Кешбэк за перевод
Госдума приняла сразу во втором и третьем чтении поправки в закон "О национальной платежной системе", обязывающие банки возмещать средства клиентов, похищенные мошенниками. Правда, вступят в силу изменения только через год.
Банки будут обязаны возместить всю сумму операции, совершенную без добровольного согласия клиента в течении 30 дней после подачи соответствующего заявления. В этих условиях операторы переводов будут вправе двое суток игнорировать любую транзацкию с подозрением на мошенническую, даже несмотря на волю клиента.
Из подводных камней – право банков отказывать в компенсации в случаях нарушения порядка использования электронного средства платежа. Что будет пониматься по нарушением, узнаем от лидеров сектора через год.
Похожую «акцию» не так давно предлагали в Минцифре, но тогда речь шла об утечках. Так или иначе, инициатива точно будет положительно принята массами, а банки в очередной раз ужесточат требования для одобрения крупных переводов.
НеКасперский
Госдума приняла сразу во втором и третьем чтении поправки в закон "О национальной платежной системе", обязывающие банки возмещать средства клиентов, похищенные мошенниками. Правда, вступят в силу изменения только через год.
Банки будут обязаны возместить всю сумму операции, совершенную без добровольного согласия клиента в течении 30 дней после подачи соответствующего заявления. В этих условиях операторы переводов будут вправе двое суток игнорировать любую транзацкию с подозрением на мошенническую, даже несмотря на волю клиента.
Из подводных камней – право банков отказывать в компенсации в случаях нарушения порядка использования электронного средства платежа. Что будет пониматься по нарушением, узнаем от лидеров сектора через год.
Похожую «акцию» не так давно предлагали в Минцифре, но тогда речь шла об утечках. Так или иначе, инициатива точно будет положительно принята массами, а банки в очередной раз ужесточат требования для одобрения крупных переводов.
НеКасперский
👍19🔥5⚡3❤2🤡2💩1
Microsoft Outleak
Майки на этой неделе на гребне волны сливов.
Не успела компания дать комментарий по взлому почтовых аккаунтов министерства торговли США и госдепа, как китайская группировка Storm-0558 вскрыла и распотрошила почтовые ящики двадцати пяти организаций по всему миру.
Подделав токены аутентификации для Outlook Web Access и Outloоk.coм при помощи MSA ключа, хакеры начали получать доступ к чужим учетным записям уже в середине мая 2023 года. Как хакерам удалось заполучить ключ для подписи потребительских токенов не уточняется, но самыми правдоподобными версиями стали:
• утечка ключа из собственной сети Microsoft
• компрометация всего УЦ Microsoft
Вопреки тому, что компания активно расследует инцидент и предпринимает компенсирующие меры, любой из возможных сценариев утечки MSA ключа увеличивает в разы число потенциальных жертв хакеров.
НеКасперский
Майки на этой неделе на гребне волны сливов.
Не успела компания дать комментарий по взлому почтовых аккаунтов министерства торговли США и госдепа, как китайская группировка Storm-0558 вскрыла и распотрошила почтовые ящики двадцати пяти организаций по всему миру.
Подделав токены аутентификации для Outlook Web Access и Outloоk.coм при помощи MSA ключа, хакеры начали получать доступ к чужим учетным записям уже в середине мая 2023 года. Как хакерам удалось заполучить ключ для подписи потребительских токенов не уточняется, но самыми правдоподобными версиями стали:
• утечка ключа из собственной сети Microsoft
• компрометация всего УЦ Microsoft
Вопреки тому, что компания активно расследует инцидент и предпринимает компенсирующие меры, любой из возможных сценариев утечки MSA ключа увеличивает в разы число потенциальных жертв хакеров.
НеКасперский
⚡12🔥7😱6🤡3❤1👍1👎1😁1
Плюс одна фобия
Персональные данные и другая чувствительная информация 25 тыс. людей попали в открытый доступ через сервис по онлайн-переводу текстов «Kings of Translation».
ИБ-исследователь из США обнаружил в сети базу данных, не защищенную паролем, которая содержала более 25 тыс. записей. Все из них были общедоступны, включая тексты особо секретных документов различных госорганов и частных компаний.
Помимо прочей информации в базе содержались скриншоты исходного кода, налоговые декларации, паспорта, свидетельства о рождении и браке, водительские удостоверения и судебная документация. Информация такого содержания может легко стать предметом шантажа или мошенничества.
Компанияпретендует претендовала на звание поставщика переводческих услуг премиум-класса в США, обеспечивая перевод более чем на 120 языков.
Что дальше? Утечки из сервисов конвертации из Word в PDF?
НеКасперский
Персональные данные и другая чувствительная информация 25 тыс. людей попали в открытый доступ через сервис по онлайн-переводу текстов «Kings of Translation».
ИБ-исследователь из США обнаружил в сети базу данных, не защищенную паролем, которая содержала более 25 тыс. записей. Все из них были общедоступны, включая тексты особо секретных документов различных госорганов и частных компаний.
Помимо прочей информации в базе содержались скриншоты исходного кода, налоговые декларации, паспорта, свидетельства о рождении и браке, водительские удостоверения и судебная документация. Информация такого содержания может легко стать предметом шантажа или мошенничества.
Компания
Что дальше? Утечки из сервисов конвертации из Word в PDF?
НеКасперский
😁31🤔9⚡5👍4🔥2🫡2👎1
Зато с салона
Из-за уязвимости в системах защиты китайские автомобили стало легче угнать. К легкодоступным автомобилям относятся марки: Chery, Geely, Haval, Tank, Omoda и Exeed.
Преступники могут получить доступ к блокирующему коду автомобиля, зная только его VIN-номер. Эта уязвимость возникает из-за возможности получения PIN-кода от производителя с помощью VIN-номера, который позволяет обойти иммобилайзер - противоугонное устройство. Код можно приобрести на Алике или через дилера.
Безусловно, существуют и другие способы, но они более сложные и требуют дополнительного оборудования. А купить код с AliExpress,да еще и с кешбэком намного проще.
В качестве защитных мер предлагается установить дополнительный иммобилайзер с меткой, который позволяет завести двигатель, но блокирует его при попытке начать движение.
Как вам «опция» от Китайцев?
НеКасперский
Из-за уязвимости в системах защиты китайские автомобили стало легче угнать. К легкодоступным автомобилям относятся марки: Chery, Geely, Haval, Tank, Omoda и Exeed.
Преступники могут получить доступ к блокирующему коду автомобиля, зная только его VIN-номер. Эта уязвимость возникает из-за возможности получения PIN-кода от производителя с помощью VIN-номера, который позволяет обойти иммобилайзер - противоугонное устройство. Код можно приобрести на Алике или через дилера.
Безусловно, существуют и другие способы, но они более сложные и требуют дополнительного оборудования. А купить код с AliExpress,
В качестве защитных мер предлагается установить дополнительный иммобилайзер с меткой, который позволяет завести двигатель, но блокирует его при попытке начать движение.
Как вам «опция» от Китайцев?
НеКасперский
😁32😱12👍5🤔5🫡2
Мы не знаем что это такое
Продолжаем разбираться с инцидентом у Microsoft. В ходе расследования выяснилось, что злоумышленники получили доступ в чужим учетным записям в результате ошибки валидации ключей подписи токенов Azure AD в самом коде Microsoft. Как хакерам удалось получить сам ключ — до сих пор не ясно.
Несмотря на то, что повторные атаки с использованием уязвимости маловероятны, компания заблокировала использование украденного ключа для всех пользователей и закрыла всю инфраструктуру, которую Storm-0558 использовали для воспроизведения ключей.
Так или иначе, об устранении самой уязвимости в коде Microsoft ничего не сказали, а значит обязательно найдется кто-то кроме китайских хакеров, желающий поживиться конфиденциальными данными.
НеКасперский
Продолжаем разбираться с инцидентом у Microsoft. В ходе расследования выяснилось, что злоумышленники получили доступ в чужим учетным записям в результате ошибки валидации ключей подписи токенов Azure AD в самом коде Microsoft. Как хакерам удалось получить сам ключ — до сих пор не ясно.
Несмотря на то, что повторные атаки с использованием уязвимости маловероятны, компания заблокировала использование украденного ключа для всех пользователей и закрыла всю инфраструктуру, которую Storm-0558 использовали для воспроизведения ключей.
Так или иначе, об устранении самой уязвимости в коде Microsoft ничего не сказали, а значит обязательно найдется кто-то кроме китайских хакеров, желающий поживиться конфиденциальными данными.
НеКасперский
👍7🔥4😁4🫡3❤1
Полетели?
Проукраинские хакеры из UHG после чреды сливов отечественных медицинских организаций отправляют по горячей путевке в свободный доступ данные клиентов туроператора "Интурист".
В совокупности слито чуть более 5,5 миллионов строк данных, среди которых оказались:
• ФИО
• Номер телефона (почти 70к уникальных)
• Адрес
• Дата рождения
• Пол
• Гражданство и место рождения
• Серия и номер паспорта (включая заграничные)
Среди данных много проходной и неактуальной информации, но вряд ли это успокоит клиентов компании.
НеКасперский
Проукраинские хакеры из UHG после чреды сливов отечественных медицинских организаций отправляют по горячей путевке в свободный доступ данные клиентов туроператора "Интурист".
В совокупности слито чуть более 5,5 миллионов строк данных, среди которых оказались:
• ФИО
• Номер телефона (почти 70к уникальных)
• Адрес
• Дата рождения
• Пол
• Гражданство и место рождения
• Серия и номер паспорта (включая заграничные)
Среди данных много проходной и неактуальной информации, но вряд ли это успокоит клиентов компании.
НеКасперский
🤡20🔥5😁4💩3
Нужно больше лицензий
Роскомнадзор хочет сертифицировать операторов персональных данных.
Соответствующую инициативу госорган рекомендует внести в готовящийся проект закона об оборотных штрафах. Поправка должна коснуться в первую очередь операторов, обрабатывающих наибольший объем ПДн.
Лицензировать таких «спецоператоров» РКН будет самостоятельно, а сам процесс включит в себя соответствующие аудиты IT-инфраструктуры. На какие требования будут ориентированы аудиты пока не ясно.
Не исключаем, что орган в коллаборации со ФСТЭК и ФСБ выкатит новую бумажку с требованиями по обеспечению защиты ПДн у подобных спецоператоров, либо инициирует расширение существующих требований 21 и 378 приказов.
Лучше бы просто поторопились с введением оборотных штрафов, а то скоро по второму кругу потечём.
НеКасперский
Роскомнадзор хочет сертифицировать операторов персональных данных.
Соответствующую инициативу госорган рекомендует внести в готовящийся проект закона об оборотных штрафах. Поправка должна коснуться в первую очередь операторов, обрабатывающих наибольший объем ПДн.
Лицензировать таких «спецоператоров» РКН будет самостоятельно, а сам процесс включит в себя соответствующие аудиты IT-инфраструктуры. На какие требования будут ориентированы аудиты пока не ясно.
Не исключаем, что орган в коллаборации со ФСТЭК и ФСБ выкатит новую бумажку с требованиями по обеспечению защиты ПДн у подобных спецоператоров, либо инициирует расширение существующих требований 21 и 378 приказов.
Лучше бы просто поторопились с введением оборотных штрафов, а то скоро по второму кругу потечём.
НеКасперский
👍17💩9🤬4🫡2🔥1
Несуществующая утечка?
Отечественная сеть медицинских лабораторий Helix, кажется, рассталась с данными своих клиентов.
Хотя сама организация не подтверждает информацию, в руках хакеров может быть более 7 млн строк данных клиентов, среди которых:
• ФИО
• Дата рождения
• Пол
• Телефон (более 770 тыс. уникальных)
• Почта (более 760 тыс. уникальных)
• СНИЛС
• Медицинский полис
Сама Helix и её ИБ-отдел твердо стоят на том, что кибератака отражена, а выкупа программе-вымогателю им удалось избежать. Работоспособность всех основных ресурсов уже восстановлена.
Если верить злоумышленникам, компании все-таки стоит опасаться дальнейшей эскалации, а значит признать факт утечки и присоединиться к СИТИЛАБу.
Отечественная сеть медицинских лабораторий Helix, кажется, рассталась с данными своих клиентов.
Хотя сама организация не подтверждает информацию, в руках хакеров может быть более 7 млн строк данных клиентов, среди которых:
• ФИО
• Дата рождения
• Пол
• Телефон (более 770 тыс. уникальных)
• Почта (более 760 тыс. уникальных)
• СНИЛС
• Медицинский полис
Сама Helix и её ИБ-отдел твердо стоят на том, что кибератака отражена, а выкупа программе-вымогателю им удалось избежать. Работоспособность всех основных ресурсов уже восстановлена.
Если верить злоумышленникам, компании все-таки стоит опасаться дальнейшей эскалации, а значит признать факт утечки и присоединиться к СИТИЛАБу.
🤡8⚡5🫡3
Вы можете скупить все СЗИ в мире, но это не спасет вас от утечек и других инцидентов.
МТС RED совместно с Phishman провели исследование и оказалось, что 80% ИБ инцидентов случаются по вине человека. За последние годы фишинг стал ахиллесовой пятой многих, даже самых крупных игроков рынка.
Наиболее эффективное решение – Security Awareness. Программа обучения сотрудников снизит количество фишинговых инцидентов на 70% уже за первый месяц.
НеКасперский
МТС RED совместно с Phishman провели исследование и оказалось, что 80% ИБ инцидентов случаются по вине человека. За последние годы фишинг стал ахиллесовой пятой многих, даже самых крупных игроков рынка.
Наиболее эффективное решение – Security Awareness. Программа обучения сотрудников снизит количество фишинговых инцидентов на 70% уже за первый месяц.
НеКасперский
👍10🔥6❤5🤮2🤡1
Упс…
База данных из 5600 VIP клиентов VirusTotal, включая имена и адреса электронной почты, были раскрыты после того, как один из сотрудников компании по ошибке загрузил эту информацию на платформу для сканирования вредоносного ПО.
Google — владелец платформы, подтвердил факт утечки, но оперативно принял меры по удалению данных. Список пропал с VirusTotal в течение часа после его размещения.
Непреднамеренные действия сотрудника привели к возможной утечке учетных записей, связанных с официальными органами США, такими как Киберкомандование, Министерство юстиции, Федеральное бюро расследований (ФБР) и Агентство национальной безопасности (АНБ). Другие учетные записи принадлежат государственным структурам Германии, Нидерландов, Тайваня и Великобритании.
Не очень похоже на простое совпадение, учитывая содержание БД и скорость реакции Google.
НеКасперский
База данных из 5600 VIP клиентов VirusTotal, включая имена и адреса электронной почты, были раскрыты после того, как один из сотрудников компании по ошибке загрузил эту информацию на платформу для сканирования вредоносного ПО.
Google — владелец платформы, подтвердил факт утечки, но оперативно принял меры по удалению данных. Список пропал с VirusTotal в течение часа после его размещения.
Непреднамеренные действия сотрудника привели к возможной утечке учетных записей, связанных с официальными органами США, такими как Киберкомандование, Министерство юстиции, Федеральное бюро расследований (ФБР) и Агентство национальной безопасности (АНБ). Другие учетные записи принадлежат государственным структурам Германии, Нидерландов, Тайваня и Великобритании.
Не очень похоже на простое совпадение, учитывая содержание БД и скорость реакции Google.
НеКасперский
😁24🫡7❤3👍3⚡1
Clop продолжает наводить шороху
В мае хакеры получили доступ к 143 гигабайтам чувствительной информации ирландского регулятора связи ComReg. Уже поступили угрозы о разглашении.
Представители группировки снова воспользовались уязвимостью в системе передачи файлов MOVEit. Это и привело к изменению и раскрытию содержимого базы, в которой хранится значительное количество конфиденциальной информации телеком-организаций. Подробно о самой уязвимости веб-приложения MOVEit Transfer мы уже рассказывали в одном из постов.
В конечном итоге работа сервисов в стране нарушена, финансовые и репутационные потери на лицо. Инцидент обратил на себя внимание даже NCSC (National Cyber Security Centre). Они информацию подтверждают, но от комментариев воздерживаются.
НеКасперский
В мае хакеры получили доступ к 143 гигабайтам чувствительной информации ирландского регулятора связи ComReg. Уже поступили угрозы о разглашении.
Представители группировки снова воспользовались уязвимостью в системе передачи файлов MOVEit. Это и привело к изменению и раскрытию содержимого базы, в которой хранится значительное количество конфиденциальной информации телеком-организаций. Подробно о самой уязвимости веб-приложения MOVEit Transfer мы уже рассказывали в одном из постов.
В конечном итоге работа сервисов в стране нарушена, финансовые и репутационные потери на лицо. Инцидент обратил на себя внимание даже NCSC (National Cyber Security Centre). Они информацию подтверждают, но от комментариев воздерживаются.
НеКасперский
⚡7❤3👍3🤬2😁1
Произошло обезличивание
В Минцифры предложили собирать и обезличивать все персональные данные граждан. В одной ГИС.
Планируется реализовать централизованную систему хранения ПДн и аккумулировать там информацию из ИСПДн госструктур и частных компаний. Данные, к слову, будут передаваться без какого-либо согласия субъекта обработки. Что-то похожее уже предлагалось Министерством несколько месяцев назад.
Персональные данные будут хранить в формате дата-сетов, которые затем могут быть переданы внешним компаниям — пионерам в области развития ИИ в стране. Цель — обеспечить тестирование и обучение нейросетей.
Если скрытые цели замысла Минцифры хоть как-то оправдывают рвение развить отечественные ИИ до уровня иностранных, то вот реализация, как обычно, хромает. Чего стоит только идея о централизации и монополизации такого объема ПДн в руках одного регулятора.
НеКасперский
В Минцифры предложили собирать и обезличивать все персональные данные граждан. В одной ГИС.
Планируется реализовать централизованную систему хранения ПДн и аккумулировать там информацию из ИСПДн госструктур и частных компаний. Данные, к слову, будут передаваться без какого-либо согласия субъекта обработки. Что-то похожее уже предлагалось Министерством несколько месяцев назад.
Персональные данные будут хранить в формате дата-сетов, которые затем могут быть переданы внешним компаниям — пионерам в области развития ИИ в стране. Цель — обеспечить тестирование и обучение нейросетей.
Если скрытые цели замысла Минцифры хоть как-то оправдывают рвение развить отечественные ИИ до уровня иностранных, то вот реализация, как обычно, хромает. Чего стоит только идея о централизации и монополизации такого объема ПДн в руках одного регулятора.
НеКасперский
🫡17🤡13🤬7😱6👍5❤2⚡1🔥1😁1
Wikipedia – всё?
Сегодня ряд источников заявил о сбоях в работе «свободной энциклопедии, которую может редактировать каждый». Первые ERR_CONNECTION_TIME_OUT стали появляться у пользователей еще в три часа ночи.
VPN помогает, а значит, ограничения могут быть по ТСПУ на стороне провайдера. В то же время некоторые пользователи сообщают, что через их интернет-оператора ресурс всё еще доступен.
Так или иначе, паниковать точно не стоит, ведь в реестре РКН Wikiрedia.оrg не числится, а в случае с блокировкой Instagram год назад регулятор уведомил о недоступности соцсети за 48 часов.
В комментах просим отчитаться о работоспособности вики у вас.
НеКасперский
Сегодня ряд источников заявил о сбоях в работе «свободной энциклопедии, которую может редактировать каждый». Первые ERR_CONNECTION_TIME_OUT стали появляться у пользователей еще в три часа ночи.
VPN помогает, а значит, ограничения могут быть по ТСПУ на стороне провайдера. В то же время некоторые пользователи сообщают, что через их интернет-оператора ресурс всё еще доступен.
Так или иначе, паниковать точно не стоит, ведь в реестре РКН Wikiрedia.оrg не числится, а в случае с блокировкой Instagram год назад регулятор уведомил о недоступности соцсети за 48 часов.
В комментах просим отчитаться о работоспособности вики у вас.
НеКасперский
😱14👍9🫡3👎1😁1
Попытка номер два
В Великобритании могут запретить iMessage и Face Time.
Предметом раздора Apple и британского правительства стали поправки к «Закону о полномочиях следствия». Компания направила официальное письмо в правительство страны.
Изменения в законе дадут возможность Министерству внутренних дел Великобритании получать неограниченный доступ к зашифрованному контенту на устройствах пользователей или вовсе требовать отключения функций безопасности в приложениях, не извещая об этом конечного пользователя.
На фоне похожего законопроекта в марте этого года волну возмущений возглавили представители приватных мессенджеров вроде Signal и WhatsApp, а чуть позже в конце июня в рамках законопроекта «О безопасности в интернете» к протесту присоединилась компания из Купертино.
НеКасперский
В Великобритании могут запретить iMessage и Face Time.
Предметом раздора Apple и британского правительства стали поправки к «Закону о полномочиях следствия». Компания направила официальное письмо в правительство страны.
Изменения в законе дадут возможность Министерству внутренних дел Великобритании получать неограниченный доступ к зашифрованному контенту на устройствах пользователей или вовсе требовать отключения функций безопасности в приложениях, не извещая об этом конечного пользователя.
На фоне похожего законопроекта в марте этого года волну возмущений возглавили представители приватных мессенджеров вроде Signal и WhatsApp, а чуть позже в конце июня в рамках законопроекта «О безопасности в интернете» к протесту присоединилась компания из Купертино.
НеКасперский
😁20🔥5🤔5👎3🫡2❤1👍1
Завершение истории Storm-0558 и похищенного ключа
Китайская кибергруппа смогла использовать похищенный ключ подписи Microsoft для доступа к учетным записям Exchange Online и Azure Active Directory более чем двадцати организаций.
Атака затронула все приложения Azure AD, использующие OpenID v2.0. Похищенный ключ позволяет злоумышленникам подписывать любые токены доступа для личных учетных записей, таких как Xbox и Skype, и получать доступ к различным приложениям, включая Outlook, SharePoint, OneDrive, Teams.
В ответ на инцидент, Microsoft аннулировала все текущие ключи подписи MSA, чтобы предотвратить доступ злоумышленников к другим скомпрометированным данным.
НеКасперский
Китайская кибергруппа смогла использовать похищенный ключ подписи Microsoft для доступа к учетным записям Exchange Online и Azure Active Directory более чем двадцати организаций.
Атака затронула все приложения Azure AD, использующие OpenID v2.0. Похищенный ключ позволяет злоумышленникам подписывать любые токены доступа для личных учетных записей, таких как Xbox и Skype, и получать доступ к различным приложениям, включая Outlook, SharePoint, OneDrive, Teams.
В ответ на инцидент, Microsoft аннулировала все текущие ключи подписи MSA, чтобы предотвратить доступ злоумышленников к другим скомпрометированным данным.
НеКасперский
🫡13🔥8👍5❤1⚡1🤔1
Совпадение?
Еще помните хакеров, получивших доступ к почтовым аккаунтам высокопоставленных чиновников США и укравших тонну конфиденциальных данных?
Подробности взлома всё-же стали известны. Оказывается, мы уже рассказали о них вам вчера. Подозреваемая кибергруппа со связями в Пекине использовала украденный Storm-0558 криптографический ключ для создания поддельных токенов доступа и входа в почтовые ящики высокопоставленных лиц в правительстве США. Выяснилось, что именно федеральное агентство уведомило Microsoft об уязвимости.
Майки продолжают открещиваться от всех экспертных заключений извне и ссылается лишь на свой корпоративный публичный отчет, рекомендуя клиентам в кратчайшие сроки проверить свои среды с помощью опубликованных индикаторов компрометации.
НеКасперский
Еще помните хакеров, получивших доступ к почтовым аккаунтам высокопоставленных чиновников США и укравших тонну конфиденциальных данных?
Подробности взлома всё-же стали известны. Оказывается, мы уже рассказали о них вам вчера. Подозреваемая кибергруппа со связями в Пекине использовала украденный Storm-0558 криптографический ключ для создания поддельных токенов доступа и входа в почтовые ящики высокопоставленных лиц в правительстве США. Выяснилось, что именно федеральное агентство уведомило Microsoft об уязвимости.
Майки продолжают открещиваться от всех экспертных заключений извне и ссылается лишь на свой корпоративный публичный отчет, рекомендуя клиентам в кратчайшие сроки проверить свои среды с помощью опубликованных индикаторов компрометации.
НеКасперский
👍13🫡4❤1🔥1
Ah shit, here we go again
В Госдуме предложили ограничить способы регистрации на отечественных веб-сайтах до 4 возможных вариантов. Законопроект уже готовят ко второму чтению.
Поправки предполагают регистрацию по номеру телефона российского оператора, через Госуслуги или ЕБС. Identity-провайдером может выступить также иная информационная система, владельцем которой является гражданин РФ, либо российское юрлицо с иностранным владением менее 50%. Плюсом, использовать для регистрации разрешили исключительно российские почтовые домены.
РКН будет вести реестр всех хостинг-провайдеров, а они, в свою очередь, своевременно уведомлять орган о начале деятельности. В реестр попадут только компании с долей иностранного участия менее 50%, серверами в РФ и при условии готовности предоставления доступа госорганам для проведения оперативно-розыскных мероприятий.
Утечка персональных данных с Госуслуг через 3...2...1...
НеКасперский
В Госдуме предложили ограничить способы регистрации на отечественных веб-сайтах до 4 возможных вариантов. Законопроект уже готовят ко второму чтению.
Поправки предполагают регистрацию по номеру телефона российского оператора, через Госуслуги или ЕБС. Identity-провайдером может выступить также иная информационная система, владельцем которой является гражданин РФ, либо российское юрлицо с иностранным владением менее 50%. Плюсом, использовать для регистрации разрешили исключительно российские почтовые домены.
РКН будет вести реестр всех хостинг-провайдеров, а они, в свою очередь, своевременно уведомлять орган о начале деятельности. В реестр попадут только компании с долей иностранного участия менее 50%, серверами в РФ и при условии готовности предоставления доступа госорганам для проведения оперативно-розыскных мероприятий.
Утечка персональных данных с Госуслуг через 3...2...1...
НеКасперский
💩42👍21❤5🔥3😁2🤔2🤮2🤡2🤬1
This media is not supported in your browser
VIEW IN TELEGRAM
Уже совсем скоро
Оборотные штрафы. Итоговая версия законопроекта на днях была направлена на рассмотрение в Госдуму. В силу закон должен вступить в рамках поправок в действующий КоАП. До УК, как и предполагалось, возможные негативные последствия не дотянули.
В итоговом виде до Госдумы доберется законопроект, предполагающий штраф за первую допущенную утечку и зависящий исключительно от количества затронутых утечкой лиц:
• От 1 до 10 тыс. лиц – от 3 до 5 млн рублей
• От 10 до 100 тыс. лиц – от 5 до 10 млн рублей
• Более 100 тыс. лиц – от 10 до 15 млн рублей
За повторную утечку и уже при любом объеме компрометации виновные должны будут выплатить оборотный штраф от 0,1 до 3% выручки за календарный год, предшествующий нарушению или аналогичный кусок выручки за часть текущего года, но уже не менее ₽15 млн и не более ₽500 млн.
Помимо этого, в Министерстве кешбэков настаивают на введении системы компенсаций пострадавшим гражданам и акцентировали внимание на том, что не поддержат иного варианта законопроекта.
Оборотные штрафы. Итоговая версия законопроекта на днях была направлена на рассмотрение в Госдуму. В силу закон должен вступить в рамках поправок в действующий КоАП. До УК, как и предполагалось, возможные негативные последствия не дотянули.
В итоговом виде до Госдумы доберется законопроект, предполагающий штраф за первую допущенную утечку и зависящий исключительно от количества затронутых утечкой лиц:
• От 1 до 10 тыс. лиц – от 3 до 5 млн рублей
• От 10 до 100 тыс. лиц – от 5 до 10 млн рублей
• Более 100 тыс. лиц – от 10 до 15 млн рублей
За повторную утечку и уже при любом объеме компрометации виновные должны будут выплатить оборотный штраф от 0,1 до 3% выручки за календарный год, предшествующий нарушению или аналогичный кусок выручки за часть текущего года, но уже не менее ₽15 млн и не более ₽500 млн.
Помимо этого, в Министерстве кешбэков настаивают на введении системы компенсаций пострадавшим гражданам и акцентировали внимание на том, что не поддержат иного варианта законопроекта.
❤21🫡8👍7🔥3😁2😱2🤡2
В лагере красных неспокойно
Специалисты из Google обнаружили серьезную уязвимость в процессорах AMD Ryzen и EPYC. Злоумышленники могут похитить любые ваши данные, и вы ничего не сможете с этим сделать.
Уязвимость Zenbleed затрагивает процессоры с архитектурой Zen 2 начиная 3000 и заканчивая 5000 серией. В случае успешной эксплуатации хакер сможет извлекать порядка 30 кбит/сек каждого ядра процессора.
О самой уязвимости подробности пока не раскрываются, видимо в целях снижения риска эксплуатации. Представители красных были уведомлены об обнаружении дыры еще в мае, но ошибку успели устранить только в серверных EPYC 7002 Rome. Остальные камушки на Zen 2 обещают вылечить к концу года.
AMD-бои насторожились.
НеКасперский
Специалисты из Google обнаружили серьезную уязвимость в процессорах AMD Ryzen и EPYC. Злоумышленники могут похитить любые ваши данные, и вы ничего не сможете с этим сделать.
Уязвимость Zenbleed затрагивает процессоры с архитектурой Zen 2 начиная 3000 и заканчивая 5000 серией. В случае успешной эксплуатации хакер сможет извлекать порядка 30 кбит/сек каждого ядра процессора.
О самой уязвимости подробности пока не раскрываются, видимо в целях снижения риска эксплуатации. Представители красных были уведомлены об обнаружении дыры еще в мае, но ошибку успели устранить только в серверных EPYC 7002 Rome. Остальные камушки на Zen 2 обещают вылечить к концу года.
AMD-бои насторожились.
НеКасперский
🫡18😱8😁5👍2🔥2❤1
Темные уголки нейросетей
Хакеры теперь создают коммерческие версии чат-ботов без каких-либо ограничений.
В сети появился новый инструмент — FraudGPT, который представляет собой чат-бот, предназначенный для написания вредоносного кода, фишинговых писем и создания хакерских инструментов для кардинга.
Эксперты пока не определили конкретную языковую модель, используемую чат-ботом, но его функции понятны — он может самостоятельно искать утечки данных и уязвимости в софте, генерировать фишинговые письма и создавать вредоносные программы, ускользая от обнаружения средствами защиты.
Месячную подписку можно приобрести за 200$, а годовую за 1700$. Похожим образом не так давно нам пытались впарить хакерский инструмент Terminator. Тогда это было похоже на больше на скам, чего нельзя сказать о FraudGPT.
НеКасперский
Хакеры теперь создают коммерческие версии чат-ботов без каких-либо ограничений.
В сети появился новый инструмент — FraudGPT, который представляет собой чат-бот, предназначенный для написания вредоносного кода, фишинговых писем и создания хакерских инструментов для кардинга.
Эксперты пока не определили конкретную языковую модель, используемую чат-ботом, но его функции понятны — он может самостоятельно искать утечки данных и уязвимости в софте, генерировать фишинговые письма и создавать вредоносные программы, ускользая от обнаружения средствами защиты.
Месячную подписку можно приобрести за 200$, а годовую за 1700$. Похожим образом не так давно нам пытались впарить хакерский инструмент Terminator. Тогда это было похоже на больше на скам, чего нельзя сказать о FraudGPT.
НеКасперский
👍7🤔6⚡4🫡2
Смело
В РЖД планируют подключить биометрию для идентификации пассажиров.
Центр биометрических технологий (ЦБТ) проявил интерес к возможности использования ЕБС для подтверждения личности при посадке на поезд. В 2024 году планируется организовать верификацию пассажиров поездов дальнего следование. Предварительное тестирование начнут уже в первом квартале.
В ЦБТ отметили, что использование биометрии не должно быть обязательным, и существующие способы подтверждения личности должны быть сохранены. В Минцифры уверены, что биометрия повысит удобство и скорость идентификации пассажиров без предъявления паспорта.
Сама транспортная компания пока никаких толковых комментариев по инициативе не дали. Видимо, размышляют над мерами обеспечения безопасности применения технологии в контексте недавнего инцидента.
НеКасперский
В РЖД планируют подключить биометрию для идентификации пассажиров.
Центр биометрических технологий (ЦБТ) проявил интерес к возможности использования ЕБС для подтверждения личности при посадке на поезд. В 2024 году планируется организовать верификацию пассажиров поездов дальнего следование. Предварительное тестирование начнут уже в первом квартале.
В ЦБТ отметили, что использование биометрии не должно быть обязательным, и существующие способы подтверждения личности должны быть сохранены. В Минцифры уверены, что биометрия повысит удобство и скорость идентификации пассажиров без предъявления паспорта.
Сама транспортная компания пока никаких толковых комментариев по инициативе не дали. Видимо, размышляют над мерами обеспечения безопасности применения технологии в контексте недавнего инцидента.
НеКасперский
🤡39👍14🤬6😁5🤮3🫡3❤1😱1