Szeretettel köszöntelek a Linux klub közösségi oldalán!
Csatlakozz te is közösségünkhöz és máris hozzáférhetsz és hozzászólhatsz a tartalmakhoz, beszélgethetsz a többiekkel, feltölthetsz, fórumozhatsz, hírt küldhetsz be, stb.
Ezt találod a közösségünkben:
Üdvözlettel,
M Imre
Linux klub vezetője
Amennyiben már tag vagy a Networkön, lépj be itt:
Szeretettel köszöntelek a Linux klub közösségi oldalán!
Csatlakozz te is közösségünkhöz és máris hozzáférhetsz és hozzászólhatsz a tartalmakhoz, beszélgethetsz a többiekkel, feltölthetsz, fórumozhatsz, hírt küldhetsz be, stb.
Ezt találod a közösségünkben:
Üdvözlettel,
M Imre
Linux klub vezetője
Amennyiben már tag vagy a Networkön, lépj be itt:
Szeretettel köszöntelek a Linux klub közösségi oldalán!
Csatlakozz te is közösségünkhöz és máris hozzáférhetsz és hozzászólhatsz a tartalmakhoz, beszélgethetsz a többiekkel, feltölthetsz, fórumozhatsz, hírt küldhetsz be, stb.
Ezt találod a közösségünkben:
Üdvözlettel,
M Imre
Linux klub vezetője
Amennyiben már tag vagy a Networkön, lépj be itt:
Szeretettel köszöntelek a Linux klub közösségi oldalán!
Csatlakozz te is közösségünkhöz és máris hozzáférhetsz és hozzászólhatsz a tartalmakhoz, beszélgethetsz a többiekkel, feltölthetsz, fórumozhatsz, hírt küldhetsz be, stb.
Ezt találod a közösségünkben:
Üdvözlettel,
M Imre
Linux klub vezetője
Amennyiben már tag vagy a Networkön, lépj be itt:
Kis türelmet...
Bejelentkezés
Ezt a témát M Imre indította 7 hónapja
Várhatóan 2020-ban lép hatályba a GDPR-t kiegészítő ePrivacy rendelet, mely az elektronikus hírközlési adatvédelmi irányelvet felváltó, új európai uniós szabályozás. Elsődleges célja az elektronikus kommunikáció és az azzal kapcsolatban keletkezett adatok védelme, ami a felhasználók szempontjából örvendetes hír, azonban a szolgáltatók részéről még talán a GDPR-nál is nagyobb energia befektetést kíván. Nem csoda, ha a bevezetése már most nagy hullámokat ver világszerte.
Míg a GDPR általános adatvédelmi szabályokat, alapelveket fogalmaz meg, addig az ePrivacy részletes szabályokat tartalmaz az email-ek, sms-ek, chat- és üzenetküldő szolgáltatások, metaadatok, cookie-k, spamek, direkt marketing szolgáltatások, illetve a végeszközön tárolt adatok tekintetében. Talán a legjelentősebb változás a metaadatok, illetve a sütik (cookie-k) körében várható, hiszen a metaadatokat az új szabályok értelmében úgy kell kezelni, mintha azok különleges személyes adatok lennének, illetve sütik használata is csak a felhasználó aktív beleegyezésével történhet.
A szabályozás újdonsága az is, hogy - a GDPR-hoz hasonlóan - nem tesz különbséget aszerint, hogy hol van a szolgáltató székhelye, mindenkire érvényes, aki az EU területén szolgáltatást nyújt. Fontos változás még, hogy az érintettek számára valós alternatívát kell felkínálni az adatkezelésben, ami a gyakorlatban annyit tesz, hogy nem tagadható meg a szolgáltatás azoktól, akik nem járulnak hozzá saját adataik teljeskörű felhasználásához. Ezekből a példákból is látszik, hogy a tervezett szabályok nagyban szűkítik a szolgáltatók mozgásterét az adatok felhasználása körében, arról nem is beszélve, hogy az adatok nem megfelelő kezelése esetén a bírságok is a GDPR-ban foglaltakhoz igazodnak, vagyis 20 millió euróig vagy a vállalat éves bevételének 4 százalékáig terjedhetnek. Az elszámoltathatóság elvéből következően itt is az adatkezelőnek kell bizonyítania, hogy mindent megtett az adatok rendeltetésszerű használata és védelme érdekében.
http://netpolgar.network.hu/blog/netpolgar_avagy_digitalis_irastudo_klub_hirei/varhatoan-2020-ban-lep-hatalyba-a-gdpr-t-kiegeszito-e-privacy-rendelet
Hozzászólások eddig: 14
M Imre üzente 1 napja
55 ezer személyes adat, magyar diákok, tanárok és az Oktatási Hivatal dolgozóinak információi szivároghattak ki | 2025. március 27.
Csütörtökön meghackelték az Oktatási Hivatal Tehetségkapu nevű lebonyolító oldalát és megszerezték a felhasználók adatait. Az 55 ezer bejegyzésből álló listát aztán közzétették, az szabadon elérhető az interneten. Az Oktatási Hivatal elismerte, hogy támadás érte a rendszerüket és a hatósághoz fordultak.
Úgy tudjuk, először szerda délután tűnt fel az adatbázis egy erre szakosodott csoport körében. A hackerek egy beépülő alkalmazás sérülékenységét kihasználva fértek hozzá a magyar diákok, tanárok adatait tartalmazó rendszerhez és pár óra alatt letöltötték azt. Aztán az egészet kitették egy adatszivárgásokat gyűjtő fórum felületére.
Az adatbázis a 74202-es azonosítóig tart, de 55 ezer bejegyzést tartalmaz, így valószínűleg nem a teljes listát szerezték meg. Az Oktatási Hivatal csütörtök esti közleményében azt írta, „jelszó vagy egyéb személyes adat nem került ki a rendszerből”. Jelszavakat valóban nem tartalmaz a lista, de tartalmazza a felhasználók nevét, emailcímét, az oldalon használt azonosítójukat és a fiókjuk sorszámát. Ezek nem csak hogy személyes adatok, maga az Oktatási Hivatal is kitért ezeknek az adatoknak az érzékenységére a Tehetségkapuhoz tartozó Adatkezelési Tájékoztatóban. Ebben azt írták: „Sem a felhasználónév, sem az e-mail cím esetében nem szükséges, hogy személyes adatot tartalmazzon, így például az Ön nevét. Felhasználónevet Ön szabadon választ, azonban tekintettel arra, hogy felhasználónevét a nem belépett felhasználók is láthatják, a lehetséges beazonosítás elkerülése érdekében javasoljuk, hogy olyan felhasználónevet válasszon, mely az Ön kilétére utaló információt nem tartalmaz.” A listát átböngészve azonban abban valós neveknek tűnő bejegyzések, valós emailcímnek tűnő adatok és az Oktatási Hivatal dolgozóinak esetében hivatali emailcímek szerepelnek.
https://444.hu/2025/03/27/55-ezer-szemelyes-adat-magyar-diakok-tanarok-es-az-oktatasi-hivatal-dolgozoinak-informacioi-szivaroghattak-ki
___
Hogyan kompomittálhatták a rendszert?
A rendszerbe történt jogosulatlan hozzáférés módjáról maga a közzétevő osztott meg részleteket. Állítása szerint az egyik háttérrendszeri API-végpontnál nem valósult meg a megfelelő jogosultsági ellenőrzés: egy újonnan létrehozott hitelesítési tokennel bármely felhasználó adatai lekérdezhetők voltak, pusztán azonosító (user ID) alapján.
Részlet a közzétevőhöz tartozó profil publikus thread-jéből
A hibát a támadás óta kijavították az adatokat kiszivárogtató állítása alapján, aki - bevallása szerint - egyben a rendszer kompromittálója is.
Bár hivatalos megerősítés ezzel kapcsolatban nem történt, a leírás technikailag reális és rávilágít arra, hogy egyetlen szerepkör-ellenőrzési hiányosság is elegendő lehet a felhasználói adatok tömeges kinyeréséhez.
A kiszivárgott adatok
A kiszivárgott adatállomány egyértelműen (mint azt az Oktatási Hivatal is elismerte) a Tehetségkapu rendszer egyik központi adatbázisából származnak, amely a regisztrált felhasználók alapadatait tartalmazza. Az adatszivárgás több mint 55 ezer felhasználói rekordot érint, a közzétett állományban a következő mezők szerepelnek:
-- Felhasználónév
-- E-mail cím
-- Teljes név
-- Egyedi, növekményesen generált felhasználói azonosító (ID)
Felhasználói azonosítók és adatstruktúra
A közzétett rekordokban minden felhasználóhoz egy egyedi azonosító – úgynevezett felhasználói ID – tartozik. A legnagyobb azonosító értéke 72 ezer feletti, miközben az összes rekord száma ennél jóval kevesebb, nem sokkal több mint 55 ezer. Ez első ránézésre hiányos adatbázisra utalhat, de a kiszivárogtató szerint a teljes adatbázishoz hozzáfért és a különbség abból fakad, hogy időközben több felhasználói fiók törlésre került. Mivel az ID-k automatikusan sorszámozva jönnek létre, a törölt felhasználók helyei „lyukként” jelennek meg a számozásban.
E-mail címek és domain-minták
Az e-mail címek nagy többsége technikailag érvényes domaint tartalmaz, de néhány száz esetben formailag hibás bejegyzések is előfordulnak. A leggyakoribb végződések között megtalálhatók a nagy-, illetve a magyar felhasználók körében gyakran használt levelezőszolgáltatók (gmail.com, freemail.hu, citromail.hu), valamint számos intézményi és kormányzati domain, köztük gov.hu-s címek is. Ezek közül az Oktatási Hivatalhoz tartozó oh.gov.hu domain különösen gyakori.
Azonosíthatóságot növelő mintázatok
A kiszivárgott adatbázis részletes elemzése számos olyan mintázatra világított rá, amelyek tovább növelik a visszaélés lehetőségét – különösen, ha az adatok célzott támadásokhoz kerülnek felhasználásra.
Név-alapú e-mail címek aránya
Az adatok alapján több mint 16 000 felhasználó – a teljes állomány közel 30%-a – olyan e-mail címet adott meg, amely egyértelműen a saját nevére utal, például a vezeteknev.keresztnev@domain.hu formátumot követve.
Intézményi e-mail címek: gov.hu és oktatási domainek
A név-alapú e-mail címek közül:
-- Több mint 260 tartozik gov.hu végződésű, kormányzati szintű címhez,
-- Több mint 1 800 esetben pedig oktatási vagy közintézményi domain szerepel, például .edu.hu, .suli.hu, .iskola.hu, .klik.hu.
Ez megerősíti, hogy a személyes és intézményi szintű azonosíthatóság gyakran kéz a kézben jár és a rendszerbe történő regisztráció során nem történt meg a kellő szeparáció a privát és hivatalos használat között.
Felhasználónév és teljes név egyezése
A rekordok mintegy 2%-ában a felhasználónév és a megadott teljes név egyértelműen kapcsolódik egymáshoz – azaz ugyanazt vagy annak felismerhető változatát tartalmazzák. Ez alátámasztja, hogy sok esetben nem történt meg az ajánlott „anonimizálás” és a felhasználók – akár tudatos döntés, akár tájékozatlanság nyomán – nyílt azonosíthatósággal hozták létre fiókjukat.
Mindez a Tehetségkapu tájékoztatójában szereplők ellenére:
”Sem a felhasználónév, sem az e-mail cím esetében nem szükséges, hogy személyes adatot tartalmazzon, így például az Ön nevét. Felhasználónevet Ön szabadon választ, azonban tekintettel arra, hogy felhasználónevét a nem belépett felhasználók is láthatják, a lehetséges beazonosítás elkerülése érdekében javasoljuk, hogy olyan felhasználónevet válasszon, mely az Ön kilétére utaló információt nem tartalmaz.”
Adatvédelmi tudatosság hiánya
A Tehetségkapu adatkezelési tájékoztatója világosan javasolta, hogy a felhasználónév ne tartalmazzon azonosításra alkalmas információt, mivel az mások számára is látható lehet. A kiszivárgott adatok alapján azonban sokan nem éltek ezzel a lehetőséggel – vagy nem érdekelte őket, de nagyob a valószínűsége, hogy inkább azért, mert nem ismerték a kockázatokat, vagy mert nem kaptak kellő támogatást azok megértéséhez.
Társadalmi és intézményi kitettség
A kiszivárgott adatok alapján a Tehetségkapu felhasználói között elsősorban diákok, kisebb arányban pedagógusok, közalkalmazottak és más oktatási intézményekhez köthető szereplők találhatók. A rendszer célcsoportjából következik, hogy a felhasználók nagy része 18 év alatti lehetett a regisztráció idején, ami adatvédelmi és etikai szempontból is különös súlyt ad az incidensnek.
Intézményi e-mail címek és hivatalos kitettség
A kiszivárgott állományban több száz olyan e-mail cím szerepel, amely hivatalos, intézményi domainhez tartozik, köztük gov.hu végződésűek is. Ezek közül az oh.gov.hu – az Oktatási Hivatal saját levelezési címtartománya – különösen gyakori. A hivatalos e-mail címek jelenléte azt jelzi, hogy az Oktatási Hivatal és más állami szervek munkatársainak adatai is kikerülhettek, így az incidens nemcsak adatvédelmi, hanem intézményi bizalomvesztési kockázatot is hordoz.
A kormányzati címek jellemzően névformátum alapján képződnek (pl. vezeteknev.keresztnev@domain.hu), így a személyazonosítás sok esetben közvetlenül lehetséges. Ez nemcsak az adott személyeket, hanem az általuk képviselt intézményeket is célkeresztbe állíthatja.
A digitális infrastruktúra kritikája
A Tehetségkapu működésével kapcsolatban már korábban is felmerültek súlyos aggályok.
-- 2022-ben a Telex számolt be róla, hogy az országos kompetenciamérés digitális tesztelése során a rendszer nem működött megfelelően, a belépés és a feladatok elérése sok diák számára ellehetetlenült.
-- Egy hónappal később hivatalosan is megerősítették, hogy a portált terheléses támadás érte.
-- A Jelen című lap kapcsolódó cikkében kiemelte a rendszer átláthatósági és technikai hiányosságait, valamint a digitális átállás előkészítetlenségét.
Ezek a korábbi események már jelezték, hogy a Tehetségkapu nem rendelkezik stabil technikai és bizalmi háttérrel, amely megalapozná a központi oktatási funkciók ellátását. Az adatszivárgás nem önálló jelenségként, hanem egy hosszabb ideje tapasztalható működési bizonytalanság tüneteként is értelmezhető.
https://www.cyberthreat.report/p/kiszivarogtattak-a-kompetenciameres
M Imre üzente 1 napja
A közösségi média és a dezinformáció Magyarországon
Feldolgozott részlet az "Árnyékban formált vélemények: Az orosz befolyásolás rejtett hálózata" nagy elemzésből (videó)
Ferenc Frész | Mar 15, 2025
A közösségi média ma a magyar lakosság egyik fő hírforrása, ami egyszerre jelent lehetőséget és veszélyt. A 2024–2025-ös időszak platformhasználati trendjei azt mutatják, hogy a magyarok információfogyasztása tovább tolódik az online terek felé, különösen a fiatalabb generációknál. Facebook, YouTube, Instagram és egyre inkább TikTok – ezek azok a felületek, ahol a legtöbben találkoznak hírekkel, véleményekkel. Ez azért fontos, mert a dezinformáció terjesztői is jelen vannak ezeken a platformokon, ahol a felhasználók figyelme megoszlik a magánjellegű és a hírjellegű tartalmak között, ennek következtében kevésbé kritikusak.
Magyarországon a közösségi médiában megjelenő dezinformációk több csatornán keresztül is terjedhetnek. Ezek egyrészt olyan tartalmak, amelyek a hazai médiatér narratíváiban is megjelenhetnek – különösen, ha azok visszhangozzák az általánosan elterjedt nemzetközi álhírek egyes elemeit, vagy ha bizonyos narratívák kevésbé kerülnek árnyalt bemutatásra. Másrészt a közösségi médiában közvetlenül is jelen vannak olyan magyar nyelvű oldalak és csoportok, amelyek tartalmaikban oroszpárti narratívákat közvetítenek. E csoportok tevékenységei gyakran a nyilvánosság kevésbé szabályozott rétegeiben, zárt közösségekben, illetve alternatív platformokon jelennek meg.
https://www.cyberthreat.report/p/a-kozossegi-media-es-a-dezinformacio
A teljes anyag itt olvasható:
https://www.cyberthreat.report/p/arnyekban-formalt-velemenyek-az-orosz
M Imre üzente 1 napja
Csak óvatosan a böngészőbe épülő digitális asszisztensekkel | 2025.03.25.
Közös amerikai és európai egyetemi kutatás világított rá arra, milyen sok érzékeny információt porszívóznak fel a generatív algoritmusok könnyű használatának ígéretével kecsegtető beépülő modulok.
A böngészőnket különböző extra funkciókkal felvértező bővítményekkel kapcsolatban eddig sem ártott a fokozott óvatosság, mivel a rendszer adatbiztonsági szempontból messze nem tekinthető betonbiztosnak. Egy kontinenseken átívelő kutatási projekt előzetes eredményei azt mutatják, a böngészőkbe "szerelhető" különböző MI-asszisztensek esetében is van mitől tartani.
Az egyesült államokbeli, brit, olasz és spanyol egyetemekről összeálló csapat 10 olyan Chrome-bővítmény működését vizsgálta, amelyek a generatív algoritmusok képességeit csomagolják egy böngészés közben könnyen elérhető funkcióba (például egy oldal tartalmáról készíthető velük egy kattintásra összefoglaló). Azonban bármennyire is praktikusnak tűnnek ezek a megoldások, azzal mindenképpen érdemes tisztában lenni, milyen mennyiségű személyes adat kerülhet így a felhasználótól távoli szerverekre, ahol aztán ki tudja, mi történik velük.
A forgalomelemző eszközök segítségével górcső alá vett programok között volt a Sider, a Monica, a ChatGPT for Google, a Merlin, a MaxAI, a Perplexity, a HARPA, a Wiseone, a TinaMind és a Copilot. Az ismerős nevek ellenére ezek a bővítmények nem köthetők közvetlenül például az OpenAI-hoz vagy a Microsofthoz, hiszen utóbbiak (és más fejlesztők) nagy nyelvi modelljeit jellemzően csak áttételesen, szolgáltatásként veszik igénybe a bővítmények készítői.
A vizsgálati eredmények alapján általánosan elmondható, hogy ezek a kiegészítők nagyon extenzív adatporszívózást végeznek, ami egyes esetekben még a saját maguk által megfogalmazott felhasználási feltételekkel is ellentétben állnak, hogy a különböző régiókban érvényes szabályozási keretrendszerekről már ne is beszéljünk.
https://bitport.hu/csak-ovatosan-a-bongeszobe-epulo-digitalis-asszisztensekkel
M Imre üzente 3 hete
A Veszprém vármegyei rendőrök - az online csalás megelőzése érdekében - egy tapolcai vállalat munkatársainak tartottak előadást és hívták fel a figyelmet a veszélyekre.
https://www.facebook.com/watch/?v=629411190038119
Bővebb információkat a kiberpajzs oldalon tudhatsz meg.
https://kiberpajzs.hu/
M Imre üzente 1 hónapja
Csalók támadásba kezdtek a magyar neten, figyelmeztetést adott ki az egyik legnagyobb webtárhely | 2025. február. 21
E-mailes adathalászkampány indult csütörtökön a Rackhost domainregisztrátor és szerverhosting-szolgáltató nevében.
„Szeretnénk felhívni figyelmüket, hogy 2025. 02. 20-án és 2025. 02. 21-én a Rackhost Zrt. nevével visszaélve tömegesen kerültek kiküldésre gyanús adathalászlevelek szervezetünktől teljesen független e-mail-címekről” – közölte pénteken a magyar tulajdonban működő Rackhost.
A szegedi vállalkozás főleg webtárhely-szolgáltatással és domainnevek regisztrációjával foglalkozik. A cég nevében kiküldött e-mailekben a csalók azt kérik, hogy a felhasználók egy gombra kattintva végezzék el a lejáró domainjeik megújítását. Aki a gombra kattint, az azonban nem a Rackhost felületére jut, hanem a bűnözők által üzemeltetett, személyes és adott esetben banki adatokat is ellopó kamuoldalra.
A Rackhost mindenkit arra kér, semmiképpen se kattintson az üzenetben megjelölt gombra, illetve ne adjon meg semmilyen adatot.
https://hvg.hu/tudomany/20250221_rackhost-adathalasz-tamadas-emailek-csalas
http://szamitastechnika.network.hu/blog/szamitastechnika-klub-hirei/az-internetes-csalasok-fajtai-es-a-javasolt-vedekezes-lehetosegei
M Imre üzente 2 hónapja
Makay József: Többen is megkerestek, hogy mi a véleményem az egyik politikai párt által ajánlott Session üzenetküldő biztonságáról és hogy megéri-e lecserélni a Signalt. Nos, a kérdés találóbb nem is lehetne, ugyanis a Session a Signal alapjait másolta (forkolta) le. Viszont míg a Signal esetében a felhasználókat a telefonszámuk azonosítja (amit elfedhetnek felhasználónévvel), addig a Session egy 66 karakteres, random generált karakterláncot használ erre, bejelentkezni pedig az első belépésnél kapott, szintén random generált, 13 szavas jelmondattal lehet – az app nem kér semmilyen egyéb információt, csak ezt a jelmondatot. Ez egy meglehetősen szokatlan megvalósítása az autentikációnak, de mivel a Signallal ellentétben itt nemcsak titkosított kommunikációról beszélünk, hanem valóban anonim (ráadásul decentralizált) kommunikációról is, a hagyományos megoldások itt nem működhetnek. Az előzetes statikus vizsgálatok nem mutattak ki súlyos dolgokat, a dinamikusak pedig még folyamatban vannak, de első ránézésre és más független szakértők vizsgálatai alapján nem tűnik rossznak.
https://getsession.org/
https://www.facebook.com/makayjozsef
M Imre üzente 3 hónapja
Ülsz az autóban és lehallgathatnak? Súlyos hibákat találtak Škodák és Volkswagenek fedélzeti rendszerében | 2024. december 29.
Tizenkét biztonsági rést azonosítottak a Volkswagen-csoport 2020 után gyártott típusaiban megtalálható MIB3 (Modulare Infotainment-Baukasten) infotainment rendszerében, a járműiparra szakosodott PCAutomotive kiberbiztonsági cég szakértői. Az etikus hackerek a Black Hat Europe című decemberi konferencián mutatták be kutatásuk eredményét. A Techcrunch cikke alapján a feltárt problémák aggasztóak lehetnek azok számára, akik az utóbbi években használták a német autógyártó korszerűbb típusait, szinkronizálták vele mobiltelefonjukat, esetleg bizalmas beszélgetéseket folytattak az utastérben.
Mint kiderült, az érintett autók bluetooth-egységén keresztül a fedélzeti multimédia rendszerhez csatlakozva nemcsak felvételeket lehetett készíteni a bent ülők közt zajló beszélgetésekről az utastérben található mikrofonokon keresztül, de megfelelő szaktudással le lehetett másolni az MIB3-rendszerrel párosított mobiltelefonok hívás- és kontaktlistáját is.
A PCAutomotive jelentette a problémát a Volkswagen-konszernnek, amely szoftverfrissítéssel gondoskodott a biztonsági rések megszüntetéséről. A Škoda Techcrunch-nak adott nyilatkozatában azt állította, hogy soha nem volt veszélyben az ügyfelek, illetve autóik biztonsága, amit a teljes életcikluson át tartó rendszeres szoftverfrissítések is garantálnak.
https://telex.hu/techtud/2024/12/29/volkswagen-infotainment-skoda-adatlopas-adatvedelem-hacker-mib3
M Imre üzente 3 hónapja
A szerb titkosszolgálat egy megbuherált izraeli szoftverrel figyelt meg újságírókat | 2024.12.16.
Állítólag egy telefonok feloldására szolgáló szoftvert "okosítottak fel", hogy alkalmas legyen mobil eszközökön keresztül történő megfigyelésekre.
Zárolt telefonok feloldására használható szoftverrel figyeltek meg szerb újságírókat és aktivistákat, állítja az Amnesty International egy friss jelentése. A szerb hatóságok az izraeli Cellebrite kiberbiztonsági cég egy olyan szoftvercsomagját, a Cellebrite UFED-t használták erre, amellyel a hatóságok nyomozási céllal hozzáférhetnek zárolt telefonok tartalmához. A szoftverrel, amelyet többek között az FBI is használ, állítólag a legújabb androidos és iPhone-modelleket is fel lehet törni.
A nyilvánosságra hozott értesülések alapján a szerb hatóságoknak sikerült úgy átalakítani a szoftvert, hogy az kémprogramként használható. Belefejlesztették például a Qualcomm csipkészlettel szerelt készülékek egy nulladik napi sebezhetőségének kihasználását. (A biztonsági rést azóta azonosították, és van hozzá javítás is.)
Az Amnesty International jelentésében NoviSpy néven emleget szoftver technikailag kevésbé fejlett, mint például a magyar újságírók és üzletemberek telefonján is felbukkanó Pegasus, de sokféle érzékeny adatot lehet kinyerni távolról a céleszközökről – pl. képernyőképeket készít, illetve lelopja a kapcsolatlistát –, sőt be lehetett kapcsolni vele távolról a mikrofont és a kamerát.
Sokszor a rendőrségen telepítették
Egy szerb független oknyomozó újságíró, Slaviša Milanov névvel-fotóval is vállalta a sztoriját. Idén februárban a rendőrség ittas vezetés gyanújával vitte be alkoholtesztre. Ám telefonját le kellett adnia. Bár kikapcsolta, szabadon engedése után észrevette, hogy a telefonjával babráltak. Az Amnesty International forensic laborjában átvizsgálták a készüléket, és kiderült, hogy azt valóban feltörték a Cellebrite UFED-jének segítségével, majd telepítették rá a NoviSpy szoftvert.
A vádakra a szerb hatóságok egyelőre nem reagáltak. A Cellebrite kommunikációs vezetője, David Gee azt nyilatkozta a Reutersnek, hogy vizsgálják az Amnesty állításait. Ha beigazolódik az NGO állítása, az felvetheti a Cellebrite végfelhasználói licencszerződésének megsértését, ami a technológia használatának felfüggesztésével járna. A cég már felvette a kapcsolat a szerb illetékesekkel.
A szoftverhez egyébként a szerb állam paradox módon egy olyan norvég támogatási csomag részeként jutott, amelynek célja, hogy Szerbia megfeleljen az EU-s integráció követelményeinek.
https://bitport.hu/a-szerb-titkosszolgalat-egy-megbuheralt-izraeli-szoftverrel-figyelt-meg-ujsagirokat
M Imre üzente 3 hónapja
Elfogadták a kiberbiztonságról szóló törvényjavaslatot | 2024. december 19.
A parlament elfogadta a kiberbiztonsági szabályozás új keretrendszerét, a Magyarország kiberbiztonságáról szóló törvényt, ami még nem tartalmazza azokat a szabályokat, melyeket később rendeletekben állapítanak majd meg.
https://kormany.hu/dokumentumtar/magyarorszag-kiberbiztonsagarol-szolo-torveny-vegrehajtasi-kormanyrendelete
Az Országgyűlés december 17-én fogadta el a „Magyarország kiberbiztonságáról” címet viselő törvényjavaslatot, ami a hazai kiberbiztonsági szabályozás új keretrendszereként fog szolgálni a jövőben. A várhatóan január elsején hatályba lépő törvény célja az Európai Unió NIS2 irányelvének teljesebb körű átültetése a nemzeti jogba, illetve a kiberbiztonságra vonatkozó alapvető jogszabályok egységesítése egyetlen jogszabályban. A törvény a NIS2 mintájára kategorizálja a magyar kiberbiztonsági jogszabályok hatálya alá tartozó szervezeteket. Ez alapján az érintett vállalatok – méretüktől függően, illetve ha az általuk nyújtott szolgáltatás alapján alapvető vagy fontos szervezeteknek minősülhetnek.
A 2023-ban hatályba lépett NIS2 (Network and Information Security Directive) a 2016-os változat hiányosságait korrigálva igyekszik új alapokra helyezni a nemzetközösség informatikai védvonalait. Az október 18-tól kötelező érvénnyel alkalmazandó irányelv egyik legfontosabb velejárója, hogy a korábbiakhoz képest nagyjából 15-ször annyi entitásra terjed ki a hatálya, mely komoly hatást gyakorol az érintett cégek, főként a magánvállalkozások működésére. A kiberbiztonsági törvény átfogó keretrendszert teremt, de nem tartalmaz minden szabályt – a részleteket a törvény alapján kiadott kormány-, miniszteri és SZTFH elnöki rendeletek fogják megállapítani – hívja fel a figyelmet a Baker McKenzie nemzetközi ügyvédi iroda.
https://www.hwsw.hu/hirek/68549/kiberbiztonsag-torveny-elfogadas-parlament-nis2-szabalyozas.html
http://netpolgar.network.hu/blog/netpolgar_avagy_digitalis_irastudo_klub_hirei/gondolatok-a-titkositasrol-az-eu-tanacsa-szerint-osszeegyeztetheto-a-backdoor-es-a-biztonsag
M Imre üzente 3 hónapja
Lassú hatóságok? 5 éves ügy miatt bírságolták meg a Netflixet | 2024-12-19
Nem megfelelően informálták az ügyfeleket az adatok használatáról – ezért jár a 4,75 millió eurós bírság.
A holland adatvédelmi hatóság (DPA) 4,75 millió euróra büntette a Netflixet, amiért az 2018 és 2020 között nem megfelelően tájékoztatta az ügyfeleit azok személyes adatainak használatáról.
A 2019-ben indított nyomozás eredménye szerint nem közölték elég pontosan az adatvédelmi irányelveikben, hogy mihez kezdenek az adatokkal. És megfelelő válaszokat sem kaptak, akik megkérdezték a Netflixet, hogy milyen adatokat gyűjtenek róluk. A hatóság szerint ezzel a GDPR-t is megszegték.
Azóta a Netflix szabályzata frissült, az információk közzététele javult, így tiltakoznak a bírság ellen. Kiemelik, hogy az 5 évvel korábbi dátumhoz képest rég együttműködnek a helyi hatóságokkal is, akik részesei voltak az irányelveik frissítésének is.
https://itcafe.hu/hir/netflix_buntetes_lassu_hatosagok.html
M Imre írta 1 napja a(z) GDPR és más adatvédelem fórumtémában:
55 ezer személyes adat, magyar diákok, tanárok és az Oktatási ...
M Imre írta 1 napja a(z) GDPR és más adatvédelem fórumtémában:
A közösségi média és a dezinformáció...
M Imre írta 1 napja a(z) Twitter / X (Elon Musk) fórumtémában:
Elon Musk 33 milliárd dollárért eladta az X-et a saját AI ...
M Imre írta 1 napja a(z) GDPR és más adatvédelem fórumtémában:
Csak óvatosan a böngészőbe épülő digitális...
M Imre írta 2 napja a(z) Rövid, szines hírek fórumtémában:
Tényleg eladták a TechCrunch híroldalt | Egy befektetőcégnek...
M Imre írta 2 napja a(z) Signal üzenetküldő alkalmazás fórumtémában:
A Signal elnöke szerint biztonságos az...
M Imre írta 2 napja a(z) Android fórumtémában:
Tizenhat év után változik a nyílt Android fejlesztése | 2025. ...
M Imre írta 4 napja a(z) Facebook / Meta fórumtémában:
Egy ország letiltotta a Facebookot, hogy kipróbálja, ...
M Imre 5 napja új blogbejegyzést írt: IPv6 kikapcsolása: apt DNS feloldás problémákra
E-mail: ugyfelszolgalat@network.hu
Új hozzászólás