Makay József: Többen is megkerestek, hogy mi a véleményem az egyik politikai párt által ajánlott Session üzenetküldő biztonságáról és hogy megéri-e lecserélni a Signalt. Nos, a kérdés találóbb nem is lehetne, ugyanis a Session a Signal alapjait másolta (forkolta) le. Viszont míg a Signal esetében a felhasználókat a telefonszámuk azonosítja (amit elfedhetnek felhasználónévvel), addig a Session egy 66 karakteres, random generált karakterláncot használ erre, bejelentkezni pedig az első belépésnél kapott, szintén random generált, 13 szavas jelmondattal lehet – az app nem kér semmilyen egyéb információt, csak ezt a jelmondatot. Ez egy meglehetősen szokatlan megvalósítása az autentikációnak, de mivel a Signallal ellentétben itt nemcsak titkosított kommunikációról beszélünk, hanem valóban anonim (ráadásul decentralizált) kommunikációról is, a hagyományos megoldások itt nem működhetnek. Az előzetes statikus vizsgálatok nem mutattak ki súlyos dolgokat, a dinamikusak pedig még folyamatban vannak, de első ránézésre és más független szakértők vizsgálatai alapján nem tűnik rossznak.

https://getsession.org/

https://www.facebook.com/makayjozsef

Válasz

Ülsz az autóban és lehallgathatnak? Súlyos hibákat találtak Škodák és Volkswagenek fedélzeti rendszerében | 2024. december 29.

Tizenkét biztonsági rést azonosítottak a Volkswagen-csoport 2020 után gyártott típusaiban megtalálható MIB3 (Modulare Infotainment-Baukasten) infotainment rendszerében, a járműiparra szakosodott PCAutomotive kiberbiztonsági cég szakértői. Az etikus hackerek a Black Hat Europe című decemberi konferencián mutatták be kutatásuk eredményét. A Techcrunch cikke alapján a feltárt problémák aggasztóak lehetnek azok számára, akik az utóbbi években használták a német autógyártó korszerűbb típusait, szinkronizálták vele mobiltelefonjukat, esetleg bizalmas beszélgetéseket folytattak az utastérben.

Mint kiderült, az érintett autók bluetooth-egységén keresztül a fedélzeti multimédia rendszerhez csatlakozva nemcsak felvételeket lehetett készíteni a bent ülők közt zajló beszélgetésekről az utastérben található mikrofonokon keresztül, de megfelelő szaktudással le lehetett másolni az MIB3-rendszerrel párosított mobiltelefonok hívás- és kontaktlistáját is.

A PCAutomotive jelentette a problémát a Volkswagen-konszernnek, amely szoftverfrissítéssel gondoskodott a biztonsági rések megszüntetéséről. A Škoda Techcrunch-nak adott nyilatkozatában azt állította, hogy soha nem volt veszélyben az ügyfelek, illetve autóik biztonsága, amit a teljes életcikluson át tartó rendszeres szoftverfrissítések is garantálnak.

https://telex.hu/techtud/2024/12/29/volkswagen-infotainment-skoda-adatlopas-adatvedelem-hacker-mib3

Válasz

A szerb titkosszolgálat egy megbuherált izraeli szoftverrel figyelt meg újságírókat | 2024.12.16.

Állítólag egy telefonok feloldására szolgáló szoftvert "okosítottak fel", hogy alkalmas legyen mobil eszközökön keresztül történő megfigyelésekre.

Zárolt telefonok feloldására használható szoftverrel figyeltek meg szerb újságírókat és aktivistákat, állítja az Amnesty International egy friss jelentése. A szerb hatóságok az izraeli Cellebrite kiberbiztonsági cég egy olyan szoftvercsomagját, a Cellebrite UFED-t használták erre, amellyel a hatóságok nyomozási céllal hozzáférhetnek zárolt telefonok tartalmához. A szoftverrel, amelyet többek között az FBI is használ, állítólag a legújabb androidos és iPhone-modelleket is fel lehet törni.

A nyilvánosságra hozott értesülések alapján a szerb hatóságoknak sikerült úgy átalakítani a szoftvert, hogy az kémprogramként használható. Belefejlesztették például a Qualcomm csipkészlettel szerelt készülékek egy nulladik napi sebezhetőségének kihasználását. (A biztonsági rést azóta azonosították, és van hozzá javítás is.)

Az Amnesty International jelentésében NoviSpy néven emleget szoftver technikailag kevésbé fejlett, mint például a magyar újságírók és üzletemberek telefonján is felbukkanó Pegasus, de sokféle érzékeny adatot lehet kinyerni távolról a céleszközökről – pl. képernyőképeket készít, illetve lelopja a kapcsolatlistát –, sőt be lehetett kapcsolni vele távolról a mikrofont és a kamerát.

Sokszor a rendőrségen telepítették

Egy szerb független oknyomozó újságíró, Slaviša Milanov névvel-fotóval is vállalta a sztoriját. Idén februárban a rendőrség ittas vezetés gyanújával vitte be alkoholtesztre. Ám telefonját le kellett adnia. Bár kikapcsolta, szabadon engedése után észrevette, hogy a telefonjával babráltak. Az Amnesty International forensic laborjában átvizsgálták a készüléket, és kiderült, hogy azt valóban feltörték a Cellebrite UFED-jének segítségével, majd telepítették rá a NoviSpy szoftvert.

A vádakra a szerb hatóságok egyelőre nem reagáltak. A Cellebrite kommunikációs vezetője, David Gee azt nyilatkozta a Reutersnek, hogy vizsgálják az Amnesty állításait. Ha beigazolódik az NGO állítása, az felvetheti a Cellebrite végfelhasználói licencszerződésének megsértését, ami a technológia használatának felfüggesztésével járna. A cég már felvette a kapcsolat a szerb illetékesekkel.

A szoftverhez egyébként a szerb állam paradox módon egy olyan norvég támogatási csomag részeként jutott, amelynek célja, hogy Szerbia megfeleljen az EU-s integráció követelményeinek.

https://bitport.hu/a-szerb-titkosszolgalat-egy-megbuheralt-izraeli-szoftverrel-figyelt-meg-ujsagirokat

Válasz

Elfogadták a kiberbiztonságról szóló törvényjavaslatot | 2024. december 19.

A parlament elfogadta a kiberbiztonsági szabályozás új keretrendszerét, a Magyarország kiberbiztonságáról szóló törvényt, ami még nem tartalmazza azokat a szabályokat, melyeket később rendeletekben állapítanak majd meg.

https://kormany.hu/dokumentumtar/magyarorszag-kiberbiztonsagarol-szolo-torveny-vegrehajtasi-kormanyrendelete

Az Országgyűlés december 17-én fogadta el a „Magyarország kiberbiztonságáról” címet viselő törvényjavaslatot, ami a hazai kiberbiztonsági szabályozás új keretrendszereként fog szolgálni a jövőben. A várhatóan január elsején hatályba lépő törvény célja az Európai Unió NIS2 irányelvének teljesebb körű átültetése a nemzeti jogba, illetve a kiberbiztonságra vonatkozó alapvető jogszabályok egységesítése egyetlen jogszabályban. A törvény a NIS2 mintájára kategorizálja a magyar kiberbiztonsági jogszabályok hatálya alá tartozó szervezeteket. Ez alapján az érintett vállalatok – méretüktől függően, illetve ha az általuk nyújtott szolgáltatás alapján alapvető vagy fontos szervezeteknek minősülhetnek.

A 2023-ban hatályba lépett NIS2 (Network and Information Security Directive) a 2016-os változat hiányosságait korrigálva igyekszik új alapokra helyezni a nemzetközösség informatikai védvonalait. Az október 18-tól kötelező érvénnyel alkalmazandó irányelv egyik legfontosabb velejárója, hogy a korábbiakhoz képest nagyjából 15-ször annyi entitásra terjed ki a hatálya, mely komoly hatást gyakorol az érintett cégek, főként a magánvállalkozások működésére. A kiberbiztonsági törvény átfogó keretrendszert teremt, de nem tartalmaz minden szabályt – a részleteket a törvény alapján kiadott kormány-, miniszteri és SZTFH elnöki rendeletek fogják megállapítani – hívja fel a figyelmet a Baker McKenzie nemzetközi ügyvédi iroda.

https://www.hwsw.hu/hirek/68549/kiberbiztonsag-torveny-elfogadas-parlament-nis2-szabalyozas.html

http://netpolgar.network.hu/blog/netpolgar_avagy_digitalis_irastudo_klub_hirei/gondolatok-a-titkositasrol-az-eu-tanacsa-szerint-osszeegyeztetheto-a-backdoor-es-a-biztonsag

Válasz

Lassú hatóságok? 5 éves ügy miatt bírságolták meg a Netflixet | 2024-12-19

Nem megfelelően informálták az ügyfeleket az adatok használatáról – ezért jár a 4,75 millió eurós bírság.

A holland adatvédelmi hatóság (DPA) 4,75 millió euróra büntette a Netflixet, amiért az 2018 és 2020 között nem megfelelően tájékoztatta az ügyfeleit azok személyes adatainak használatáról.

A 2019-ben indított nyomozás eredménye szerint nem közölték elég pontosan az adatvédelmi irányelveikben, hogy mihez kezdenek az adatokkal. És megfelelő válaszokat sem kaptak, akik megkérdezték a Netflixet, hogy milyen adatokat gyűjtenek róluk. A hatóság szerint ezzel a GDPR-t is megszegték.

Azóta a Netflix szabályzata frissült, az információk közzététele javult, így tiltakoznak a bírság ellen. Kiemelik, hogy az 5 évvel korábbi dátumhoz képest rég együttműködnek a helyi hatóságokkal is, akik részesei voltak az irányelveik frissítésének is.

https://itcafe.hu/hir/netflix_buntetes_lassu_hatosagok.html

Válasz

Orwell már a kanyarban sincs | 2024. 12. 13.

Keserű Júlia november végén jelentette meg kutatását, amelynek keretében másfél éven keresztül foglalkozott azzal a témával, hogy vajon mi történik pontosan az adatainkkal, hogyan élhetnek vissza velük a kormányok, a cégek, a hekkerek vagy a politikai pártok, és miért kellene nekünk ezzel egyszerű átlagemberként foglalkozni. Végül is nem mindegy, hogy az Apple Watch birtokába jut Mari néni vérnyomásadatainak Ráckevéről? Mit csinálna velük? Miért kellene nekünk azzal foglalkoznunk, hogy az EESZT-ben ki fér hozzá az adatainkhoz? És kit érdekel, ha a Pokémon Go kormányoknak és hadseregeknek adja el az adatait, vagy ha egy lokációs adatokkal sáfárkodó cég orvosi látogatások adatait továbbítja a rendőrségnek?

A tested bármelyik négyzetcentiméteréről gyűjtenek már adatot

Az emberi test minden zugáról lehet ma már adatot gyűjteni, a teljesség igénye nélkül

-- a hajszálak szerkezetéről, az agy aktivitásáról, az arc játékáról, az arcvonásokról,

-- az írisz, a retina változásairól, a pupillatágulásról, a szemmozgásokról,

-- a fül alakjáról, a száj mozgásairól, a hang mintázatairól,

-- a szívverésről, a szívritmusról, a légzés üteméről, a vérnyomásról, a tartásról,

-- a bőr illatáról, hőmérsékletéről, nedvességtartalmáról,

-- a menstruációs ciklusról és a termékenység változásáról,

-- az izmok aktivitásáról,

-- a tenyerek erezetéről, az ujjak geometriájáról és az ujjlenyomatról,

-- a járás mintázatáról, sebességéről, a lábak erezetéről, vagy éppen a nyomás eloszlásáról.

Ezekkel a módszerekkel több millió adatot halmozhatunk fel egyetlen emberről, és olyan profilt rajzolhatunk meg róla, amilyet még a legközelebbi hozzátartozója, sőt ő maga sem tudna. Ezekben az adatokban egyrészt az a közös, hogy mindegyik az emberi testről szól, másrészt az, hogy különféle szoftvereken keresztül a legtöbb esetben cégek gyűjtik be őket. És egyáltalán nem mellékesen az is közös bennük, hogy nekünk halvány fogalmunk sincs róla, mi történik velük.

Ahogy a listából kitűnik, sem az elektronikus egészségügyi rendszerek, mint például Magyarországon az Elektronikus Egészségügyi Szolgáltatási Tér (EESZT), sem az egészségügyi vagy fitness-wellness alkalmazások, sem pedig a biometrikus adatokat használó cégek nem képesek maradéktalanul megvédeni felhasználóik adatait. Sőt.

https://qubit.hu/2024/12/13/keseru-julia-orwell-mar-a-kanyarban-sincs

Válasz

115 milliárd forintnyi bírság repült az Ubernek | 2024. augusztus 28.

Az Uber úgy véli, nem követett el jogsértést, így fellebbezni fog..., mivel szerinte a rendkívül magas bírság indokolatlan.

A holland adatvédelmi hatóság 290 millió euróra (115 milliárd forint) bírságolta az Ubert az uniós általános adatvédelmi rendelet, azaz a GDPR súlyos megsértése miatt. A holland adatvédelmi hatóság (DPA) szerint a fuvarplatform éveken át továbbította európai sofőrök személyes adatait az Egyesült Államok szervereire olyan módon, ami biztonsági szempontból nem kielégítő. Ezek többek közt taxiengedélyek, helyadatok, fizetési adatok, személyazonosító okmányok adatai, valamint az egészségügyi és bűnügyi nyilvántartásokban szereplő információk voltak. A hatóság szerint a továbbított adatok nem voltak kellően védve.

Az Uber nem felelt meg a GDPR követelményeinek, hogy biztosítsa az adatok megfelelő védelmi szintjét az Egyesült Államokba irányuló továbbítások esetén, ami nagyon súlyos incidens – kommentálta a döntést Aleid Wolfsen, a DPA elnöke.

A bírságot megelőző panaszt egy több mint 170 francia Uber-sofőrt tömörítő csoport nyújtotta be azzal a váddal, hogy a cég megfelelő védelem nélkül küldi adataikat az USA-ba. Mivel az Uber európai működésének központja Hollandia, így a GDPR sértés megállapítása a helyi adatvédelmi hatóságra hárult, ami korábban már két alkalommal osztott ki büntetőcédulát a cégnek.

2018-ban egy 600 ezer eurós bírság repült adatvédelmi incidens bejelentésének elmulasztása miatt, amit követett az idei év elején egy 10 millió eurós bírság, miután holland tisztviselők megállapították, hogy az Uber elmulasztotta nyilvánosságra hozni az EU-s sofőrök adataival kapcsolatos adatmegőrzési gyakorlatot, és nem volt hajlandó megnevezni, hogy mely országokba küldték az adatokat.

Az Uber tavaly év végén kezdett az uniós szabályzásnak megfelelő adatvédelmi pajzsot alkalmazni, így a pénzbüntetést az azt megelőző időszak miatt kell kifizetnie. A szabálytalanság két évig állt fenn, de az Uber mára megszüntette a jogsértést.

https://www.hwsw.hu/hirek/68072/uber-gdpr-adatvedelem-birsag.html

A személyes adatok egyébként nagyon sokat érnek a feketepiacon...

Válasz

Digitális állampolgárság program (DÁP)

A kormány már tavaly decemberben megszavazott egy jogszabályt Rogán Antal Miniszterelnöki Kabinetirodát vezető miniszter előterjesztésére. Ez olyan szolgáltatások elvégzését tesz lehetővé digitálisan, amelyekhez aláírás, biztonságos elektronikus kommunikáció vagy dokumentumkezelés kell, illetve online fizetést is lehet vele intézni. (forrás)

Megszavazta a parlament A digitális államról és a digitális szolgáltatások nyújtásának egyes szabályairól szóló jogszabályt, amelyet Rogán Antal Miniszterelnöki Kabinetirodát vezető miniszter terjesztett elő. Az országgyűlés honlapja szerint a javaslatot 112 igen, 37 nem és 13 tartózkodó szavazattal fogadták el a képviselők.

A javaslat szerint a törvény a „kényelmes és hatékony szolgáltatásnyújtást” hivatott megteremteni. Ezzel együtt a digitális térben biztosítja az olyan szolgáltatások elvégzését, amelyhez aláírás, biztonságos elektronikus kommunikáció vagy dokumentumkezelés kell, illetve online fizetést is lehet majd rajta keresztül intézni. Azaz a digitális állampolgárság = ügyintézés a mobilunkon.
netpolgar.network.hu/blog/netpolgar_avagy_digitalis_irastudo_klub_hirei/unios-szintu-digitalis-tarca-digitalis-allampolgarsag-program

Előzmény

Válasz

Uniós szintű digitális tárca

A csütörtökön elfogadott és az uniós miniszterekkel már egyeztetett rendelet szerint ez az új digitális személyiadat-tárca lehetővé teszi majd a polgárok számára, hogy anélkül azonosítsák és hitelesítsék magukat online, hogy kereskedelmi szolgáltatókat kellene igénybe venniük, amely gyakorlat bizalmi, biztonsági és adatvédelmi aggályokat vetett fel.

Az uniós digitális személyiadat-tárca használata önkéntes alapon történik majd. A tárgyalások során a képviselők olyan rendelkezéseket hoztak, amelyek biztosítják a polgárok jogainak védelmét és a digitális tárca használatát elutasító személyek hátrányos megkülönböztetésének elkerülése révén elősegítik a befogadó digitális rendszer kialakítását.

A jogszabály ingyenes „minősített elektronikus aláírást” biztosít az EU-tárca felhasználói számára, amely a legmegbízhatóbb, és a kézzel írott aláírással azonos jogállást élvez, valamint a digitális cserefolyamatok gördülékenyebbé tétele érdekében lehetővé teszi a tárcák közötti interakciókat.
http://netpolgar.network.hu/blog/netpolgar_avagy_digitalis_irastudo_klub_hirei/unios-szintu-digitalis-tarca-digitalis-allampolgarsag-program

Válasz