Știri
Știri din categoria Securitate cibernetică
FCC a decis interzicerea routerelor Wi‑Fi fabricate în străinătate potrivit CNET, care citează o fișă informativă publicată luni după-amiază de Federal Communications Commission (FCC). Măsura vizează „toate routerele pentru consumatori produse în țări străine”, iar producătorii pot solicita o exceptare, însă până acum nu a fost acordată nicio „aprobare condiționată” pe site-ul FCC.
Decizia este relevantă pentru piața americană, deoarece aproape toate routerele disponibile la vânzare în SUA sunt cel puțin parțial fabricate în afara țării, inclusiv modele de la TP-Link, Asus și Netgear. Conform unui set de întrebări și răspunsuri publicat de FCC, un router este considerat „fabricat în străinătate” dacă „orice etapă majoră” a procesului de realizare – inclusiv fabricația, asamblarea, proiectarea și dezvoltarea – are loc în afara SUA. Interdicția nu se aplică routerelor deja autorizate anterior de FCC.
Președintele FCC, Brendan Carr, a declarat că salută determinarea de securitate națională a executivului și că instituția a adăugat routerele produse în străinătate, considerate un „risc inacceptabil” pentru securitatea națională, pe lista „Covered List” (lista FCC cu echipamente și servicii considerate riscante). În același timp, măsura nu obligă consumatorii să își înlocuiască routerele existente: FCC a precizat că interdicția nu se aplică dispozitivelor cumpărate anterior, însă va limita achiziția de routere noi care nu fuseseră deja autorizate înainte de intrarea în vigoare a deciziei.
CNET amintește că TP-Link a fost în atenția autorităților americane de peste un an, pe fondul legăturilor cu China, iar la finalul lui 2025 mai multe departamente și agenții din SUA ar fi susținut o interdicție. Totuși, acțiunea FCC de acum depășește cazul TP-Link și ar urma să afecteze aproape toate companiile din segment. Publicația notează că a solicitat reacții de la FCC și de la mai mulți producători (inclusiv Asus, D-Link, Eero, Netgear, Razer și TP-Link), dar nu a primit răspuns imediat.
Recomandate
FCC a votat extinderea interdicției astfel încât toate laboratoarele din China și Hong Kong să nu mai poată certifica electronice pentru piața SUA , o mișcare cu impact direct asupra lanțului de conformitate și costurilor de testare pentru producători, în condițiile în care agenția estimează că aproximativ 75% dintre dispozitivele destinate SUA sunt testate în aceste facilități, potrivit Tom's Hardware . Decizia, adoptată în unanimitate, avansează o propunere care ar retrage dreptul de certificare pentru toate laboratoarele din China și Hong Kong, pe motiv de risc de securitate națională. Președintele FCC, Brendan Carr, a spus că instituția urmărește măsuri care să limiteze capacitățile de interconectare ale entităților considerate amenințări de securitate. Costuri mai mari și mutarea testărilor în alte regiuni Un element cu efect economic imediat este diferența de cost între testarea în China și alternativele din SUA. Conform informațiilor citate, testarea de bază pentru certificarea FCC costă între 400 și 1.300 de dolari în laboratoarele din China, față de 3.000–4.000 de dolari în echivalentele din SUA. O parte din capacitatea afectată aparține, totuși, unor subsidiare chineze ale unor mari firme occidentale de testare, inclusiv Intertek, SGS, TUV Rheinland și Bureau Veritas. Aceste companii au laboratoare și în SUA, Europa și Taiwan, care ar putea prelua din volum, dar tranziția „nu va fi fără fricțiuni”, notează materialul. De la „Bad Labs” la interdicție generală FCC interzisese deja 15 laboratoare chineze deținute de stat sau afiliate guvernului, între septembrie și februarie, în cadrul ordinului inițial „Bad Labs”. Votul de joi extinde însă interdicția la toate laboratoarele rămase în China, indiferent de proprietate. Un pachet mai larg de măsuri împotriva infrastructurii chineze Separat, într-un vot 3–0, FCC a avansat și o propunere de a interzice China Mobile, China Telecom și China Unicom să opereze centre de date în SUA. Deși FCC le revocase anterior licențele de telecomunicații retail, nu abordase până acum operațiunile rămase de tip angro și infrastructură. Propunerea ar lua în calcul și interzicerea interconectării operatorilor americani cu orice companie aflată pe „Covered List” (lista FCC de securitate națională) sau cu operatori care folosesc echipamente Huawei ori ZTE. Ce urmează: consultare publică și perioadă de tranziție Votul deschide o perioadă de consultare publică estimată la 60–90 de zile, după care ar urma o regulă finală și o perioadă de tranziție. În context, FCC și-a extins în ultimii ani restricțiile asupra tehnologiei chineze, inclusiv prin interzicerea importurilor de noi routere de consum fabricate în străinătate (în martie) și a unor drone noi fabricate în străinătate (în decembrie), precum și prin propuneri privind limitarea implicării Chinei în cablurile submarine. [...]
O vulnerabilitate semnalată pe platforma online a DITL Sector 5 ar putea permite acces neautorizat la date personale , ceea ce ridică riscuri directe de conformare cu regulile de protecție a datelor și de încredere în serviciile digitale ale administrației locale, potrivit Mediafax . USR Sector 5 spune că a sesizat o posibilă scurgere de date pe platforma Direcției de Impozite și Taxe Locale (DITL) Sector 5, unde ar fi fost expuse date personale ale cetățenilor. Conform comunicatului citat, problema ar apărea în momentul în care utilizatorul introduce o adresă de e-mail folosită anterior pentru o programare în sistem: formularul s-ar completa automat cu datele personale asociate contului, „fără existența unui mecanism real de verificare a identității”. Ce date ar putea fi expuse și cum funcționează vulnerabilitatea, potrivit USR În sesizarea menționată, USR afirmă că, în aceste condiții, ar putea fi accesate neautorizat informații sensibile, între care: nume și prenume; CNP; număr de telefon; alte date personale introduse în platformă. Partidul susține că situația ar reprezenta o încălcare gravă a normelor privind protecția datelor personale și pune sub semnul întrebării modul în care Primăria Sectorului 5 „testează, verifică și implementează” sistemele informatice oferite cetățenilor. Context: un incident anterior invocat de USR În comunicat este amintit și un episod din 2024, când „alte date furate de la Primăria Sectorului 5” ar fi fost scoase la vânzare de hackeri, fiind afectate aproximativ 200.000 de persoane, alături de „alte sisteme conectate inclusiv la infrastructuri ale Ministerului Afacerilor Interne ”. USR îl citează pe Mihai Ionescu , consilier local USR Sector 5, care acuză administrația locală că tratează superficial securitatea datelor, în pofida incidentelor anterioare: „Este revoltător că, după scandalul uriaș de acum doi ani, Primăria Sectorului 5 continuă să trateze superficial securitatea datelor cetățenilor. Vorbim despre informații extrem de sensibile, iar administrația condusăm de primarul Piedone pare că nu a învățat nimic din incidentele anterioare. Cetățenii Sectorului 5 trebuie să știe că datele lor personale sunt din nou expuse din cauza unor vulnerabilități care puteau și trebuiau prevenite.” În materialul citat nu apar, deocamdată, detalii despre un răspuns al Primăriei Sectorului 5 sau despre măsuri tehnice luate pentru remedierea problemei semnalate. [...]
„Vibe coding” împinge în sus riscul de breșe și scurgeri de date în aplicațiile construite cu ajutorul inteligenței artificiale, pe fondul unei adoptări rapide a acestui mod de lucru, potrivit Android Headlines , care citează concluziile unui studiu. „Vibe coding” descrie, în esență, dezvoltarea de software în care utilizatorul se bazează puternic pe modele de inteligență artificială pentru a genera cod, pe baza unor instrucțiuni în limbaj natural, fără a mai trece prin același nivel de proiectare și verificare tehnică specific programării clasice. Miza pentru companii este operațională: viteza de livrare crește, dar crește și probabilitatea ca în produs să ajungă vulnerabilități. De ce contează pentru companii: viteză mai mare, control mai slab Din perspectivă de securitate cibernetică , riscul major semnalat este că aplicațiile și componentele generate „pe repede înainte” pot include erori de implementare sau configurații greșite care rămân nedetectate până când sunt exploatate. În practică, asta poate însemna: expunerea neintenționată a datelor (de exemplu, prin setări greșite sau acces neautorizat); introducerea de vulnerabilități în codul aplicației, care pot fi folosite pentru atacuri; dificultăți mai mari de auditare și întreținere, dacă echipele nu înțeleg în detaliu codul generat. Materialul indică faptul că fenomenul este alimentat de popularitatea în creștere a „vibe coding”, iar studiul citat leagă această tendință de o creștere a vulnerabilităților de securitate. Ce urmează: presiune pe procesele interne de securitate În termeni operaționali, concluzia implicită este că organizațiile care folosesc astfel de instrumente vor avea nevoie de controale mai stricte înainte de lansare (testare, revizuire de cod, politici de utilizare a AI în dezvoltare). Android Headlines nu oferă, în fragmentul disponibil, detalii despre metodologia studiului sau despre indicatori cantitativi, astfel că amploarea exactă a creșterii nu poate fi evaluată din informațiile furnizate. [...]
Microsoft accelerează trecerea la autentificarea fără parole , pe fondul creșterii eficienței atacurilor de tip phishing asistate de inteligență artificială, care pot ajunge la rate de accesare de până la 54%, potrivit WinFuture . Miza operațională este reducerea suprafeței de atac prin standardizarea „passkeys” (chei de acces) și eliminarea treptată a metodelor considerate vulnerabile, inclusiv întrebările de securitate. De ce contează: phishing-ul „cu IA” face parola tot mai ușor de compromis Microsoft argumentează că parolele au rămas una dintre cele mai slabe verigi ale securității online, iar atacatorii folosesc tot mai des campanii de phishing generate sau optimizate cu ajutorul inteligenței artificiale. În acest context, compania își poziționează strategia „passwordless” (fără parolă) ca răspuns direct la un risc operațional în creștere: compromiterea conturilor prin pagini de autentificare false și tehnici de inginerie socială mai convingătoare. Ce schimbă Microsoft în practică Din perspectiva utilizatorilor și a organizațiilor, schimbările descrise de publicație se traduc în câteva măsuri concrete: Conturile noi Microsoft sunt create, de la începutul lui 2026, fără parolă , autentificarea fiind făcută prin passkeys, metode biometrice sau chei de securitate (dispozitive hardware). Utilizatorii existenți își pot elimina manual parola din cont, dacă doresc să treacă complet pe passkeys. Windows 11 a extins integrarea passkeys , inclusiv suport nativ pentru chei de acces din administratori de parole terți, precum 1Password și Bitwarden. Microsoft a dezvoltat împreună cu acești furnizori o interfață de programare (API) dedicată passkeys , pentru integrare mai simplă. Sincronizarea passkeys din Microsoft Password Manager este posibilă prin browserul Edge cu iOS și Android. Ce sunt passkeys și de ce sunt mai greu de „furat” Passkeys sunt credențiale legate de dispozitiv și de o verificare locală (amprentă, recunoaștere facială sau PIN). Spre deosebire de parole, ele sunt concepute să fie rezistente la phishing , deoarece nu pot fi capturate printr-o pagină falsă de autentificare în același mod în care este „smulsă” o parolă introdusă de utilizator. Context de piață și adopție: miliarde de passkeys, sute de milioane la Microsoft Trecerea nu este doar o inițiativă izolată, arată WinFuture . Membrii FIDO Alliance împing adopția la nivel de industrie, iar alianța estimează că există cinci miliarde de passkeys în uz la nivel global. Conform unei „studii recente” citate în material, 90% dintre oameni cunosc passkeys, iar 75% au activat cel puțin una. La Microsoft, compania susține că „sute de milioane de utilizatori” folosesc zilnic passkeys pentru servicii precum OneDrive, Xbox și Copilot. Totodată, Microsoft afirmă că a eliminat intern metode mai slabe de autentificare și a implementat proceduri rezistente la phishing care acoperă 99,6% dintre utilizatorii și dispozitivele din mediul său. Următorul pas: dispar întrebările de securitate din Entra ID, din 2027 O schimbare cu impact direct pentru administrarea identităților în companii este planul Microsoft de a elimina o „portiță” folosită frecvent în atacuri: începând din ianuarie 2027, întrebările de securitate nu vor mai putea fi folosite pentru resetarea parolelor în Microsoft Entra ID . Compania motivează decizia prin reducerea riscurilor asociate recuperării conturilor, zonă exploatată adesea ca rută alternativă de compromitere. [...]
Arestarea în România pe baza unui mandat european arată cât de rapid poate funcționa cooperarea transfrontalieră în fraude cibernetice cu bani , după ce un român de 33 de ani, urmărit de autoritățile din Islanda, a fost prins și arestat preventiv în vederea extrădării, potrivit Digi24 . Bărbatul este cercetat de autoritățile islandeze după ce, în perioada 23–27 aprilie, ar fi exploatat o vulnerabilitate din sistemul informatic al unei instituții bancare din Islanda și ar fi transferat ilegal sume de bani. Prejudiciul este estimat la aproximativ 400.000 de euro (aprox. 2,0 milioane lei). Potrivit informațiilor transmise de Poliția Română, polițiștii Serviciului Urmăriri, sub coordonarea procurorului de caz de la Parchetul de pe lângă Curtea de Apel București , au pus în executare un mandat european de arestare emis de autoritățile judiciare din Islanda. Românul era urmărit internațional pentru fraudă și spălare de bani. Cooperare internațională și extrădare Cazul a fost gestionat prin mecanisme de cooperare polițienească internațională, cu schimb de date și informații între autoritățile din România și Islanda, inclusiv prin canale de cooperare europeană și prin Sistemul de Informații Schengen. După reținere, Curtea de Apel București a decis arestarea preventivă pentru 30 de zile, în vederea extrădării. Poliția Română a precizat că își continuă cooperarea cu partenerii internaționali pentru clarificarea tuturor aspectelor cauzei și pentru punerea în executare a măsurilor dispuse de autoritățile judiciare. [...]
Google împinge autentificarea fără parolă și recuperarea contului ca măsuri „de bază” pentru reducerea riscului de compromitere, într-un set de cinci instrumente pe care utilizatorii le pot activa în contul Google, potrivit Google Blog . Mesajul central: securizarea accesului nu mai depinde doar de „o parolă bună”, ci de metode mai greu de interceptat sau reutilizat și de opțiuni de recuperare care limitează blocarea definitivă a contului. Lista vine în contextul Zilei Mondiale a Parolei și vizează, în principal, scăderea expunerii la atacuri bazate pe parole (ghicire, reutilizare, furt) și creșterea rezilienței contului atunci când utilizatorul își pierde dispozitivul sau datele de autentificare. Ce se schimbă operațional pentru utilizatori: autentificare cu „passkeys” și verificare în doi pași Primul instrument recomandat este folosirea „passkeys” (chei de acces) pentru conturile Google. Google descrie passkeys ca o metodă „mai ușoară și mai sigură” decât parolele și chiar decât unele metode tradiționale de autentificare multifactor, precum codurile de unică folosință. Autentificarea se face prin blocarea ecranului dispozitivului (amprentă, recunoaștere facială sau PIN), iar Google susține că datele biometrice rămân pe dispozitiv și nu sunt partajate cu compania. Al doilea pas este activarea 2-Step Verification (verificare în doi pași, 2SV) ca măsură suplimentară, inclusiv atunci când utilizatorul folosește passkeys. Argumentul din material: dacă cineva încearcă să se dea drept utilizator și pretinde că a pierdut passkey-ul, 2SV adaugă un strat de protecție multifactor. Recuperarea contului și reducerea „suprafeței” de parole Google recomandă și configurarea „Recovery Contacts” (contacte de recuperare) pentru situații precum pierderea telefonului. Utilizatorul poate desemna persoane de încredere care să ajute la confirmarea identității în caz de blocare a accesului. Publicația precizează două limite importante: pot fi setate până la 10 contacte, iar acestea nu primesc acces la cont sau la informațiile personale. Pentru autentificarea în aplicații și site-uri terțe, compania promovează „Sign in with Google” (Conectare cu Google), ca alternativă la crearea de conturi noi cu utilizator și parolă. Rațiunea invocată este reducerea numărului de parole stocate în diverse servicii, ceea ce poate limita expunerea dacă o altă platformă are un incident de securitate; utilizatorul poate revizui și revoca accesul aplicațiilor oricând. A cincea recomandare este folosirea Google Password Manager pentru generarea, salvarea și administrarea parolelor și passkeys pentru alte conturi, cu stocare și sincronizare între dispozitive și completare automată la autentificare. Cele cinci instrumente, pe scurt Passkeys pentru Contul Google (autentificare cu blocarea ecranului dispozitivului) 2-Step Verification (2SV) ca strat suplimentar de protecție Recovery Contacts (până la 10 contacte de recuperare) „Sign in with Google” pentru aplicații și site-uri terțe Google Password Manager pentru parole și passkeys, cu sincronizare între dispozitive Google nu oferă în material date cantitative despre adopție sau eficiență (de exemplu, scăderi măsurate ale compromiterilor), dar poziționează aceste setări ca actualizări rapide care pot crește securitatea autentificării și șansele de recuperare a accesului pe termen lung. [...]
