Венгрия выпустила руководство по защите данных к коронавирусу
Руководство адресовано государственным и частным организациям, их сотрудникам и подрядчикам, а также клиентам.
Венгерское национальное управление по защите данных и свободе информации (Nemzeti Adatvedelmi es Informacioszabadsag Hatosag, NAIH) выпустило руководство по защите данных и COVID-19. Как отметили в NAIH, обрабатывающие личные данные в контексте усилий по предотвращению распространения COVID-19 организации должны соответствовать «Общему регламенту по защите данных» (General Data Protection Regulation, GDPR) и венгерскому закону о защите данных. Руководство адресовано государственным и частным организациям, их сотрудникам и подрядчикам, а также третьим сторонам (клиентам, посетителям):
1. Ограничение целей:
Сбор и обработка персональных данных могут считаться необходимыми только в том случае, если цель не может быть достигнута каким-либо другим способом, и в каждом случае необходимо оценить, существует ли менее агрессивное решение.
2. Минимизация данных и законность:
Если сбор персональных данных считается абсолютно необходимым, организация должна определить точное назначение и правовую основу этого. Сбор, обработка и хранение данных должны быть пропорциональны цели такой деятельности.
3. Прозрачность:
Организация должна предоставить субъекту данных информацию, требуемую согласно Статье 13 GDPR и Разделу 16 венгерского закона о защите данных. В таком случае она должна показать, что важность цели превышает важность прав личности.
4. Особые требования:
NAIH также определила ряд уникальных требований в нынешних условиях.
I. Обработка данных, связанных с занятостью:
Работодатели должны обеспечить безопасную рабочую среду, которая включает планирование и выполнение процедур защиты данных. В данных рамках работодатели обязаны: создать план обеспечения непрерывности бизнеса, включающий необходимые шаги для уменьшения распространения инфекции, оценку рисков для защиты данных, внутренние обязанности и соответствующие каналы связи; предоставить подробную информацию о коронавирусе и план действий в случае подозрения на инфекцию; при необходимости отменить или отложить деловые поездки и мероприятия, а также предоставить возможность работать из дома; предупредить сотрудников о том, что в интересах защиты своего здоровья и здоровья своих коллег они должны сообщать о любом предполагаемом контакте с коронавирусом и обращаться за медицинской помощью как можно скорее.
II. Поставщики медицинских услуг и медицинские работники:
Поставщики медицинских услуг и медицинские работники обязаны соблюдать применимые к ним правила защиты данных, в том числе обязанности в соответствии со статьей 6 (1) (c) GDPR и статьей 9 (2) (i) GDPR.
III. Обязанности сотрудников:
Сотрудники обязаны сотрудничать и информировать своих работодателей, если они знают о каком-либо риске заражения, который может повлиять на их рабочее место, их коллег или третьих лиц. Работник в этих случаях имеет право полагаться на свои права в соответствии с главой III GDPR, и работодатель должен обеспечить это.
IV Третьи стороны:
Работодатели должны удостовериться, что план обеспечения непрерывности бизнеса
включает расширенные проверки посетителей, оценку рисков защиты данных в связи с этим и предоставляет соответствующие каналы связи, а клиентам и посетителям предоставляется информация о коронавирусе.
5. Санкции:
Как отмечается в документе, нарушение законодательства о распространении инфекционных заболеваний является уголовным преступлением. В случаях намеренного заражения других людей полиция имеет право использовать записи видеонаблюдения в своих уголовных расследованиях.
Публикация руководства NAIH следует за публикацией аналогичных документов других регуляторов Европейской экономической зоны, в том числе Франции, Дании, Испании, Исландии, Ирландии, Италии, Люксембурга, Нидерландов, Норвегии, Польши, Словении, Словакии и Великобритании.
Атакована крупнейшая в Хорватии нефтяная компания
Киберпреступники атаковали крупнейшую в Хорватии нефтяную компанию INA Group. В ходе кибератаки злоумышленники, предположительно, использовали вымогательское ПО CLOP, зашифровавшее данные некоторых внутренних серверов компании, сообщило издание ZDNet.
Данный инцидент не затронул поставки бензина клиентам и не повлиял на работоспособность платежных систем компании. Однако в результате атаки компания не смогла выставлять счета-фактуры, фиксировать использование карт лояльности, выпускать новые мобильные ваучеры и новые электронные виньетки, а также принимать от клиентов оплату за топливо.
Хотя INA Group не раскрыла подробностей о том, какое вредоносное ПО использовалось в атаках, предполагается, что речь идет о вымогательском ПО CLOP. О причастности вымогателя свидетельствует несколько факторов. В частности, за несколько часов до того, как INA Group опубликовала заявление об инциденте, аналитик из компании Sophos сообщил о начале активности нового C&C-сервера, используемого в кибератаках CLOP. Кроме того, на этой неделе исследователи безопасности обнаружили новые версии вымогателя CLOP на сервисе VirusTotal.
Напомним, на этой неделе SecurityLab писал о кибер атаке на американского оператора газопровода, в результате которой его компьютерные сети были заражены вымогательским ПО. Злоумышленники использовали фишинговую ссылку для получения первоначального доступа к информационным компьютерным сетям организации, а затем нацелились на OT-сеть (Operational Technology).
Спамеры взломали поддомены Microsoft и публикуют рекламу
Исследователь безопасности и разработчик в NIC.gp. Микел Гаскет (Michel Gaschet) обнаружил у Microsoft серьезные проблемы с управлением тысячами своих поддоменов. По его словам, поддомены компании могут быть легко взломаны злоумышленниками и использоваться в атаках как на ее пользователей, так и на сотрудников.
В течение последних трех лет Гаскет неоднократно сообщал Microsoft о поддоменах с некорректными конфигурациями записей DNS, однако компания либо игнорировала его сообщения, либо «втихую» исправляла баги, но далеко не все. Так, в 2017 году исследователь уведомил о 21 уязвимом поддомене msn.com, а в 2019 году – еще о 142 поддоменах microsoft.com. По словам Гаскета, компания исправила конфигурации не более 5-10% поддоменов, о которых он сообщил.
До недавнего времени уязвимые поддомены не причиняли Microsoft никакого беспокойства. Тем не менее, сейчас, похоже, все изменилось. Исследователь выявил по крайней мере одну киберпреступную группу, взламывающую поддомены Microsoft с целью публикации на них спама. Как минимум на четырех поддоменах Гаскет обнаружил рекламу индонезийских online-казино (portal.ds.microsoft.com, perfect10.microsoft.com, ies.global.microsoft.com, и blog-ambassadors.microsoft.com).
По мнению исследователя, Microsoft не спешит с исправлением уязвимостей на своих поддоменах, поскольку это не входит в программу выплат вознаграждения за обнаруженные уязвимости. Проблема взлома поддоменов не является частью bug bounty и поэтому не в приоритете.
Уязвимость WhatsApp позволяет присоединиться к групповым чатам любому пользователю
Поисковая система Google индексирует приглашения в групповые чаты WhatsApp (включая ссылки на закрытые группы), в связи с чем они становятся видимыми и доступными для любого пользователя, желающего присоединиться к группе.
На проблему обратил внимание журналист Джордан Уилдон (Jordan Wildon). Он обнаружил, что функция WhatsApp «Пригласить в групповую ссылку» («Invite to Group link») позволяет Google индексировать подобные группы, делая их доступными в общем поиске в Сети, поскольку ссылки распространяются за пределы безопасного сервиса WhatsApp.
В ходе собственного расследования журналисты издания Motherboard смогли найти закрытые группы, используя конкретный поиск Google. В частности, им удалось присоединиться к группе, предназначенной для НГО, аккредитованных ООН, и получить доступ к списку всех 48 участников и их телефонным номерам.
При желании администраторы групп могут сделать ссылку на чат недействительной, однако, по словам Уилдона, в таких случаях WhatsApp только генерирует новую ссылку и не всегда отключает исходную.
Как пояснила представитель Facebook / WhatsApp Элисон Бонни (Alison Bonny), по аналогии со любым контентом, распространяемым по публичным каналам, если пригласительная ссылка размещена в общем доступе в интернете, ее может найти любой пользователь WhatsApp.
«Ссылки, которыми пользователи желают поделиться в частном порядке с доверенными людьми, не должны публиковаться на общедоступном сайте», — отметила Бонни.
Для критической уязвимости в Windows 10 доступен временный микропатч
Пока Microsoft решает проблему с обновлением KB4532693, предприятия, использующие Windows 10 (версии 1903 и 1909), вынуждены отложить установку патча, исправлявшего некоторые уязвимости. В частности, KB4532693 исправлял уязвимость нулевого дня в Internet Explorer 9/10/11 (CVE-2020-0674), позволяющую удаленно выполнить код и уже использующуюся злоумышленниками в реальных атаках.
К счастью, до выхода исправленной версии обновления пользователи могут установить временное исправление для CVE-2020-0674, доступное на платформе 0Patch. Исправление представляет собой микропатч – однобайтный код, исправляющий проблему в режиме реального времени и не требующий перезагрузки компьютера.
Микропатч не предназначался для 1903 и 1909, но в связи с проблемным обновлением KB4532693 был портирован и на эти версии. Изначально он был создан для Windows 7, Windows 10 1709/1803/1809, Windows Server 2008 R2 и Windows Server 2019. Теперь же установить его могут также пользователи 1903 и 1909.
Компания Microsoft уведомила своих пользователей об уязвимости CVE-2020-0674 в прошлом месяце. С ее помощью злоумышленник может вызвать повреждение памяти и выполнить произвольный код в контексте текущего пользователя. До выхода полноценного патча Microsoft выпустила временное исправление, которое, однако, вызывало проблемы с печатью у принтеров HP. Обновление KB4532693 должно было устранить все неисправности, но только вызвало дополнительные проблемы. После его установки пользователи стали жаловаться на исчезновение своих файлов.