Facebook priznal bezpečnostný incident. Unikli mu dáta 50 miliónov používateľov. Útočníci využili hneď niekoľko zraniteľností a dostali sa aj k prístupovým tokenom, cez ktoré sú k Facebooku linkované ďalšie účty, ako napr. Instagram. Facebook prinútil používateľov postihnutých útokom nanovo sa prihlásiť, opravil zraniteľnosť a zresetoval tokeny tiež ďalším 40 miliónom používateľom ako preventívne opatrenie. Útok oznámili FBI, polícii, zákonodarcom a v neposlednom rade irskemu úradu na ochranu osobných údajov v rámci informačnej povinnosti ustanovenej v GDPR.

Keď sa aplikácie spolčia, aby získali viac dát alebo privilégií v operačnom systéme, tak to vôbec nie je jednoduché zistiť. Štyria výskumníci z Virginia Tech vytvorili systém DIALDroid, ktorý preveril 100 tisíc najsťahovanejších aplikácií. Výsledkom bolo zistenie, že takmer z 23500 spárovanych aplikácií unikajú údaje a viac ako 16700 párov získava v tandeme viac oprávnení. Vydali o tom samozrejme whitepapper, ktorý je volne dostupný. 

Update: Napriek prvému dojmu nejde o novú tému. Tím okolo Igora Muttika z McAffee sa nekalým spolčovaním aplikácií zaoberá už viacero rokov.

Únik dát zo CIA a smart televízory nás ešte chvíľu budú zamestnávať: „Weeping Angel je veľmi „šikovný“ malvér. Okrem iného dokáže napríklad simulovať vypnutie televízoru, pritom je však stále aktívny. Keď používateľ vypne televízor pomocou diaľkového ovládania, funkcia Fake-Off len vypne obrazovku a zmení farbu LED diódy, no program je stále aktívny a veselo si nahráva dianie v miestnosti naďalej.“ Viac na TouchIT.

20 000 pacientov online v USA

NEW YORK TIMES pred pár dňami informovali o bezpečnostnom incidente, ktorého výsledkom bolo zverejnenie osobných údajov 20 000 pacientov Stafordskej univerzitnej nemocnice. Mená, kódy diagnóz, čísla účtov, dátumy prijatia a prepustenia zo starostlivosti nemocnice a tiež poplatky pacientov nemocničnej pohotovosti za 6 mesiacov roku 2009 boli zverejnené na stránke portálu http://studentoffortune.com/, ktorý možno považovať za eBay študentských domácich úloh. Súbor s údajmi sa objavil na stránke ako príloha otázky týkajúcej sa konverzie dát do podoby grafu.

Ako informoval hovorca nemocnice, uniknuté údaje neobsahovali čísla sociálneho poistenia, dátumy narodenia a ani čísla kreditných kariet, ktoré bývajú najčastejšie využívané pri podvodoch s ukradnutou identitou. Napriek tomu poskytla nemocnica všetkým obetiam bezpečnostného incidentu bezplatné služby na ochranu identity.

Incident si všimol jeden z pacientov a webstránka Student of Fortune po intervencii nemocnice údaje stiahla. Informované boli aj príslušné štátne a federálne orgány. V tejto súvislosti je rovnako zaujímavý aj fakt, že podľa analýz amerického ministerstva zdravotníctva bolo obeťami bezpečnostných incidentov pri nakladaní s osobnými údajmi počas posledných dvoch rokov až 11 000 000 pacientov.

ZDROJ:
https://www.nytimes.com/2011/09/09/us/09breach.html?pagewanted=1&_r=1