CNIL оштрафовала Google за сбор личных данных граждан Франции

Французский правовой регулятор CNIL (Национальная комиссия по вопросам информационных прав и свобод), ведающий охраной персональных данных граждан страны, наложил штраф на компанию Google за сбор информации из беспроводных сетей, который осуществили в 2010 году беспилотные автомобили поискового гиганта.

Напомним, что машины в автоматическом режиме фотографировали улицы европейских городов для нужд нового сервиса Google Street View. Впоследствии выяснилось, что параллельно с этим они перехватывали передаваемые по незащищенным Wi-Fi-соединениям данные и сохраняли их на носители информации; сама Google утверждала, что это вышло случайно, из-за ошибки в программном обеспечении.

Так или иначе, но CNIL квалифицировала произошедшее как нарушение законодательства о правах и свободах личности в информационном пространстве. Теперь Google должна выплатить французам 100 тыс. евро (около 4 млн. рублей), и не исключено, что это только начало; во всяком случае, свои расследования инцидентов ведут государственные ведомства Германии, Испании и Италии, и если они придут ко схожим выводам, то список принятых к компании мер наказания увеличится как минимум на несколько пунктов.

Кроме того, данное происшествие рассматривается еще и в 30 штатах США; местные власти также намерены полноценно изучить проблему и выяснить, какой именно объем данных был собран автомашинами Street View. Впрочем, Google давно выразила готовность к сотрудничеству с правительственными структурами и пообещала по первому запросу предоставлять архивы сведений для изучения и / или удалять их. В частности, подобной договоренности компания достигла в результате переговоров с британским информационным комиссариатом - в конце 2010 года вся информация, касавшаяся беспроводных сетей Великобритании, была уничтожена.

V3.co.uk

Письмо автору

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Защита банкоматов Diebold Nixdorf от атак black box оказалась ненадежной

Исследователи из Positive Technologies выявили уязвимости в банкоматах Wincor линейки Cineo (торговая марка принадлежит концерну Diebold Nixdorf). Как оказалось, их можно заставить выдать наличные, подав команду с внешнего устройства, — невзирая на защиту от подобных атак.

Проверка показала, что встроенную защиту от атак типа black box (сквозное шифрование управляющего трафика) можно обойти, подменив прошивку контроллера диспенсера. При наличии доступа к USB-порту искомый результат — принудительную выдачу наличных — можно получить за несколько минут.

Пробная атака, проведенная в лабораторных условиях, состояла из трех этапов: подключение стороннего устройства к банкомату, загрузка устаревшей и уязвимой прошивки, эксплуатация уязвимостей для получения доступа к содержимому кассет.

«На популярном сайте объявлений был куплен такой же контроллер, управляющий выдачей, какой установлен в серийных ATM Wincor, — рассказывает Владимир Кононович, старший специалист отдела PT по безопасности промышленных систем управления. — Найденные в контроллере ошибки в коде и старые ключи шифрования дали возможность подключиться к ATM с помощью собственного компьютера (как в случае с классической атакой black box), обойти шифрование и произвести выдачу наличных».

Проблема актуальна для Wincor Cineo с диспенсерами RM3/CRS и CMD v5 (CVE-2018-9100 и CVE-2018-9099 соответственно). Избавиться от нее можно обновлением прошивки, запросив последнюю версию у производителя банкоматов. Вендорам также рекомендуется включить физическую аутентификацию для оператора во время установки встроенного ПО.

Обе уязвимости были обнаружены и поставлены производителю на вид более трех лет назад. Компания Diebold Nixdorf заявила, что проблема уже устранена, поэтому авторы находок решили опубликовать свое исследование. Результаты будут также представлены 29 октября на конференции по безопасности аппаратных решений Hardwear.io, проходящей на этой неделе в Нидерландах.

В 2018 году специалисты Positive Technologies помогли избавиться от похожей уязвимости другому крупному производителю банкоматов — NCR. Этот вендор проявил большую оперативность и залатал брешь в сжатые сроки.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru