Știri
Știri din categoria Securitate cibernetică
O acțiune colectivă depusă la o instanță federală din California acuză Meta că a indus în eroare peste 2 miliarde de utilizatori WhatsApp, permițând angajaților săi accesul la conținutul mesajelor private, în ciuda promisiunilor legate de criptarea end-to-end. Potrivit Cyber Press, procesul este susținut de reclamanți din Australia, Brazilia, India, Mexic și Africa de Sud și se bazează, printre altele, pe dezvăluiri ale unor avertizori de integritate.
Deși nu au fost prezentate dovezi tehnice publice (ex. cod sursă, jurnale de server sau chei criptografice), cazul se sprijină pe mărturii din interiorul companiei.
Meta a respins acuzațiile prin vocea purtătorului de cuvânt Andy Stone, calificând procesul drept „complet fals și absurd”. Compania insistă că WhatsApp folosește Signal Protocol din 2016 – un standard criptografic open-source recunoscut pentru imposibilitatea accesului la conținutul mesajelor în tranzit sau la stocare.
Totuși, Meta nu a explicat clar cum funcționează colectarea de metadate și nici nu a negat explicit existența unor unelte interne de vizualizare a conținutului, sugerând astfel posibile zone gri în aplicarea reală a criptării.
În plus, backup-urile în cloud (iCloud sau Google Drive) pot conține mesaje necriptate, iar acestea nu sunt protejate de criptarea end-to-end, oferind o potențială cale de acces la conversații.
Procesul ar putea duce la o revizuire a modului în care platformele de mesagerie securizată își comunică politicile de confidențialitate și modul în care sunt auditate practicile interne. Dacă acțiunea colectivă va fi acceptată și transformată într-un caz global, impactul juridic și reputațional pentru Meta ar putea fi semnificativ.
Lipsa de transparență privind limitele reale ale criptării pe platforme închise pune din nou reflectorul pe alternativele open-source, precum Signal, unde auditul extern este posibil și încurajat.
Recomandate
Un audit independent indică faptul că marile platforme de publicitate online ignoră frecvent opțiunile de „nu mă urmări” ale utilizatorilor , ceea ce le-ar putea expune la sancțiuni semnificative în California, potrivit WinFuture . Ce arată auditul și de ce contează O verificare de confidențialitate realizată de compania WebXray acuză companii precum Google, Meta și Microsoft de încălcări ale legislației californiene privind protecția datelor (CCPA), prin faptul că ar continua să seteze cookie-uri de publicitate chiar și după ce utilizatorii au ales explicit opțiunea de dezactivare a urmăririi. Investigația este relatată de publicația americană 404media, citată de WinFuture. Analiza a urmărit, în luna martie, traficul de date pentru peste 7.000 de site-uri cu trafic ridicat. Concluzia: în 55% dintre cazuri au fost setate cookie-uri de publicitate deși utilizatorii se opuseseră. Global Privacy Control și obligațiile legale Evaluarea se bazează, între altele, pe Global Privacy Control (GPC) – un standard care transmite site-urilor semnalul că utilizatorul nu dorește să fie urmărit. Conform CCPA, companiile ar trebui să respecte astfel de semnale de tip opt-out. Cine apare cel mai des în încălcări Potrivit WebXray, situația este deosebit de problematică la Google: în 87% dintre cazurile analizate, semnalul opt-out ar fi fost ignorat. Auditul susține că acest lucru se vede tehnic relativ ușor, deoarece serverele ar continua să seteze cookie-uri chiar și când există marcajul corespunzător. Și celelalte companii menționate ar avea rezultate slabe: Meta : încălcări în 69% dintre accesările verificate; auditorii critică mai ales coduri de urmărire care s-ar activa automat, fără a ține cont de setările utilizatorului. Microsoft : încălcări în aproximativ jumătate dintre cazuri, potrivit analizei. „Bannerele de cookie-uri” nu ar funcționa cum promit Auditul critică și așa-numitele platforme de administrare a consimțământului (CMP) – sistemele care stau în spatele bannerelor de cookie-uri. Deși ar trebui să ofere control asupra datelor, acestea ar eșua frecvent; inclusiv sisteme certificate de Google ar fi avut rate de eroare de până la 91%, potrivit WebXray. Reacția companiilor și ce urmează Companiile vizate resping acuzațiile. Google a invocat un „neînțeles fundamental” legat de funcționarea produselor sale, iar Meta și Microsoft au susținut că respectă cerințele legale și tratează confidențialitatea cu seriozitate. WebXray afirmă că multe dintre probleme ar putea fi rezolvate tehnic relativ simplu, de exemplu prin blocarea consecventă a cookie-urilor atunci când este detectat un semnal opt-out. În lipsa unei aplicări mai stricte a regulilor, încălcările ar putea rămâne, însă, o practică obișnuită, potrivit concluziilor citate. [...]
Peste trei sferturi dintre țările europene își sprijină funcții critice de securitate pe cloud american , ceea ce le expune la riscul unei întreruperi de la distanță a accesului la date și servicii („ kill switch ”), potrivit unui raport citat de Digi24 . Miza este operațională: în scenarii de tensiuni politice sau sancțiuni, actualizările și mentenanța pot fi suspendate, iar infrastructura digitală folosită inclusiv în apărare poate deveni vulnerabilă sau indisponibilă. Raportul, realizat de think tank-ul Future of Technology Institute (FOTI) din Bruxelles, arată că sistemele de securitate națională din 23 dintre cele 28 de țări analizate (state UE și Regatul Unit) „par să se bazeze pe tehnologii americane”. Cercetarea se bazează pe informații publice de pe site-uri ale ministerelor Apărării, instituții media naționale și registre de achiziții publice din UE și Marea Britanie, pentru a identifica principalele contracte de cloud atribuite furnizorilor americani. De ce contează pentru securitate și continuitatea operațiunilor În analiza citată, „kill switch” este descris ca un mecanism care poate întrerupe accesul la date și servicii la distanță. Riscul este amplificat de faptul că, potrivit cercetătorilor, furnizorii americani ar putea fi constrânși de legislația SUA să predea date stocate în afara teritoriului american sau să suspende actualizări de întreținere și securitate ca urmare a sancțiunilor. În practică, o astfel de dependență poate afecta: continuitatea serviciilor digitale folosite în domenii sensibile, inclusiv apărare; capacitatea de a aplica rapid patch-uri (actualizări) de securitate; controlul asupra datelor și asupra lanțului de furnizare tehnologic (cine poate opri, modifica sau condiționa accesul). Cine este cel mai expus, potrivit raportului FOTI clasifică 16 dintre țările studiate ca fiind „expuse unui risc ridicat” din cauza unui potențial „kill switch” din partea SUA. Printre acestea sunt menționate Germania, Polonia și Regatul Unit, descrise ca trei dintre principalele puteri militare din Europa. Doar Austria (care nu este membră NATO) este clasificată ca având un risc „atenuat”, potrivit raportului. „Cloud suveran”, dar sub aceleași constrângeri În contextul preocupărilor privind suveranitatea digitală, unele state caută soluții naționale sau europene. Digi24 notează că această tendință a determinat companiile americane să promoveze servicii de cloud „suverane”, despre care susțin că ar reduce controlul Washingtonului. Raportul contestă însă eficiența acestei etichete, argumentând că dependențele rămân, inclusiv prin aplicabilitatea legislației americane asupra companiilor și prin riscul de a opri actualizările de securitate în anumite contexte. Precedentul invocat: Ucraina și accesul la servicii Ca exemplu, articolul amintește că anul trecut SUA au întrerupt accesul Ucrainei la anumite servicii, inclusiv imagini satelitare furnizate de compania americană Maxar, după un schimb tensionat între președinții Donald Trump și Volodimir Zelenski. Katja Bego (Chatham House) a descris acel episod drept „un adevărat semnal de alarmă”. În Franța, ministrul forțelor armate, Catherine Vautrin, a spus că raportul arată că „suveranitatea este o problemă majoră” și a indicat că, în cadrul actualizării legii programării militare (LPM), există finanțare pentru spațiu, argumentând că „spațiul înseamnă informație, comunicare”. „Suveranitatea este o problemă majoră.” [...]
Ransomware-ul Payouts King își crește șansele de a trece de protecțiile endpoint folosind mașini virtuale ascunse. Potrivit BleepingComputer , atacatorii abuzează de emulatorul QEMU ca „reverse SSH backdoor”, rulând mașini virtuale (VM) pe sistemele compromise pentru a ocoli soluțiile de securitate instalate pe gazdă, care nu pot inspecta conținutul din interiorul VM-urilor. Miza operațională pentru companii este că această tehnică mută o parte din activitatea malițioasă „în afara razei” instrumentelor clasice de detecție de pe stații și servere. În VM-uri, atacatorii pot executa încărcături (payload-uri), pot stoca fișiere malițioase și pot crea tuneluri de acces la distanță prin SSH, inclusiv cu redirecționare de porturi, ceea ce complică investigația și răspunsul la incident. Ce au observat cercetătorii și cum este folosit QEMU Cercetătorii Sophos au documentat două campanii în care QEMU a fost folosit ca parte din arsenalul atacatorilor, inclusiv pentru colectarea credențialelor de domeniu, notează publicația, trimițând la analiza Sophos . STAC4713 (observată prima dată în noiembrie 2025) a fost asociată cu operațiunea Payouts King. STAC3725 (observată în februarie) exploatează vulnerabilitatea CitrixBleed 2 (CVE‑2025‑5777) în instanțe NetScaler ADC și Gateway. În campania STAC4713, Sophos indică faptul că actorul malițios creează un task programat numit „TPMProfiler” care pornește o VM QEMU ascunsă cu privilegii SYSTEM. Sunt folosite fișiere de disc virtual camuflate ca baze de date și fișiere DLL, iar accesul este menținut prin tuneluri SSH și port forwarding. VM-ul rulează Alpine Linux 3.22.0 și include un set de unelte menționate de Sophos, precum AdaptixC2, Chisel, BusyBox și Rclone. Pentru acces inițial, cercetătorii au observat utilizarea unor VPN-uri SonicWall expuse, iar în atacuri mai recente exploatarea unei vulnerabilități SolarWinds Web Help Desk (CVE-2025-26399). Vectori de acces inițial: de la VPN expus la inginerie socială în Teams În incidente mai recente atribuite actorului, Sophos descrie și alte căi de intrare: într-un atac din februarie ar fi fost folosit un Cisco SSL VPN expus, iar în martie atacatorii s-au dat drept personal IT și au convins angajați, prin Microsoft Teams, să descarce și să instaleze QuickAssist. „În ambele situații, actorii au folosit binarul legitim ADNotificationManager.exe pentru a încărca lateral un payload Havoc C2 (vcruntime140_1.dll) și apoi au folosit Rclone pentru a exfiltra date către o locație SFTP la distanță”, arată Sophos. Separat, un raport Zscaler publicat în această săptămână susține că Payouts King este probabil legat de foști afiliați BlackBasta, pe baza unor metode similare de acces inițial (spam bombing, phishing prin Microsoft Teams și abuz de Quick Assist), potrivit Zscaler . De ce contează pentru apărarea endpoint: semnale de detecție recomandate Întrucât soluțiile de securitate de pe sistemul gazdă nu pot scana în interiorul VM-urilor, Sophos recomandă organizațiilor să urmărească indicatori care pot trăda prezența QEMU și a tunelurilor folosite pentru control la distanță, inclusiv: instalări neautorizate de QEMU; task-uri programate suspecte care rulează cu privilegii SYSTEM; redirecționări de porturi SSH neobișnuite; tuneluri SSH către exterior pe porturi neuzuale. În campania STAC3725, după compromiterea dispozitivelor NetScaler, atacatorii ar fi livrat o arhivă ZIP cu un executabil malițios care instalează un serviciu („AppMgmt”), creează un utilizator local cu drepturi de administrator (CtxAppVCOMService) și instalează un client ScreenConnect pentru persistență. Ulterior, este descărcat un pachet QEMU care rulează o VM Alpine Linux ascunsă folosind o imagine de disc „custom.qcow2”, iar uneltele sunt instalate și compilate manual în interiorul VM-ului (inclusiv Impacket, KrbRelayx, Coercer, BloodHound.py, NetExec, Kerbrute și Metasploit). Pentru echipele IT și de securitate, mesajul practic este că investigarea unui incident de ransomware nu mai poate presupune automat că „totul se vede” la nivelul sistemului de operare gazdă: apar tot mai des scenarii în care activitatea critică se mută într-o mașină virtuală ascunsă, iar detecția trebuie să includă și urme de virtualizare, tunelare și persistență la nivel de sistem. [...]
ANAF cere contribuabililor să nu ofere date personale sau bancare la telefon , pe fondul unor apeluri frauduloase în care persoane se prezintă drept inspectori ai Direcției Generale Antifraudă , potrivit Economica . Miza este una operațională: astfel de tentative de „ vishing” (fraudă prin apeluri telefonice) pot duce la compromiterea datelor și la pierderi financiare pentru persoane și firme. ANAF transmite că inspectorii Antifraudă nu solicită telefonic informații personale sau financiar-bancare și recomandă ca aceste date să nu fie divulgate „niciunui interlocutor necunoscut”. Ce trebuie făcut dacă primiți un astfel de apel Instituția indică folosirea formularului unic de contact de pe site-ul ANAF, disponibil la http://www.anaf.ro/asistpublic , pentru a trimite informațiile care pot fi observate în timpul apelului, inclusiv: numărul de telefon de la care a fost primit apelul; data și ora apelului; caracteristici ale vocii apelantului care pretinde că reprezintă ANAF. Ce se întâmplă cu sesizările ANAF precizează că datele și indiciile primite sunt incluse în sesizări către organele de cercetare penală, pentru investigarea unor posibile fapte de uzurpare a calității oficiale (pretinderea unei funcții publice fără drept). [...]
O vulnerabilitate din modul „ Express Transit ” al Apple Pay poate permite debitări de pe un iPhone blocat , însă riscul practic pentru utilizatori rămâne redus, în special din cauza condițiilor greu de îndeplinit, potrivit WinFuture . Problema vizează funcția Apple Pay „Express Transit” pentru transportul public, concepută să permită plata rapidă la turnicheți fără autentificare (fără Face ID sau cod PIN), pentru a nu încetini fluxul de călători. În scenariul descris, atacatorii folosesc un cititor NFC modificat care interceptează comunicarea dintre telefon și terminal, apoi redirecționează datele către un al doilea dispozitiv care execută tranzacția la un terminal real. În paralel, cititorul „păcălește” iPhone-ul că se află la un turnichet de transport public, ceea ce menține ocolirea autentificării. De ce contează: ocolirea autentificării, dar doar într-un caz îngust Demonstrația a fost prezentată de canalul Veritasium într-un clip pe YouTube, în care, într-un cadru de test, s-a reușit transferul a 10.000 de dolari (aprox. 46.000 lei) de pe telefonul blocat al lui Marques Brownlee. Totuși, materialul subliniază că pentru un atac reușit trebuie să se alinieze circumstanțe „extrem de improbabile”. Condițiile menționate pentru ca frauda să funcționeze includ: în Apple Wallet să fie setată o card Visa pentru modul rapid (Express) în transportul public; atacul să implice contact fizic prelungit cu telefonul (nu este suficientă o atingere scurtă, de tip „trecere pe lângă buzunar”); existența unui complice care să opereze simultan un terminal real de plată. În plus, metoda nu ar funcționa cu alte scheme de plată, precum Mastercard sau American Express, deoarece folosesc protocoale de criptare diferite. Impact operațional: expunere mai ales pentru turiști, nu pentru utilizarea curentă din România/Germania WinFuture notează că sistemul nu este disponibil în prezent în Germania, însă turiștii care călătoresc în orașe mari precum Londra sau Paris ar putea intra în contact cu acest tip de plată la transportul public. Cu alte cuvinte, expunerea ține mai degrabă de contexte specifice (călătorii și infrastructură de transport compatibilă), nu de utilizarea zilnică generală a plăților contactless. O problemă veche, evaluată ca risc scăzut Vulnerabilitatea ar fi documentată în cercetarea de securitate IT încă din 2021, iar Apple și Visa ar fi analizat-o la acel moment, fără să o remedieze, pe motiv că relevanța practică este redusă. Visa evaluează probabilitatea acestui tip de fraudă ca fiind „extrem de mică”, iar în cazul unor debitări neautorizate ar urma să se aplice, conform companiei, politica de „zero răspundere”, cu rambursarea sumelor de regulă fără complicații, dacă incidentul este raportat la timp. [...]
O pană globală Starlink a lăsat 24 de nave fără echipaj ale Marinei SUA fără control timp de aproape o oră, expunând un risc operațional major al dependenței Pentagonului de o infrastructură comercială unică , potrivit TechRadar , care citează o relatare Reuters și documente interne ale Marinei. Incidentul a avut loc în timpul unor teste desfășurate în august anul trecut, în largul coastei Californiei. Conform Reuters, cele 24 de ambarcațiuni autonome (descrise ca „bărci rapide fără scaune”) au rămas „plutind” în derivă pentru cea mai mare parte a unei ore, după ce o pană globală a afectat rețeaua de internet prin satelit Starlink. Ce arată testele: vulnerabilități de conectivitate și limitări la operare în „roi” Problemele nu s-ar fi limitat la acel episod. În săptămânile premergătoare penei din august, testele ar fi indicat o conectivitate intermitentă, iar în aprilie 2025 alte exerciții ale Marinei SUA, care au implicat atât nave fără echipaj, cât și drone aeriene, ar fi fost perturbate deoarece Starlink „s-a chinuit să ofere o conexiune solidă” în condițiile unui necesar mare de lățime de bandă, generat de numărul de platforme implicate. Reuters notează că un raport al Marinei a consemnat explicit limita apărută la utilizarea simultană a mai multor vehicule: „Dependența de Starlink a expus limitări sub încărcare cu mai multe vehicule.” În același timp, sursa menționează că Starlink nu a fost singurul punct de eșec: au existat și probleme legate de radiourile folosite, precum și de un sistem de rețea furnizat de Viasat. De ce contează: dependență de un furnizor comercial greu de înlocuit Miza operațională este că astfel de sisteme trebuie să rămână robuste și fiabile dincolo de faza de testare, mai ales dacă sunt folosite în contexte reale. TechRadar punctează, pe baza relatării Reuters, că Starlink este atractiv pentru guvernul SUA deoarece este un serviciu relativ ieftin și disponibil comercial, susținut de o constelație de aproximativ 10.000 de sateliți pe orbită joasă (LEO – sateliți aflați la altitudini mai mici, care reduc latența comunicațiilor). În material este citat Clayton Swope, director adjunct al Aerospace Security Project (Center for Strategic and International Studies) , care argumentează că, fără Starlink, guvernul SUA nu ar avea acces la o constelație globală de comunicații pe orbită joasă. Tot acolo, expertul Bryan Clark (Hudson Institute) rezumă compromisul acceptat în practică: „Accepți aceste vulnerabilități pentru beneficiile pe care ți le oferă omniprezența [Starlink].” Alternativele: există, dar nu la aceeași scară (încă) TechRadar ridică întrebarea alternativelor, dar concluzia desprinsă din exemplul invocat este că opțiunile comparabile ca amploare sunt limitate. Ca reper, publicația indică proiectul Amazon de internet prin satelit, prezentat ca rival al Starlink: serviciul era așteptat „la final de 2025”, însă disponibilitatea este menționată acum pentru „mijlocul lui 2026”. În plus, TechRadar citează Engadget, care a relatat că Amazon viza 1.600 de sateliți pe orbită până în iulie 2026, dar acum ar estima „mai puțin de jumătate” din acest nivel, în jur de 700, până atunci. În prezent, ar avea 241 de sateliți operaționali, mult sub scara Starlink. Reacții oficiale: fără comentarii Potrivit Reuters, Pentagonul nu a oferit răspunsuri la întrebările despre testele cu drone, iar Marina SUA și SpaceX au refuzat să comenteze. [...]
