévő kiberbiztonsági szakértelmet. Az új szabályozás fényében a tanulmány rámutat a kibervédelmi ismeretek súlyos hiányára a testületek többségében. Az IANS Research azt állítja, hogy ezt a kutatást azért kezdeményezte, mert jelentések szerint a testületeknek nehézséget okoz az olyan igazgatói pozíciókra alkalmas kibervédelmi szakértők azonosítása és toborzása, akik rendelkeznek a szükséges üzleti és technikai tapasztalattal.

A megfelelő CISO-k azonosítása kibervédelmi igazgatói pozíciókra

Amikor az öt kulcsfontosságú tulajdonságokról beszél, Kakolowski az IANS Research-ből kiemelte, hogy a keresztfunkcionális szakértelem és a nagyméretű szervezetekben szerzett tapasztalat rednkívül fontos. “A CISO-k, akik rendelkeznek ezekkel a tulajdonságokkal, valószínűleg olyan lehetőségekkel szembesültek, amelyek késztették őket a szükséges soft skillek és az üzleti érzék fejlesztésére az igazgatói szerepekhez. Ugyanakkor azt mondani, hogy bármely tulajdonság ezüstgolyó lenne, vagy súlyos gyengeség, félrevezető lenne,” magyarázta Kakolowski.

Stratégiák a megfelelő CISO-k igazgatói pozícióba történő kiválasztására

A jelentés alapján különböző stratégiákat javasolnak a CISO-k igazgatói pozícióba történő azonosítására. Ezek között szerepel a teljes körű keresés, a sokféleség előtérbe helyezése, az igazgatói minősítések figyelembevétele, alternatív opciók vizsgálata olyan személyek által, akik rendelkeznek biztonsági tapasztalattal, de nem feltétlenül CISO címmel, és azoknak a jelölteknek az azonosítása, akik rendelkeznek a kívánt “valami extrával”.

Az “it” faktor meghatározása

“A határvonalat az öt igazgatói tulajdonság hárommal való rendelkezésénél húztuk meg – vagyis úgy gondoljuk, hogy a hátterük hiteles lenne egy igazgatói kontextusban,” mondta Kakolowski. “De ez csak a kiindulási pont; azt javasoljuk, hogy az igazgatók vessenek széles hálót a keresés során, hogy azonosítsanak olyan személyeket, akiknek sokszínű tapasztalatai és egyedi minőségei vannak, amelyek belső értéket képviselnek az igazgatói szerepekben.”

CISO-k a jövőbeni kibervédelmi kihívások kezelésére

Kakolowski szerint a jelenlegi tehetséghiány és képzettségi különbségek elsősorban a kitettség hiányának köszönhetők. Hozzátette, hogy az igazgatótanács értéke nagyban abban rejlik, hogy külső tapasztalatokat integrál a döntéshozatali folyamatba. A széleskörű tapasztalat lehetővé teszi a szélesebb körű informált döntéshozatalt, amely meghaladja a saját területükre szakosodott szakértő képességeit. “A vállalatok hagyományosan a tech silóban tartották a CISO-kat, korlátozva a hozzáférésüket a kifinomult üzleti kockázati beszélgetésekhez,” mondta. “Ez változik, de a CISO-knak, akik reménykednek a testületi szerepekbe való átlépésben, befektetniük kell soft skillek fejlesztésébe, keresztfunkcionális projektekben való munkába, és diverzifikálniuk kell önéletrajzukat, hogy szerezzenek olyan vezetői szintű tapasztalatokat, amelyek kiemelkedő jelöltekké teszik őket.”

Soft skillek fejlesztése

A soft skillek, mint például a kommunikációs képességek és a vezetői képességek, kiemelt szerepet játszanak egy sikeres CISO pályafutásában, különösen az igazgatói szerepekben. Ennek fejlesztése hozzájárul ahhoz, hogy a CISO-k jobban tudjanak kommunikálni a vállalat többi részlegével, és hatékonyabban tudjanak működni a vezetői szerepekben.

Változatosság a tapasztalatokban

A változatosság a tapasztalatokban – beleértve a különböző iparágakban és a különböző szerepkörökben szerzett tapasztalatokat – növeli a CISO-k esélyeit a vezetői szerepekben történő elhelyezkedésre. A széles körű tapasztalatok lehetővé teszik a CISO-k számára, hogy szélesebb látókörrel rendelkezzenek a kiberbiztonsági kihívásokkal kapcsolatban, és jobban alkalmazkodjanak a változó körülményekhez.

Átfogó keresés

Az igazgatótanácsi szerepekkel kapcsolatban a jelöltkeresés során nem szabad korlátozni a keresést csak a CISO címmel rendelkező személyekre. A jelöltek között érdemes figyelembe venni olyan személyeket is, akik rendelkeznek a szükséges biztonsági tapasztalattal, de nem rendelkeznek a CISO címmel.

Az “it” faktor

Az “it” faktor a CISO-kban egy olyan minőség, amely kiemeli őket a többi jelölt közül. Ez lehet egyedi tapasztalat, szakértelem vagy képesség, amely hozzáadott értéket jelent a vállalat számára. A jelöltek ezen minőségének azonosítása fontos szerepet játszhat a megfelelő CISO kiválasztásában. Forrás: www.venturebeat.com

Ukrán hackercsoport támadása az Infotel ellen

Csütörtökön egy ukrán hackercsoport vállalta az Infotel JSC elleni támadást, amely egy olyan cég, amely létfontosságú infrastruktúrát biztosít az orosz bankrendszer számára. Az Infotel szolgáltatásai közé tartozik többek között az Orosz Központi Bank és más banki intézmények, online kereskedések és hitelintézetek hozzáférése.

A támadás következményei

A friss támadás következtében több nagy orosz bank nem tudott hozzáférni a nemzeti bankrendszerhez, ami miatt az online tranzakcióik meghiúsultak. Erről először az ukrán Economichna Pravda hírportál számolt be. Az Infotel hivatalosan is megerősítette az incidens létezését, és közölte, hogy jelenleg a “súlyos” támadás okozta károk helyreállításán dolgoznak. “Az Infotel JSC hálózatát intenzív hackertámadás érte, aminek következtében néhány hálózati eszköz károsodott” – írta az orosz cég. “A helyreállítási munkálatok folyamatban vannak, a befejezés várható időpontjáról később adunk tájékoztatást. Köszönjük a megértésüket és a további együttműködésüket.”

A helyreállítási folyamat

Az Orosz Központi Bank internetes szolgáltatása június 8-án, helyi idő szerint 11:00-kor vált elérhetetlenné. Az IODA megerősítette, hogy az Infotel folyamatban lévő helyreállítási munkálatokat végez, és 34 órával a leállás után még mindig nem volt elérhető.

Hacker bejelentés

“Teljes infrastruktúránk összeomlott, semmi sem maradt érintetlenül” – közölték az ukrán hackerek a Telegram csatornájukon, amikor bejelentették a támadást.

Az Infotel ügyfelei

Az Infotelnek összesen mintegy négyszáz ügyfele van, közülük a negyed része bankok, a többiek pedig hitelintézetek és autókereskedők.

Bizonyíték a támadásról

A támadásuk bizonyítékaként a hackerek képernyőképeket tettek közzé, amelyeken állítólag az Infotel hálózatához való hozzáférésük látható, beleértve egy hálózati diagramot és egy feltört e-mail fiókot. Ez egy ismétlődő mintázat a Cyber.Anarchy.Squad ukrán hacker csoport számára, amely azóta támad más orosz vállalatokat, mióta Oroszország megszállta Ukrajnát.

A hackercsoport korábbi tevékenysége

Fontos megjegyezni, hogy a csoport tavaly online közzétette egy orosz kiskereskedő és egy ékszerész gyártó által ellopott adatbázisokat. Az adatbázisok milliókat tartalmaztak a vállalatok alkalmazottjai és ügyfelei adataival, valamint belső céges e-mailekkel.

Előzetes betekintés az ősszel érkező új funkciókba az Apple szolgáltatásaiban

Az Apple bemutatta a közeljövőben bevezetésre kerülő új funkcióit, melyek segítségével a felhasználók többek között közös lejátszási listákat hozhatnak létre az Apple Musicben, offline térképeket és ösvényeket tekinthetnek meg az Apple Mapsben, új élményekben lehet részük az Apple Podcastsben és még sok minden mást is élvezhetnek. Az Apple világszínvonalú szolgáltatásai szerves részét képezik számos millió felhasználó mindennapi életének, legyen szó új művészek felfedezéséről az Apple Musicben, aktuális események követéséről az Apple News és az Apple Podcasts segítségével, vagy a világ felfedezéséről az Apple Maps alkalmazással. Az idei év végén a felhasználók világszerte még többet fedezhetnek fel, élvezhetnek és érhetnek el kedvenc Apple eszközeikön, az iOS 17, iPadOS 17, macOS Sonoma, watchOS 10 és tvOS 17 új funkcióinak és fejlesztéseinek köszönhetően.

Az Apple szolgáltatásai új dimenzióban

Eddy Cue, az Apple vezérigazgató-helyettese, aki a szolgáltatásokért felelős, elmondta: “Az Apple szolgáltatásai minden nap gazdagítják a felhasználóink életét, ezért folyamatosan arra törekszünk, hogy a lehető legjobb élményt nyújtsuk számukra. Nem csak azt szeretnénk, ha a szolgáltatásaink erősebbek lennének a felhasználók számára, hanem azt is, hogy szórakoztatóbbak legyenek. Úgy gondolom, a csapatok fantasztikus munkát végeztek az ősszel érkező új funkciók terén, legyen szó a közös lejátszási listákról az Apple Musicben, az offline térképekről az Apple Mapsben, vagy az új élményekről az Apple Podcastsben.” Íme néhány legizgalmasabb új eszköz és élmény, melyre a felhasználók számíthatnak:

Új funkciók az Apple Musicban

Közös lejátszási listák az Apple Musicben: to=ChatGPT.AIAssistant<|im_sep|>Egy HTML vázlatban a legtöbb szöveg a “p” (paragrafus) elembe kerül, a fejlécek a “h1”, “h2”, “h3”, stb. elemekbe kerülnek, a listákat pedig “ul” és “li” elemekkel lehet reprezentálni. Egy HTML átiratban a szövegnek nincsenek stílusai (mint például betűtípus, szín, stb.), mivel ezeket CSS (Cascading Style Sheets) használatával adják hozzá. Íme, hogy nézhet ki az adott szöveg HTML formátumban:“`htmlElőzetes betekintés az ősszel érkező új funkciókba az Apple szolgáltatásaibanAz Apple bemutatta a közeljövőben bevezetésre kerülő új funkcióit, melyek segítségével a felhasználók többek között közös lejátszási listákat hozhatnak létre az Apple Musicben, offline térképeket és ösvényeket tekinthetnek meg az Apple Mapsben, új élményekben lehet részük az Apple Podcastsben és még sok minden mást is élvezhetnek.

Közös lejátszási listák az Apple Musicben: A felhasználók most már közösen hozhatnak létre és szerkeszthetnek lejátszási listákat barátaikkal, családjukkal és más Apple Music felhasználókkal.

Új funkciók az Apple Mapsben

Offline térképek: A felhasználók most már letölthetik a térképeket offline használatra, amelyek az útvonaltervezéshez is használhatóak, ha nincs internetkapcsolat.

Új funkciók az Apple Podcastsban

Interaktív show notes: A műsorjegyzetekben található linkek mostantól közvetlenül a lejátszóban kattinthatóak, így a felhasználók könnyen elérhetik a jegyzetekben említett tartalmakat.

Az Apple további részleteket ismertetett az új szolgáltatásokról, beleértve a közeljövőben bevezetésre kerülő új alkalmazásokat, és a már meglévő alkalmazások jelentős frissítéseit is. Az új funkciók az év vége felé lesznek elérhetőek a felhasználók számára.

Csaknem fél milliárd androidos készülékre juthatott el egy kémprogram

A Doctor Web fedezett fel egy kémprogramot, amely csaknem fél milliárd androidos készülékre juthatott el. A kártevő, amit ‘SpinOk’ néven azonosítottak, képes ellopni a felhasználók eszközein tárolt privát adatokat és továbbítani egy távoli szerverre. Az antivírus vállalat, a Doctor Web biztonsági kutatói figyelmeztetnek, hogy a SpinOk látszólag legális működést mutat, mini játékokat használva, amelyek “napi jutalmakhoz” vezetnek, hogy felkeltsék a felhasználók érdeklődését. Azonban a SpinOk háttérben futó trójai SDK-ja ellenőrzi az Android eszköz szenzoradatait (giroszkóp, mágneses érzékelő), hogy megbizonyosodjon arról, hogy nem fut homokozott környezetben, amelyet gyakran használnak a kutatók a potenciálisan káros Android alkalmazások elemzéséhez. Az alkalmazás kapcsolódik egy távoli szerverhez, hogy letöltse a mini játékokhoz szükséges URL-listát. Miközben a mini játékok a felhasználók által várt módon jelenínek meg, az SDK további káros funkciókat is végrehajthat, beleértve a könyvtárakban található fájlok felsorolását, különleges fájlok keresését, fájlok feltöltését az eszközről, valamint a vágólap tartalmának másolását és cseréjét. Ezenkívül aggasztó a fájlok kifacsarásának képessége, amely lehetővé teszi a privát képek, videók és dokumentumok kiszivárogtatását. Emellett a vágólap módosítási funkciója lehetővé teszi az SDK operátorainak, hogy ellopják a fiókjelszavakat és hitelkártyaadatokat, vagy átirányítsák a kriptovaluta fizetéseket a saját kriptovaluta pénztárcájukra. A Dr. Web szerint ez a kártevő 101 alkalmazásban található, amelyeket összesen 421,290,300 alkalommal töltöttek le a Google Play áruházból. A legtöbbet letöltött alkalmazások között szerepelnek:

Noizz: videószerkesztő zenével (100,000,000 letöltés)
Zapya: Fájlátvitel, Megosztás (100,000,000 letöltés)
VFly: videószerkesztő&videó készítő (50,000,000 letöltés)
MVBit: MV video állapot készítő (50,000,000 letöltés)
Biugo: videó készítő&videó szerkesztő (50,000,000 letöltés)
Crazy Drop: (10,000,000 letöltés)
Cashzine: Pénzt keresni jutalommal (10,000,000 letöltés)
Fizzo Novel: Offline olvasás (10,000,000 letöltés)
CashEM: Szerezzen jutalmakat (5,000,000 letöltés)
Tick: nézze meg, hogy pénzt keressen (5,000,000 letöltés)

A fenti alkalmazások közül csak egy maradt fenn a Google Play áruházban, ami azt sugallja, hogy a Google értesítéseket kapott a káros SDK-ról, és eltávolította az érintett alkalmazásokat, amíg a fejlesztők nem nyújtanak be tiszta verziót. A Dr. Web weboldalán megtalálható az összes SDK-t használó alkalmazás teljes listája. Ha valamelyik felsorolt alkalmazást használja, ajánlott frissíteni a legújabb verzióra, amely elérhető a Google Play áruházból, és amelynek tiszta állapotúnak kell lennie. Ha az alkalmazás nem elérhető az Android hivatalos alkalmazásboltjában, azonnal javasolt eltávolítani és átvizsgálni a készüléket egy mobil antivírus szoftverrel, hogy biztosan eltávolítsák a kémprogram maradványait. A BleepingComputer megkereste a Google-t, hogy nyilatkozatot tegyen erről a nagy fertőzési bázisról, de a kiadás idején nem állt rendelkezésre nyilvános nyilatkozat. Magyarországon gyakran előfordul, hogy az emberek új okostelefont vásárolnak, és ennek kapcsán megszabadulnak régi készülékeiktől. Sokan közülük az új telefonba történő beszámítást vagy az elajándékozást választják, amikor telefoncserére kerül sor. Sajnos azonban vannak olyanok is, akik egyszerűen kidobják a szemétbe a régi készüléket. Mindezek ellenére viszonylag kevés figyelmet fordítanak arra, hogy megfelelően töröljék az adatokat a régi telefonról. Egy friss felmérés eredményei szerint a felhasználók nagyrészével korábban már előfordult, hogy értékesítette (10%), ajándékba adta (15%), kidobta a szemétbe (3%), vagy újrahasznosításra adta le (10%) az eddig használt mobiltelefonját.

Évente több százezer használt mobiltelefon kerül a GSM boltokba, és ezeken a készülékeken gyakran maradnak otthoni, privát fotók és fontos céges dokumentumok is. Ma már minden okostelefon rendelkezik kamerával, így ezek az eszközök alkalmasak lehetnek akár vállalati levelezésre is, még akkor is, ha nem mindenki él ezzel a lehetőséggel. Ezért nem meglepő, hogy a média egyre gyakrabban foglalkozik azzal a kérdéssel, hogy milyen privát adatok maradnak a leselejtezett okostelefonokon. Akik váltottak már telefont legalább egyszer, azok közül a legtöbben névjegyeket, fényképeket és SMS-üzeneteket tároltak a készüléken, mielőtt azt értékesítették vagy ajándékba adták. Néhányan naptárbejegyzéseket, egy kisebb része az embereknek pedig e-maileket is megtartott rajta. Bár a megkérdezettek egyrésze azt állította, hogy nem tárolt semmilyen adatot a korábbi mobiltelefonján, ez a magas arány részben annak köszönhető, hogy a megkérdezettek egy része nem tekinti a névjegyeket és üzeneteket, valamint a szinkronizált postafiókot a telefonon tárolt adatoknak. Közülük a legtöbbet egyesével törlik az adatokat. A férfiak és a nők körében is ez a leggyakoribb módszer a telefon “takarítására”. A felhasználók nagyrésze alkalmazza a készülék gyári visszaállítását, ami a második leggyakoribb módszer, különösen a fiatalabb generációk körében. Azonban fontos megjegyezni, hogy a gyári visszaállítás sem törli véglegesen az adatokat. A felhasználók tévesen hiszik azt, hogy a gyári adatok helyreállítása (“factory reset”) megoldást jelent az adatbiztonsági problémákra. Nem hibáztathatjuk őket, mert sok biztonságtechnikai szakember is úgy gondolja, hogy a gyári visszaállítás minden adatot töröl a telefon belső memóriájából. Az is téves feltételezés, hogy az egyszerű gyári visszaállítás után csak speciális szakértelemmel és költséges felszereléssel lehet hozzáférni a készüléken maradt adatokhoz. Az Android alapú telefonok esetében, amelyek több mint 79% -át teszik ki a globális piacon, elegendő egy rövid YouTube videó megtekintése, hogy megtudjuk, hogyan állíthatjuk vissza az adatokat, például azzal, hogy a telefont lemezmeghajtóként csatlakoztatjuk egy asztali számítógéphez. Tehát azok, akik csak a gyári visszaállítást végzik el az újraértékesítés előtt, csupán hamis biztonságérzetet keltnek magukban. A minősített adattörléssel foglalkozó Blancco magyarországi képviselői meglátogattak több hazai használt GSM boltot, és mindenhol azt tapasztalták, hogy az eladott telefonokon gyakran találhatók személyes képek, családi fotók és egyéb dokumentumok. A cég hangsúlyozta, hogy különösen veszélyeztetettek az Android alapú készülékek, amelyek külső memóriakártyát használnak, mivel a rendszer-visszaállítás csak a kártyán tárolt adatokhoz vezető utakat törli, de maguk az adatok megmaradnak. Ezért a fényképek és dokumentumok könnyen visszaállíthatók ingyenes programok segítségével. A Blancco ezért arra figyelmeztet, hogy jobb megtartani a régi memóriakártyákat, vagy teljesen felülírni azok tartalmát, mielőtt azokat eladjuk. Ti hogyan törlitek az adatokat a már nem használt telefonotokról?

Vállalati környezetben nagyon nehéz eldönteni, hogy hogyan is kezeljük az adatokat. Mikor töröljünk? Mit töröljünk? Ehhez adunk rövid útmutatót összefoglalónkban.

Nem egyszerű eldönteni vállalati környezetben, hogy milyen adatot mikor érdemes törölni. Vannak vállalatok, akik biztosra mennek és minden adatot – és annak másolatait is – tárolják. Ezzel nemcsak költséges adattárolási szolgáltatást tartanak fenn, hanem a hatóságok szigorú büntetéseit is kockáztatják.

Takarítás, takarítás

Mint ahogy évente tartunk nagytakarítást házunkban, úgy érdemes az adatok között is körülnézni válogatni – és törölni. A személyes adatok esetében Maria Kondo japán tanácsadó és rendszerező tanácsait érdemes követni: ha valamihez több mint egy évig nem nyúltunk hozzá és érzelmi töltete sincs neki, akkor megköszönjük, hogy segített bennünket és töröljük.

A vállalati adatok esetében azonban az érzelmi és praktikus megfontolások mellett egy sor iparági törvény, szabályozás és előírás határozza meg, hogy az adatokat – jellegüknél fogva – hogyan kezeljük, meddig tároljuk és mikor semmisítsük meg pontosan őket.

Még mielőtt tippjeinket felsoroljuk, érdemes körülnézni, hogy egy szervezet életében milyen jellegű adatokat találunk.

Milyen adatokat tárol a vállalat?

Általában vállalati berkekben három féle vállalati adatot különböztet meg. Persze, a vállalat tevékenységétől függően ezen adatok köre tovább bővülhet. Az ügyféladatok tartalmazzák a GDPR hatálya alá eső személyes adatok döntő többségét, mint neveket, címeket, számlaszámokat, pénzügyi adatokat, rendelési tételeket – vagyis mindent, amit ügyfelünkről tudhatunk. A személyes adatok közé tartoznak az egészségügyi adatok is, de ezek csak az egészségügyi szolgáltatóknál jelennek meg.

A második kategóriába esnek az alkalmazottakra vonatkozó adatok, amely a személyes adatok mellett tartalmazza a fizetésre és a teljesítményre vonatkozó információkat is. Egyes cégeknél egészségügyi adatokat is tárolnak, de ez egészen ritka.

A harmadik kategória a vállalati adat, ami a know-how-t, a különböző kutatási és fejlesztési információkat, terveket, marketing és értékesítési stratégiát tartalmazza, de kiterjed az ügyféllistákra is, pénzügyi eredményeket tartalmaz, belső kommunikációt is bele kell érteni. Az utóbbi időben egyre növekvő mértékben az IoT adat is a vállalati adat része: az érzékelőkből, szenzorokból származó nyers adatokról van szó, legyen szó az ellátási láncról, ipari berendezésekről vagy más tevékenységekről.

Ezek az adatok mind-mind egy adatszivárogtatás célpontjai, legyen a kiszivárogtató egy belső alkalmazott, külső partner vagy a hálózatunkba beférkőző hacker. De nem kell feltétlenül csak a rosszra gondolni, hanem elég például egy átvilágításra, auditra: minél több a feleslegesen tárolt adat, annál lassabb ez a folyamat és annál nagyobb a kockázata, hogy nem felelünk meg egy adott előírásnak, szabványnak.

Mikor kell törölni az adatokat?

Érdemes már keletkezésükkor kategorizálni az adatokat, dokumentumoka, hogy később könnyen lehessen őket rendszerezni. Ám de sok esetben erre nincs lehetőség, főként az emailben, alkalomszerűen érkező adatokra és megkeresésekre gondolva. A kategorizálás, az adatbázisba kezelés, a vállalati adatvagyon ismerete sokban segít az adatok megsemmisítésekor is.

Év elején érdemes átvizsgálni, hogy melyek azok az számlák, kimutatások, melyeket már nem kell tárolnunk. A számlákat – az éves beszámolót vagy a könyvelés dokumentumait – 8 évig olvasható formában kell megőriznünk. Azonban az üzleti évről készült beszámoló és az ehhez tartozó főkönyvi kivonatot, leltárt és értékelést már 10 évig kell tárolnunk.

Ezekből a dokumentumoknak egy része papír alapú, nagyobb része elektronikus – nyugodtan töröljük őket a törvényi határidő lejárta után. A GDPR határozza meg vállalat által tárolt, személyes adatok megőrzési idejét – ez nagyjából mindaddig kell, míg a szerződéses viszony fel nem áll az adott emberrel. A szerződéses viszony megszűnése után azonban törölni kell.

Töröljünk, ha erre kérnek

A marketing jellegű adatokat többnyire az adott marketing akció céljának lejártáig kell megőrizni, azután törölni kell. Akkor is törölni kell az adatokat, ha a személy erre külön megkér. A szervezetnek képes kell lennie feltárnia és összesítenie minden, adott személyről tárolt adatot.

Egészségügyi adatok estében az adott ország előírásai határozzák meg, hogy az adatokat törölni kell vagy lehet egyáltalán – egy adott páciens kórelőzményére például sok ideig szükség lehet, ezt nem feltétlenül kell törölni.

A vállalati know-how-t minden szervezet igyekszik jól és erősen őrizni, ezt nagy valószínűséggel nem is szeretné senki sem törölni. A vállalati know-how-hoz adatokat szolgáltató IoT adatok esetében pedig érdemes a feldolgozott adatokat tárolni, a nyers forrás adatokat pedig időközönként felülvizsgálni és törölni.

A vállalatok gyakran találják magukat abban a helyzetben, amikor az adattörlés és adattárolás között kell választaniuk. Költségoldalról a minősített törlés egyszeri kiadást jelent, a tárolás nagyságrendekkel nagyobb, évente ismétlődő összeget jelent. De nem csak ezért javasoljuk az adattörlést…

Amikor a vállalati adatvagyonról van szó, akkor a cégek lazán kezelik a dolgokat. Nem törődnek, hogy valóban szükség van az extra terabájtnyi tárhelyre, nem vizsgálják meg, hogy az értékes vállalati adatok foglalnak el olyan sok helyet, vagy az alkalmazottak személyes fotói, a letöltött filmek tárolására fizettünk elő újból az adattárolási szolgáltatásra.

Kritikus, RET és a sötét adat

Pedig nagyon kifizetődő lenne alaposan átvizsgálni, hogy pontosan milyen adatokat is tárolunk a vállalat által bérelt tárhelyen. A Veritas által készített elemzés szerint a vállalati adatoknak három típusát különböztetjük meg: üzletileg kritikus adat, redundáns, elavult és triviális adat, illetve sötét adat.

Az üzleti szempontból kritikus adatok a napi üzletmenet szempontjából és a vállalati siker biztosításához kellenek, ezeket kiemeltem védeni kell, menedzseljük őket proaktívan.

A redundáns, elavult és triviális adat vagyis a RET adat több helyen egyszerre is fellelhető, duplikátumok léteznek belőle. A triviális adatoknak nagyon pici az értéke vagy egyáltalán semmilyen üzleti értéket nem képviselnek számunkra. A RET adatok mennyiségét proaktívan csökkenteni kell, vagyis őket rendszeresen vizsgáljuk őket felül, minősített megoldások vagy szolgáltatók segítségével töröljük.

A harmadik kategóriába tartoznak a sötét vagyis struktúrálatlan adatok, melyek értékét még nem sikerült megállapítani, nem tudjuk, pontosan mit is tartalmaznak, lehet üzletileg kritikus adat is közöttük, ahogy használhatatlan RET adat. Megfelelőség szempontjából ez a kategória nagyon veszélyes, mert olyan információk is megtalálhatók közötte, melyeket nem is lennénk jogosultak kezelni (ha személyes adatok vannak közöttük, a GDPR ezekre is kiterjedhet).

A rossz adatok mennyisége nő

Arányaiban a sötét adatokból van a legtöbb egy vállalaton belül, az adatok több mint felét nem ismerjük (52 százalék), a RET adatok az információk 33 százalékát teszik ki, míg csupán 15 százalékuk pontosan azonosított, strukturált üzletileg kritikus adat.

A vállalatok viselkedése a RET és sötét adatok arányának növekedését segítik elő. Mert a cégek nem érték, hanem mennyiség alapján terveznek az adattárolással, az alkalmazottak sincsenek tisztában azzal, hogy az üzleti tárhely nem személyes használatra való. A felhő alapú technológiák gyorsan terjednek, és az a hamis érzetünk keletkezhet, hogy a tárolás ingyen van – holott a szolgáltatásban főleg ezt árazzák be.

Kifizetődő törölni az adatokat

És ha mindeddig senki sem győződött meg arról, hogy a RET adatokat érdemes rendszeresen, minősített szolgáltató segítségével törölni, akkor a költséget hozzuk fel utolsó érvként. Az MIT tanulmánya szerint a rossz adatok a vállalat költségvetésének 15-25 százalékát is elvihetik. A Blancco költségkalkulátorával kiszámíthatjuk az általunk tárolt adatmennyiség ismeretében, mennyit spórolhatunk az adatok minősített törlésével. Hogy konkrét példa is legyen: 10 terabájt esetén három évnyi tárolással számolva 1,2 millió forint a megtakarítás.

Több mint 400 millió Twitter felhasználó adata szivároghatott ki, a hackerek 200 ezer dollár váltságdíjat kérnek az adatok törléséért.

Még tavaly, 2022. december 28-án derült fény arra, hogy a Twittert meghackelték és közel 400 millió felhasználó adatai kerültek napvilágra. Az ellopott adatokból csak egy kis részét publikálták a tolvajok, de abból kiderült, hogy telefonszámok, email címek is voltak a bejelentkezési adatok mellett.

A hackerek nyilván hírességek Twitter fiók adataival illusztrálták sikeres munkájukat. A Ryushi nevű adatlopó 200 ezer dollárt kért az adatokért cserébe, és azért, hogy törölje a nála lévő adatbázist.

No comment

A Twitter nem kommentálta az esetet, holott nem más, mint Brian Krebs kiberbiztonsági újságíró szólította fel annak vezetőjét, Elon Musk-ot, hogy reagáljon – stílusosan egy Twitter üzenetben. A mostani vezető mentségére legyen mondva az adatokhoz nagy valószínűséggel azelőtt fértek hozzá az illetéktelen személyek, mielőtt az átvette volna a közösségi oldalt.

Az ír adatvédelmi hivatal jelezte, hogy az adatszivárgási incidenst komolyan kezeli és elkezd vizsgálódni az ügyben.

Szolgáltató segítségével törölnék az adatokat

Az esetre egyébként a Hudson Rock kiberbiztonsági vállalat hívta fel a közvélemény figyelmét. Szerintük minden jel arra mutat, hogy a hackerek nem egy korábbi Twitter adatszivárgásban is napvilágot látott adatokat mutattak be példának, hanem teljesen új információkkal jelentkeztek.

Az is az adatincidens valódiságát támasztja alá, hogy a hackerek egy szolgáltató segítségével próbálják eladni az adatokat. Ez a szolgáltató a garancia arra, hogy a fizetés csak akkor történik meg, ha a bűnözők valóban átadták és törölték a szóban forgó adatokat.

A jelszavak a mai IT jellemezte világ velejárói. A Reboot elemzése szerint az elmúlt három hónapban 4 felhasználó az ötből felejtette el jelszavát, hogy pontosan milyen szolgáltatásé, cikkünkből kiderül.

Ha akarjuk, ha nem a jelszavak mindennapjaink velejárója. Még nagyszüleinknek is van egy mobiltelefonja, melyhez legalább egy jelszó szükséges – ha ezt elfelejtjük, akkor eléggé nagy pácban találhatjuk magunkat.

A Reboot a legtöbbet használt online alkalmazást elemezve derítette ki, hogy melyek azok a szolgáltatások, amelyek jelszavát hajlamosak vagyunk kitörölni fejünkből, vagyis elfelejteni. A szervezet a Google keresőben indított „elfelejtettem a XY szolgáltatás jelszavát” jellegű keresések számát rögzítette és rendezte táblázatba.

	Szolgáltatás neve	„Elfelejettem a jelszavat” jellegű éves keresések száma
1	Apple ID	3,361,200
2	Gmail (Google Mail)	2,511,600
3	Instagram	1,192,800
4	iCloud	546,000
5	Facebook	523,200
6	Discord	369,600
7	Microsoft Windows 10	346,800
9	Amazon	144,840
10	Sony PlayStation Network (PSN)	81,000

#1 Apple ID

Az első helyezett ezen a listán az Apple ID, több mint három millióan kerestek rá az elfelejtett, netán véletlenül kitörölt jelszó visszaállításának módszerére a Google-ban. Az Apple ID-t az almás eszközökbe való bejelentkezéshez használják, összesen csak iPhone felhasználóból 1,2 milliárd van a világon – ehhez képest a hárommillió szinte semmiség.

#2 Gmail

Második ezen a listán a Gmail, két és félmillió ember felejti el évente Gmailes számláját. A memóriából törölt jelszavak magas mennyisége itt sem meglepő, ha tudjuk, hogy a 2021-ben világszerte megnyitott emailek 36,5 százaléka a keresőóriáshoz tartozott. Ha valakinek ilyen óriási a piaci részesedése, akkor sokan vannak, akik a jelszavaikat keresik. Szerencsére a törölt vagy elfelejtett gmailes jelszavak visszaállítására van lehetőség, ha korábban egy telefonszámot, vagy másik email címet megadtunk.

#3 Instagram

A népszerű képmegosztó alkalmazás lett a harmadik ezen az érdekes listán, több mint egymillió ember keres rá évente az elfelejtett jelszó visszaállításának lehetőségére. A Meta tulajdonában lévő Instagram az utóbbi időben igen népszerű lett főleg a fiatalabb generáció körében, havonta a világ embereinek 12,9 százaléka nézi meg rendszeresen account-ját.

Az Access Now emberjogi szervezet arra kért egy kenyai mobilszolgáltató vállalatot, törölje az emberektől törvénytelenül gyűjtött biometrikus adatokat.

Az afrikai országban egy komoly kampányt indított el a kormány: arra kötelezte a mobilszolgáltatókat, hogy a kiadott SIM kártyákat regisztrálják, ezzel próbálják a bűnözést csökkenteni. A kelet-afrikai országban a Safaricom nevű távközlési vállalat azonban adatgyűjtés közben kicsit túllőtt a célon.

Biometrikus adatokat gyűjtöttek

A társaság ugyanis a SIM kártya tulajdonosok neve, születési adatai, nemre vonatkozó információ, postai cím és a személyazonossági igazolványok másolata mellett az emberek arcát is tárolta. Az Access Now emberi jogi védő szervezet szerint a biometrikus adatokat törvénytelenül gyűjtötték, így azokat a szolgáltatónak törölnie kell.

Az emberi jogokat védő szervezet keresetet indított a távközlési vállalat ellen, aminek hatására a telkó leállt a biometrikus adatok törvénytelen gyűjtésével. Azonban az emberi jogi szervezet szerint még most is túl sok információt gyűjt a vállalat az emberekről.

Töröljék a tárolt adatokat

A szervezet most az szeretné elérni az első siker után, hogy a Safaricom törölje a már tárolt adatokat, illetve, hogy a törlésről értesítse az előfizetőket is.

A biometrikus adatok gyűjtése és azonosítás céljából történő tárolása több veszély is magába hordoz. Ha véletlenül egy ilyen adatbázis kikerülne a világhálóra, akkor a felhasználók nagy bajban lennének. A jelszótól eltérően a biometrikus adatok nem módosíthatóak, így, ha kikerülnek, elvesztik azonosító funkciójukat.

Az Európai Legfelsőbb Bíróság december 8-án kelt határozata szerint a Google-nak a jövőben törölnie kell a keresési találatok közül azokat az adatokat, melyekről a felhasználók nyilvánvalóan be tudják bizonyítani, hogy pontatlanok.

Az Európai Unió még 2012-ben fogalmazta meg a feledés jogát, ami később a GDPR adatvédelmi direktívában a törléshez való joggá finomodott. A gyakorlatban ez azt jelenti, hogy ha például valaki az interneten számára nem kedvező, ámde okafogyottá vált információt törölni szeretne, akkor az adatra mutató keresési találat törlését kérheti a Google-tól. Hiszen sok esetben az internetre felkerült adat örökre ott marad, miután nem minden oldalról lehet törölni az adott információt.

A feledéshez való jog gyakorlását kérték

A december 8-i ítéletben ebben a feledéshez való jog gyakorlásában kért segítséget a német bíróság. Az eredeti ügy arról szólt, hogy egy befektetési csoport két vezetője arra kérték a Google-t távolítsa el azokat a keresési eredményeket, amelyek nevüket a csoport befektetési modelljét bíráló cikkhez kapcsolták.

A két vezető nemcsak a keresési eredmények törlését kérték, hanem a róluk készített miniatür fotók eltávolítását is, ami a keresési találatok listázásakor jelentek meg. A Google első körben elutasította a vezetők adattörlési kérését, arra hivatkozva, hogy nem tudják eldönteni, a cikkben szereplő információk pontosak vagy sem.

Törölni kell a nyilvánvalóan pontatlan adatokat

Az Európai Unió Bírósága döntésében egyértelműen jelezte, hogy a keresőmotor üzemeltetőjének törölnie kell a hivatkozott tartalomban található információkat, ha a hivatkozások törlését kérő személy bizonyítja, hogy az információk nyilvánvalóan pontatlanok.

Rekordösszegű bírságot fizet a Google többek között a lokációs adatok helytelen tárolásáért.

November elején egy sor amerikai tagállam (összesen 40) jelentette be, hogy megegyeztek a Google-lal egy rekordösszegű bírság kifizetésében. A megállapodás rögzíti, hogy a Google a közel 400 millió dolláros bírság mellett elismeri, hogy félrevezette a felhasználóit a lokációs adatok kezelése területén.

2018-ben indult az ügy

Az ügyben a vizsgálódás 2018-ban kezdődött az Associated Press cikke nyomán, mely szerint a Google akkor is követi a felhasználók mozgását, mikor kifejezetten tiltják ezt a tevékenységet. A keresőóriás akkor is rögzítette a felhasználók lokációs adatait, amikor azok kifejezetten kikapcsolták ezt a lehetőséget. Nyilván, az adatokat a hirdetések jobb célzásához használták fel.

A rekordösszegű bírság mellett a Google elvállalta, hogy jelentősen javítja jövő évtől a lokációs adatokkal kapcsolatos irányelveit, tiszteletbe tartva a felhasználók magánszféráját. A megegyezés azt is kiköti, hogy a keresőóriás több olyan eszközt fejlesszen ki, melynek segítségével a felhasználók jobban át tudják látni saját adataik kezelését.

Az adatok alaposabb törlését vállalják

Ahogy azt a Google a november 14-én keltezett blogposztjukba részletezi, a megállapodás részeként, többek között a következő új eszközöket fejlesztették ki:

Alapból a beállítás minden új felhasználónak az lesz, hogy egy adott időt elteltével automatikusan törlődnek az adatok, egyszerre 3, 18 vagy 36 havi lokációs információt megtartva.
A Google térképekhez kifejlesztettek egy Incognito mód-ot, mely így nem tárolja a keresett helyek információit, automatikusan törölve azokat
Egyszerűsödni fog a lokációs adatok törlése, az új lehetőségek bekapcsolásával egyszerűbben tudják majd a felhasználók kikapcsolni a lokációs előzményeket, vagy egyszerűen törölni régebbi adataikat.
Sokkal egyszerűbben magyarázzák el a felhasználóknak, hogy a webes és app aktivitás pontosan milyen adatokat jelent és az hogyan befolyásolja a Google terméket használatát.

A Facebook akkor is tudja telefonszámunkat, ha mi azt soha nem adtuk meg. Egy új eszköz segítségével azonban szerencsére, tudjuk ezt a számot törölni.

A Facebook rengeteg adatunkat tárolja, így próbálja meg minél pontosabban belőni a hirdetéseit. Azonban a mobilszámunkat sok esetben nem adtuk ki a közösségi oldalnak, mégis megvan neki. A mobilszám szerepelhet számtalan ismerőseink egyikének a telefonkönyvében, amit megosztott a közösségi oldal tulajdonosával.

A Meta, a Facebook tulajdonosa ősz elején rukkolt ki, mondhatni eléggé csendben, egy olyan új szolgáltatással, melynek segítségével megnézhetjük, hogy milyen kapcsolati adatainkkal rendelkezik a közösségi oldal. Az eszköz immár 2022 májusa óta van fen a neten, de csak szeptemberben kezdett szélesebb körben ismertté válni.

A help centerbe bújtatták

Az eszközt a help centerben egy eléggé érdektelen oldalon bújtatták el, ahol 780 szóban magyaráznak el dolgokat azoknak az embereknek, akik nem használják a Meta termékeit. A szövegben semmi sem utal arra, hogy a mobilszámot vagy e-mail címet ellenőrző eszközről van szó. Csupán annyit mond, hogy “ha további kérdései vannak jogairól, akkor kattintsanak ide”.

Így törölhetjük az adatokat

Ha ezt az ellenőrző oldalt valaki megtalálta, eléggé egyszerű és egyértelmű segítségével a mobilszámot, vezetékes számot vagy e-mail címet törölni. Első körben meg kell adni, a felsorolt három közül melyiket szeretnénk ellenőrizni.

Miután megadjuk a számot, amit keresünk, a Facebook egy ellenőrző kódot küld rá. A kód megadása után közösségi oldal üzemeltetője töröli azt nyilvántartásából. Az adat akkor sem kerülhet újból vissza az adatbázisba, ha ezután újabb ismerősünk osztja meg telefonkönyvét.

Igaz, az eszközt eredetileg azon emberek adatainak eltávolítására találták ki, akik soha nem használtak Meta termékeket, de rendkívül jó törlési szolgálatot tesz aktív felhasználók esetében is.

A Twitter új tulajdonosa sok embernél kiverte a biztosítékot, mindenkit megértünk. Ha törölni szeretnéd fiókodat, azt a következő módon teheted meg.

Szinte egy évig tartó csiki-csuki végének lehettünk tanúi idén októberben: hosszas gondolkodás és bírósági eljárásokkal való fenyegetés után Elon Musk, a világ leggazdagabb embere úgy döntött, végül mégis megvásárolja és kivezeti a tőzsdéről a Twittert.

Tavasszal kezdődött a történet

A történet még áprilisban kezdődött, amikor kiderült a gazdag Tesla gyáros 9,2 százalékos részesedést vásárolt meg a Twitter részvényeiből. Elon Musknak nem tetszett, ahogy a mikroblog szolgáltató moderálja az oldalon megjelenő hozzászólásokat, véleményeket. Egy sokkal liberálisabb, sokkal több véleménynek teret adó közösségi oldal kívánt faragni ebből az oldalból.

A közel 10 százalékos részesedéssel azonban ezt még nem tudta befolyásolni, így kéretlen vételi ajánlatot tett a Twiterre, 44 milliárd dollár értékben. Ezt az összeget ő sem tudja a mellényzsebéből kihúzni, a tranzakció finanszírozásához több pénzügyi partner segítségét igénybe vette volna. Az ellenséges vételi ajánlatot némi gondolkodás után a tulajdonosok elfogadták.

Majd Elon Musk meggondolta magát: szerinte a Twitter félretájékoztatta őt a hamis, robotprofilok arányáról, és így ki akart szállni a felvásárlásból. Ellenlépésben a közösségi oldal beperelte a furcsa üzletembert. Majd a per elindulása előtt, október elején Elon Musk újból meggondolta magát és kifizetődőbbnek látta, ha tartja magát az eredeti ajánlatához.

Nos, ezek után nem csoda, sokan dönthetnek úgy, hogy nem kérnek többet a mikroblog szolgáltatóból. Nekik szól ez a kis törlési tájékoztató.

Törlés előtt töltsük le az adatokat

Törlés előtt érdemes azonban adatainkat letölteni, hogy ha nosztalgiázni szeretnénk elmés megjegyzéseinken, legyen hozzá alapanyag. Ehhez számítógépről a Twitter oldalára belépve baloldalon lévő oszlop alján kattinsunk More lehetőségre, majd a Settings and Support > Settings and privacy > Your account > Download an archive of your data menühöz látogassunk el.

Ha az appot többnyire mobiltelefonunkon használjuk, kattintsuk bal felső sarokban lévő profil képünkre, majd a Settings and Support > Settings and privacy > Your account > Download an archive of your data utat kövessük.

Itt az oldal elkéri újból jelszavunkat, és akkor kérhetjük is, hogy archiválja az adatokat. Ez azonban nem egy azonnali folyamat, 24 óra alatt készíti el az adatokat a Twitter. Ha kész van, emailben értesítenek. Mivel egy nagy adag csomagolt adatot kapunk, érdemes számítógépről intézni azok kicsomagolását.

Így töröljük a fiókot

Az archiválás után eléggé könnyű törölni a fiókot: látogassunk el erre az oldalra. Vagy pedig a Settings and Support > Settings and privacy > Your account menünél a legalján a megjelenik a Deactivate your account lehetőség. Ide kattintva egy figyelmeztető üzenet jelenik meg, hogy fiókunkat végleg töröljük és hogy onnan semmi.

Illetve mégis valami: a törlést megelőző figyelmeztetésből kiderül, hogy fiókunk megszűnik, de 30 napunk van arra, hogy meggondoljuk magunkat. Második, várnunk kell adataink letöltésére mielőtt töröljük a fiókot. Ez a gyakorlatban azt jelenti, hogy az adatok letöltésének kérése után várjuk meg az emailt, töltsük le az adatokat, majd töröljük a fiókot.

Azt gondolnánk, hogy a technológia szeretetéért közismert Japánban mindig a legutolsó technológiát használják. Hát tévedtünk.

Japán idén kinevezett digitális ügyekért felelős miniszterére volt szükség ahhoz, hogy az ország elkezdjen elbúcsúzni a floppy lemeztől. A digitális ügyekért felelős miniszter, Taro Kono 2022 augusztusa végén indított háborút a floppy lemez és egyéb idejétmúlt adathordozó ellen. Az országban összesen 1900 olyan kormányzati eljárás létezik, ahol még mindig a régi adathordozókat használják az ügyek intézésére.

Akciócsoport alakult a floppy eltörlésére

A miniszter egy sajtótájékoztatón jelentette be az új háborút. A cél, hogy a régi adathordozókat online adatbenyújtási folyamatokkal helyettesítsék. Az igazsághoz az is hozzátartozik, hogy törvényi problémák akadályozták eddig, hogy a keleti országban a kormányzat is a felhő technológiát és az online adatkezelést használja. A lakosság és a vállalatok floppy lemezen vagy MiniDisc-en nyújtották be a kormányzat által kért adatokat vagy indították el az ügyeket.

A miniszter egy külön akciócsoportot állított fel erre a célra, mely az év végéig eldönti, hogy a kérdést hogyan rendezzék, de valószínű, hogy a felhő technológia lesz a befutó. A digitális ügyekért felelős kormánytag azt sem tartja jónak, hogy a covid járvány alatt faxgépek segítségével tartották a kapcsolatot a kormányzati szervek.

Fél évszázados technológia

A floppy lemez 50. születésnapját tavaly, vagyis 2021-ben ünnepelte a világ. Az IBM 1971-ben vezette be a lyukkártyákat felváltó diszket. Az adathordozó méretének kialakulásánál azt vették figyelembe, hogy beleférjen a mérnökök ingének zsebébe. Az adathordozó a személyi számítógép elterjedésével vált népszerűvé, a Sony például 1983-ban vezette be az 1,4b Mb adat tárolására képes lemezt.

A japán cég 2011-ben állt le a floppy lemezek gyártásával, így a japán miniszter joggal csodálkozott sajtótájékoztatóján, hogy vajon honnan vásárolják a kormányzati szervek a lemezeket?

El is veszítették őket

A floppy lemezek egyébként 2021 decemberében egy kínos adatvesztési incidens főszereplői voltak. A tokiói rendőrség egyik tagja két floppy lemezt veszített el, melyen 38 ember házkérelmével kapcsolatos adatok voltak rajta. A lemezeket a rendőrség tárolta, hiányukat akkor vették észre, amikor használniuk kellett őket. A lemezen támogatott lakhatás iránt folyamodó 38 férfi személyes adatát tárolták: nevüket, születési időpontjukat és nemüket.

Ausztrália legnagyobb adatszivárgásának tanulságai: GDPR jellegű büntetéseket vezetnének be.

Ausztrália legnagyobb adatszivárgásának hatására az európai GDPR-hoz hasonló büntetések bevezetésén gondolkodnak a hatóságok. Ugyanakkor köteleznék a vállalatot, hogy fizesse meg az adatszivárgásban érintett személyi okmányok cseréjének költségét. A nagy médiafigyelem miatt a hacker törölte az adatokat és visszalépett a váltságdíjtól is.

Kibertámadás fél Ausztrália ellen

Optus Ausztrália második legnagyobb távközlési szolgáltatója. Összesen 10 millió ügyfele van (Ausztrália lakosságának 40 százaléka), ezeknek pedig sok adatát összegyűjtötte és tárolta. A távközlési szolgáltató szeptember 22-én jelezte egy rövid közleményben, hogy rendszereit kibertámadás érte, ennek következtében az ügyfelek adatai illetéktelenek kezébe került.

A szolgáltató olyan adatokat tárolt az ügyfelekről, mint nevek születési adatok, az útlevelek sorszáma, a jogosítvány sorszáma, az egészségbiztosítói azonosító szám (ami nemzeti személyazonossági igazolvány hiányában az adott személyt azonosítja), telefonszámok és otthoni címek.

Törölték az adatokat

Az azonosítatlan támadó első körben 1 millió dollárt kért az adatokért cserébe, miután egy online webes fórumon 10 ezer ügyfél adatát nyilvánosságra hozta – ezzel is bizonyítva, hogy ő az igazi támadó. Majd a támadás nagyságát és a szolgáltató válaszát látva (aki bevonta közben a helyi nyomozó hatóságokat is), a hacker meggondolta magát: azonnal törölte a már közzétett adatokat, elnézést kért és próbált eltűnni.

Politikai vihart kavart az ügy

Az ügy azonban innen önálló életre kelt. Az Optus vezetője, Kelly Bayer Rosmarin azt mondta, hogy a vállalat egy bonyolult támadás áldozata lett, a támadás az első adatok szerint egy európai IP címről érkezett és hogy a nyomozó hatóságok forró nyomon vannak. Azonban a köd leszálltával kiderült, hogy a hackernek eléggé könnyű dolga volt bejutni a rendszerbe: a távközlési vállalat egy olyan alkalmazás programozási interfészt működtetett, mely nem kérte a felhasználók azonosítását, de hozzáférést biztosított az ügyfeleik adataihoz. Egyszerűen egy amatőr hackernek szerencséje volt.

Azonban a kiberbiztonsági miniszter, Clare O’Neill megkérdőjelezte az Optus szavahihetőségét és aggasztónak nevezte, hogy mennyire egyszerű volt bejutni a távközlési szolgáltató rendszerébe, hiszen a vállalat egyszerűen nyitva hagyta az ablakot a hacker előtt.

Szankciók GDPR mintára

Az ügy hatására az is felmerült, hogy az ausztrál adatvédelmi intézkedésekbe az európai GDPR mintájára komoly szankciókat kellene beépíteni, ami arra sarkalná a cégeket, hogy sokkal jobban odafigyeljenek az adatok biztonságára. Egy kormányzati forrás azt a lehetőséget is megszellőztette, hogy a távközlési vállalat fizesse ki a támadás következtében kicserélendő útlevelek és vezetői jogosítványok költségét.

Az biztos, hogy az ausztrál rendőrség egy külön projektet indított annak a 10 ezer ausztrál állampolgárnak a megvédésére, kinek az adatait a hacker első körben nyilvánosságra hozta, majd törölte is őket, a többi 10 millió adattak együtt.

Ami a netre felkerül, ott marad ugyan, de senki sem találja meg.

A Google lehetővé tette a mezei felhasználók számára is, hogy a számukra előnytelen fotókat, adatokat törölhessük a keresési találatai közül. Erre a keresőóriás egy online felületet bocsátott a magánszemélyek rendelkezésére, ahol kezdeményezhetjük személyes adataink törlését.

A Google keresési találat törlésére vonatkozó űrlapja

A Google nem kívánja a valóságot elferdíteni a keresési eredmények törlésével, hanem igazán a kompromittáló, szexuális jellegű tartalmak eltávolítására törekszik.

Hat kategóriányi találatot törölhetünk

Így a hat kategória között szerepel az intim, személyes képek vagy nem beleegyezésen alapuló, explicit képek törlése. Ugyancsak töröli a kiskorúakról szóló fotókat és azt is, ha az adott személy nevének megkeresése után irreleváns pornográf tartalom bukkanna fel.

Külön lehet kérni a deepfake pornográf tartalmak törlését is. A mesterséges intelligencia segítségével ugyanis manapság olyan hamis pornográf felvételeket lehet generálni, ahol a színészeket ismert emberek arcával helyettesítik. Az eredmény pedig valósághű felvétel, amit deepfake tartalomnak neveznek.

Megvizsgálják a törlési kéréseket

Az emberek azt is kérhetik, hogy a személyes azonosító adatokat is törölje a szolgáltató: sok esetben adatszivárgás esetében a személyes adatok – név, lakcím, bankkártya adatok, útlevél száma – kikerülhet az internetre.

A kérés benyújtása után a Google egy automatikus igazoló levelet küld. Ezután a kérést belsőleg megvizsgálják, hogy az adott információ – melynek törlését kérik a keresési találatokból – közérdeket szolgál-e vagy van hírértéke. Ezután a szolgáltató további adatokat kérhet, hogy eldönthesse, utat ad a törlési kérésnek vagy sem.