Представляем обзор важных материалов по информационной безопасности за неделю:

  1. Жесткие диски с персональными банковскими данными примерно 29 тыс. работников Facebook были украдены из машины сотрудника бухгалтерского отдела компании. Незашифрованная информация об именах, номерах банковских счетов, четырех последних цифрах номеров социального страхования и сведения о зарплатах, бонусах содержалась на украденных носителях. О краже, которая произошла 17 ноября, интернет-гигант узнал 20 ноября и после этого начал расследование. Как сообщили представители компании, свидетельств злоупотребления украденной информацией не обнаружено, а в отношении виновного сотрудника применены дисциплинарные меры.
  2. Исследователи из компании-разработчика менеджера паролей NordPass и приложение NordVPN составили список популярных и при этом наиболее уязвимых паролей к брутфорс-атакам. Этот тип атак представляет собой автоматический перебор часто используемых паролей и задействование словарей для подбора слов. В отчете исследователей указаны 100 самых слабых паролей за 2019 год.
  3. Всего лишь 2% сливов персональных данных россиян происходит из-за IT-специалистов. Оставшиеся 98% происходят по вине сотрудников других подразделений российских банков и компаний. При этом по объему украденной информации на утечки через сотрудников IT-подразделений приходится 25-30%.
  4. Резолюцию для выработки новой конвенции по борьбе с киберпреступлениями вынесла Россия на рассмотрение Генассамблеи ООН. 16 декабря об этом рассказал спецпредставитель президента России по вопросам международного сотрудничества в сфере информационной безопасности Андрей Крутских. Как сообщает информагентство ТАСС, документ получил одобрение Третьего комитета и в скором времени он будет рассмотрен Генассамблеей. В резолюции предлагается учредить под эгидой ООН комитет по созданию глобальной конвенции по борьбе с киберпреступностью.
  5. Клаудио Гуарнери, исследователь безопасности из международной правозащитной организации Amnesty International, опубликовал 25 ГБ данных о 100 тыс. фишинговых атак. Он отслеживал мошеннические атаки почти 10 лет. Как сообщил специалист, в опубликованном архиве содержатся сведения об HTML-страницах, скриншоты мошеннических сайтов и база данных фишинговых URL-адресов.
  6. Владимир Путин подписал закон об постепенном переходе на электронные трудовые книжки. Изменения вступят в силу в начале 2020 г., с января 2021 г. окончательно перестанут выдавать бумажные трудовые книжки.
  7. В военных округах в 2020 году будут созданы специальные центры по борьбе с кибератаками, которые будут предназначены для предотвращения несанкционированного доступа к сетям и защиты от вредоносного ПО. Киберцентры будут объединены в глобальную систему информационной защиты и будут защищать поступающий из сетей гражданских операторов и из «военного интернета» трафик Минобороны.
  8. Российские банки должны будут регулярно проходить стресс-тестирование на устойчивость к киберугрозам раз в два года, начиная со второй половины 2020 года. «Пока мы не «зашиваем» требования по кибербезопасности в стресс-тестирование. Но это произойдет в 2020 году, мы готовим изменения в нормативную базу, связанную с регулированием киберриска, который, как вы знаете, относится к операционным рискам. Ожидается, что к середине следующего года Банк России начнет проводить киберучения, то есть включать в стресс-тестирование банков элементы кибербезопасности», — объявил заместитель председателя Банка России Василий Поздышев.
  9. Достоверность слитых в Сеть данных платежных карт проверяется в течение двух часов. Об этом говорит статистика, предоставленная специалистом компании ThreatPipes Дэвидом Гринвудом. Он купил предоплаченную карту VISA и попытался продать платежную информацию на площадках дарквеба. Однако у него это не вышло. «К сожалению, вы не можете просто взять и продать такого рода информацию в дарквебе. Сначала вам необходимо заработать соответствующую репутацию», — сообщил специалист. Поэтому он решил предложить платежную информацию карты бесплатно и поместил данные карты в набор из поддельных данных. По прошествии двух часов Гринвуд зафиксировал микроплатеж, который предназначен для проверки валидности данных. Как правило, такие тесты выполняются ботами.
  10. Центробанк собирается добавить в свою Систему быстрых платежей бесконтактную оплату с помощью смартфона. Оплата будет происходить по технологии NFC, как в Apple Pay, Google Pay, Samsung Pay, а также как при бесконтактной оплате банковскими картами.
  11. Затяжной конфликт руководства и совладельцев хостинг-провайдера «Айхор хостинг» привел к отключению ЦОДа, заблокировав работу десятков тысяч сайтов компаний и госструктур. В обращении к клиентам на сайте хостинг-провайдера от 17 декабря сообщается, что ЦОД отключен и услуги компании все еще недоступны.
  12. Ассоциация участников рынка электронных денег и денежных переводов, Qiwi, WebMoney, «Яндекс. Деньги», и РНКО «Единая касса» выступили с предложением упростить идентификацию владельцев электронных кошельков. Как считают участники рынка, последние поправки в законодательство негативно влияют на развитие рынка. «Операторы электронных денег и экспертное сообщество неоднократно выражали недоумение по поводу скорости принятия и строгости этих мер: неперсонифицированные кошельки и раньше были непригодны для p2p-переводов и обнала. При этом принятые меры сильно сужают полезный функционал, делая их в значительной степени бесполезными», — сообщается в обращении операторов.
  13. Были изменены требования к офисному мобильному ПО, для его внесения в Реестр российского ПО. В соответствии с приказом Минкомсвязи теперь ПО для попадания в Реестр должно быть совместимо с российской мобильной ОС, а не с iOS и Android, как было раньше.
  14. Facebook отслеживает местоположение своих пользователей даже при отключенных GPS-службах. Как объяснила компания в своем ответном письме американским сенаторам Джошу Коули и Крису Кунсу, это требуется для показа таргетированной рекламы, т.к. реклама показывается с учетом города или более крупного региона, в котором находится пользователь. Как считает сенатор Хоули, в этой ситуации у пользователей нет контроля над персональной информацией, поэтому Конгресс США обязан принять соответствующие меры.
  15. В России появится в составе Главного следственного управления отдел по расследованию киберпреступлений и преступлений в сфере высоких технологий. Соответствующий приказ подписал председатель Следственного комитета России Александр Бастрыкин. Решение было принято в связи с увеличением количества киберпреступлений в России в последние годы.

Обзор по ИБ подготовлен кандидатом в члены НАМИБ  Е.Царевым.

Print Friendly, PDF & Email

Добавить комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.