Κυριακίδης: Να βγούμε ξανά προς τα έξω
Αφού αναφέρθηκε ότι δύο από τα μεγάλα τρία πρακτορεία καταναλωτικών πιστώσεων, συμπεριλαμβανομένων των Equifax και Experian, επλήγησαν από σοβαρή παραβίαση της ασφάλειας, έχουν πλέον αναφερθεί ότι μία από τις τέσσερις μεγάλες λογιστικές εταιρίες Deloitte παραβιάστηκε πέρσι, δεδομένων.
Το χάος της Deloitte παραβίασε τα ονόματα χρηστών, τους κωδικούς πρόσβασης και τα προσωπικά στοιχεία των υπαλλήλων της επιχείρησης καθώς και μερικούς από τους πελάτες της με «blue-chip», σύμφωνα με την έκθεση The Guardian.
Η έκθεση ανέφερε επίσης ότι η εταιρεία γνώριζε την παραβίαση του δικτύου τους το Μάρτιο του 2017. Η Deloitte παρέμεινε αβέβαιη για το επίπεδο παραβίασης και για πόσο διάστημα οι εισβολείς είχαν πρόσβαση στα δεδομένα τους.
Η έκταση της ζημίας από την παραβίαση επιβεβαιώθηκε από μια ανώνυμη πηγή στον εμπειρογνώμονα ασφαλείας Brian Kreb, ο οποίος αποκάλυψε επίσης ότι η παραβίαση της ασφάλειας συνέβη πραγματικά το φθινόπωρο του 2016.
Η ανώνυμη πηγή είπε στο KrebsonSecurity: "Νομίζω ότι είναι ατυχές το πώς το χειρίσαμε αυτό και το σαρώσαμε κάτω από το χαλί. Δεν ήταν ένα μικρό ποσό emails όπως αναφέρθηκε. Πρόσβαση σε ολόκληρη τη βάση δεδομένων ηλεκτρονικού ταχυδρομείου και σε όλους τους λογαριασμούς διαχειριστή. Αλλά ποτέ δεν ειδοποιήσαμε τους συμβουλευτικούς πελάτες μας ή τους υπολογιστές μας στον κυβερνοχώρο."
Μία από τις τέσσερις μεγαλύτερες λογιστικές εταιρείες, οι υπηρεσίες της Deloitte περιλαμβάνουν ελέγχους, φοροτεχνικές συμβουλές και συμβουλές για την ασφάλεια στον κυβερνοχώρο. Η λίστα των πελατών της περιλαμβάνει αρκετές κυβερνητικές υπηρεσίες, φαρμακευτικές εταιρείες, πολυεθνικές εταιρείες, οντότητες μέσων ενημέρωσης και μερικές μεγάλες τράπεζες.
Κανένας από τους λογαριασμούς που παραβιάστηκαν δεν είχε ένα σύστημα επαλήθευσης σε δύο βήματα, αντί να στηρίζεται σε έναν ενιαίο κωδικό ασφαλείας.
Έχει αναφερθεί ότι τα μηνύματα ηλεκτρονικού ταχυδρομείου προς και από όλους τους 244.000 υπαλλήλους της Deloitte, τα οποία αποθηκεύτηκαν στην υπηρεσία cloud Azure της Microsoft, ήταν προσβάσιμα στους επιτιθέμενους - οι οποίοι εξακολουθούν να αγνοούνται.
Η Deloitte υποστήριξε ότι η παραβίαση είχε επηρεαστεί από «πολύ λίγους πελάτες» και όλοι τους έρχονται σε επαφή με την εταιρεία μόλις εντοπιστεί η παραβίαση.
Αλλά το γεγονός παραμένει ότι αρκετοί μήνες χρειάστηκε η Deloitte να ανακαλύψει τη διείσδυση και αρκετούς ακόμη μήνες να βρεθούν καθαρά για όλο το περιστατικό -όπως και ο Guardian ανέφερε το περιστατικό.
Περισσότερα στα Νέα: Χρησιμοποιήστε το CCleaner; Η ασφάλεια σας μπορεί να συμβιβαστείΔεδομένης της τρέχουσας κατάστασης που αντιμετωπίζουν οι μεγάλες εταιρείες όπως η Equifax, η Experian και τώρα η Deloitte, οι οποίες είναι υπεύθυνες για τη συγκέντρωση προσωπικών και οικονομικών πληροφοριών σχετικά με την πελατεία τους, είναι αυτονόητο ότι πρέπει να δημιουργηθεί ένα ισχυρότερο και αποτελεσματικότερο πλαίσιο ασφάλειας.
Πιο συγκεκριμένα, υπάρχει ανάγκη υπευθυνότητας σε περίπτωση παραβίασης, αντί να χτυπάει γύρω από τον θάμνο, διότι στο τέλος της ημέρας έχουν επηρεαστεί τα δεδομένα του πελάτη, τα οποία είναι πολύ πιο καταστροφικά από ό, τι ένα εμπορικό σήμα που αμαυρώνεται.
Πέρυσι, η WabiSabiLabi άνοιξε έναν ηλεκτρονικό ιστότοπο δημοπρασιών για αδυναμίες ασφαλείας χωρίς ακεραιότητα, που ονομάζεται επίσης 0days. Ο επιδιωκόμενος στόχος της εταιρείας ήταν να προσφέρει μια αγορά που θα επέτρεπε σε ανεξάρτητους ερευνητές ασφάλειας να κερδίσουν τα προς το ζην από τις ευπάθειες που ανακαλύπτουν. Για να αποφευχθεί η εξάπλωση των τρωτών σημείων στα χέρια των εγκληματιών, επιτρέπεται να χρησιμοποιούν μόνο τον εξειδικευμένο αγοραστή τον δικτυακό τόπο δημοπρασιών WabiSabiLabi.
Ενώ οι εταιρείες ασφάλειας πληρώνουν συνήθως τους ερευνητές για ευπάθειες και στη συνέχεια διατηρούν αυτές τις πληροφορίες υπό περιτύλιξη, ορισμένοι πιστεύουν ότι οι ερευνητές πρέπει πρώτα να αποκαλύψουν οι ευπάθειες στους πωλητές είναι ελεύθερες και, όταν απελευθερώνεται μια ενημερωμένη έκδοση κώδικα, κάνουν τις λεπτομέρειες της ευπάθειας διαθέσιμες στο κοινό, μια πρακτική που είναι γνωστή στην κοινότητα ασφαλείας ως ηθική αποκάλυψη.
Μπορεί να είναι Ιούνιος, αλλά οι τεχνίτες της Microsoft δεν έχουν στρέψει την προσοχή τους στις καλοκαιρινές διακοπές ακόμα. Αντ 'αυτού, οι μηχανικοί ασφαλείας της εταιρείας έχουν ασχοληθεί με την προετοιμασία 10 σημαντικών ενημερωτικών εκδόσεων λογισμικού που διορθώνουν 31 σημαντικά θέματα ευπάθειας ασφαλείας στα Windows, το Office και σε άλλα προϊόντα της Microsoft. Δεκαεπτά από τα τρωτά σημεία ταξινομούνται από την εταιρεία ως "κρίσιμες διορθώσεις".
Οι ενημερώσεις κώδικα παραδόθηκαν την Τρίτη μέσω του Windows Update και στοχεύουν στα Windows XP και, σε μικρότερο βαθμό, στα Vista. Οι χρήστες Beta των Windows 7 δεν φαίνεται να έχουν συμπεριληφθεί στην ενημερωμένη έκδοση. Εάν ο υπολογιστής σας δεν έχει ρυθμιστεί για λήψη αυτόματων ενημερώσεων, θα πρέπει να είναι.
Η νέα νομοθεσία που θεσπίστηκε από μια ομάδα νομοθετών των ΗΠΑ θα απαιτούσε από τους προγραμματιστές εφαρμογών κινητής τηλεφωνίας να λαμβάνουν συγκατάθεση από τους καταναλωτές πριν συλλέξουν τα προσωπικά τους δεδομένα και να εξασφαλίσουν τα δεδομένα που συλλέγουν. και Ασφάλειας (APPS), που εισήχθη από τον εκπρόσωπο Χανκ Τζόνσον, έναν Δημοκρατικό της Γεωργίας και άλλους νομοθέτες, θα απαιτούσε επίσης από τους προγραμματιστές εφαρμογών να διατηρούν πολιτικές απορρήτου. Το νομοσχέδιο θα επιτρέψει σ
"Πολλοί καταναλωτές δεν γνωρίζουν ότι συλλέγονται τα δεδομένα τους", δήλωσε ο Johnson ανακοινώνοντας τον νόμο APPS το λόγο της Βουλής των Αντιπροσώπων. "Πρέπει να υπάρξουν κανόνες κοινής λογικής του δρόμου για αυτήν την αναδυόμενη πρόκληση."