Știri din categoria Securitate cibernetică
Știri Securitate cibernetică
Vulnerabilitate în WhatsApp: metadatele a 3,5 miliarde de conturi, accesibile prin „Contact Discovery”; Meta a introdus limitări la API
O vulnerabilitate din WhatsApp a permis expunerea metadatelor a 3,5 miliarde de conturi potrivit Mobilissimo , după ce cercetători de la Universitatea din Viena și SBA Research au demonstrat că se putea construi, practic, o „carte de telefon globală” a utilizatorilor. Prin această breșă, au putut fi verificate numerele de telefon asociate aplicației și au fost accesibile metadate publice precum fotografia de profil, statusul și ultima activitate online. Problema a fost identificată în funcția „Contact Discovery”, folosită pentru a verifica ce contacte din agendă utilizează WhatsApp. Conform descrierii, interfața de programare nu avea un limitator real de interogări, ceea ce ar fi permis verificarea a până la 100 de milioane de numere de telefon pe oră. Cercetătorii au precizat că au acționat ca „hackeri etici” și au transmis informațiile către Meta pentru remediere. Pe lângă confirmarea existenței conturilor, echipa a extras și câteva statistici: 81% dintre utilizatori ar fi pe Android și 19% pe iOS. Totodată, s-a constatat că 58% dintre numerele de telefon expuse în breșa de date Facebook din 2021 ar fi încă active în WhatsApp. În țări unde serviciul este cenzurat sau blocat, precum China, ar fi fost identificate peste 2,3 milioane de conturi active, iar în Coreea de Nord au fost găsite cinci numere asociate WhatsApp . Meta a închis între timp vulnerabilitatea, introducând limitări stricte de acces la interfața de programare. Chiar și așa, rămâne îngrijorarea că metoda ar fi putut fi folosită anterior fără a lăsa urme, iar cercetătorii au semnalat și existența unor grupuri de conturi care împart aceeași cheie publică de acces, indiciu al utilizării unor aplicații modificate, întâlnite în rețele de boți sau în ferme de clicuri, cu potențial de a submina mecanismele de securitate pe care se bazează WhatsApp. [...]
Datele angajaților McDonald’s România, expuse într-un atac informatic; compania, amendată cu suma de 8.000 de euro, de către ANSPDCP
Premier Restaurants România, operatorul lanțului McDonald’s din România, a fost amendat cu 8.000 de euro de ANSPDCP pentru un incident de securitate informatică ce a compromis datele personale ale angajaților. Aflăm prin intermediul go4it.ro că Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal a sancționat compania pentru neîndeplinirea obligațiilor prevăzute în Regulamentul General privind Protecția Datelor (GDPR), în urma unui atac informatic care a vizat aplicația internă a operatorului. Incidentul a fost semnalat chiar de către Premier Restaurants România, în conformitate cu articolul 33 din GDPR, care impune notificarea autorităților competente în cazul unei breșe de securitate. Ulterior, în cadrul investigației, ANSPDCP a constatat că atacul informatic a permis accesarea neautorizată a unor date cu caracter personal, aparținând unui număr semnificativ de salariați. Informațiile compromise includ: Numele și prenumele angajaților Data nașterii Adresa de e-mail Funcția ocupată în cadrul companiei Conform comunicatului autorității, compania nu a implementat măsuri tehnice și organizatorice suficiente pentru a proteja aceste date. De asemenea, Premier Restaurants România nu s-a asigurat că partenerii săi contractuali (persoane împuternicite să prelucreze datele) oferă garanții adecvate în privința protecției datelor, așa cum prevede articolul 28 alineatul (1) din același regulament european. Lipsa unui nivel corespunzător de securitate a permis atacatorilor să exploateze vulnerabilități ale aplicației informatice, ducând la încălcarea confidențialității datelor personale ale angajaților. Nu este specificat dacă breșa a afectat și datele clienților, însă până în prezent nu s-au semnalat astfel de consecințe. Premier Restaurants România a plătit amenda contravențională de 8.000 de euro, ceea ce indică acceptarea responsabilității pentru incidentul produs. Totuși, rămâne deschisă întrebarea dacă măsurile corective ulterioare vor fi suficiente pentru a preveni alte incidente similare în viitor, mai ales având în vedere sensibilitatea datelor gestionate de un operator de talia McDonald’s. [...]
Nouă înșelătorie pe WhatsApp în România; utilizatorii riscă să piardă accesul la conturi
O nouă înșelătorie pe WhatsApp, care implică o „firmă de curierat falsă”, a început să facă victime în România și poate duce la pierderea accesului la conturile utilizatorilor, informează Știrile PRO TV . Escrocheria constă într-un link aparent trimis de o firmă de curierat, care, odată accesat, redirecționează utilizatorul către o pagină falsă. Procurorul șef al Parchetului de pe lângă Tribunalul Brașov, Adrian Radu, avertizează că această metodă este similară cu alte înșelătorii anterioare, dar de data aceasta mesajul se prezintă ca fiind de la o firmă de curierat. Odată ce victima accesează linkul și introduce numărul de telefon și codul primit prin SMS, atacatorii preiau controlul contului de WhatsApp. După ce atacatorii obțin acces la cont, aceștia pot trimite mesaje contactelor din agenda telefonică, solicitând bani sub pretextul unui împrumut urgent. Mesajele sunt concepute să pară autentice, cerând sume de bani ce urmează a fi returnate a doua zi. Pentru a preveni astfel de situații, procurorul recomandă activarea autentificării în doi pași pe WhatsApp și evitarea accesării linkurilor din mesaje neașteptate. De asemenea, este important să verificați expeditorul real prin aplicația oficială a companiei de curierat. [...]