VeriSign желает получить надзорные права в доменах .COM и .NET

VeriSign желает получить надзорные права в доменах .COM и .NET

Подразделение Symantec запрашивает у ICANN право на принятие тех или иных карательных мер по отношению к доменным именам, которые были замечены в киберкриминальной активности - ради надлежащего выполнения судебных постановлений и указаний различных служб охраны правопорядка.


Представители VeriSign говорят, что их организация желает располагать возможностью запрещать регистрацию адресов в зонах COM и NET, отменять ее или передавать доменное имя другому владельцу в любых случаях обнаружения злоупотреблений и противозаконной деятельности со стороны хозяина адреса, подавляя таким образом опасные или подозрительные сетевые ресурсы "во исполнение решений и ордеров суда, нормативно-правовых актов, требований правительства, запросов правоохранительных органов, а также в процессе разрешения споров и конфликтов". В ICANN уже направлен соответствующий документ.

VeriSign вообще активно сотрудничает с полицией, спецслужбами и государственными ведомствами в подобных вопросах - в случае необходимости приостанавливает делегирование киберкриминальных доменных имен или отменяет их регистрацию. Некоторое время назад по просьбе таможенно-иммиграционной службы США регистратор "обработал" подобным образом несколько адресов, с которых осуществлялась продажа контрафактных товаров и пиратской продукции, но по завершении операции столкнулся с ожесточенной критикой - ранее испанский суд признал один из сайтов, чье доменное имя подверглось изъятию, легитимным ресурсом. Вышеупомянутая американская служба в ответ заявила, что все адреса в домене COM подпадают под юрисдикцию Соединенных Штатов, так что предпринятые действия были законными. Чтобы избежать подобных спорных ситуаций в будущем, VeriSign оформила просьбу признать ее официальным надзирателем всего доменного пространства COM (и NET впридачу).

Также в документе содержится запрос относительно возможности развертывания механизма антивирусного сканирования, который бы регулярно осуществлял проверки веб-сайтов на предмет вредоносного программного обеспечения и прочего нежелательного содержимого. В настоящее время такой механизм работает в недавно созданной доменной зоне XXX. VeriSign намерена запускать исследование раз в квартал, после чего информировать владельцев инфицированных сетевых ресурсов о наличии заражения. Предвидя возможное недовольство со стороны пользователей по поводу некорректного подавления легитимных сайтов, организация подчеркнула, что в наличии будет политика обжалования решений об отмене или приостановке регистрации адресов.   

The Register

Письмо автору

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ИИ-рекрутер McDonald’s слил 64 млн анкет — пароль был «123456»

В системе подбора персонала McDonald’s нашли критическую уязвимость — и всё из-за пароля «123456». Два исследователя в области ИБ, Иэн Кэрролл и Сэм Карри, всего за полчаса получили админ-доступ к платформе McHire[.]com, где чат-бот по имени Olivia проводит первичный отбор соискателей.

Проблема оказалась в том, что один из аккаунтов имел смехотворно слабый пароль, с которым исследователи получили доступ ко всей базе: имена, телефоны, почта и даже полные переписки с ботом — примерно 64 миллиона записей.

Более того, уязвимость позволяла просто менять ID в адресной строке и просматривать чужие анкеты. Все данные были реальными, и любая попытка наугад открывала информацию настоящих людей.

 

Компания-разработчик Paradox.ai признала утечку и в блоге пообещала усилить защиту. По словам главного юриста Стефани Кинг, уязвимость уже устранили, и кроме самих исследователей никто к данным не успел получить доступ.

В ближайшее время Paradox планирует запустить программу по поиску уязвимостей (bug bounty).

McDonald’s в ответ заявила, что потребовала от Paradox.ai срочного исправления проблемы и пообещала тщательнее следить за подрядчиками в будущем.

Эксперты предупреждают: утечка может привести к волне фишинга. Мошенники легко смогут выдать себя за рекрутеров McDonald’s и, например, попросить «кандидатов» отправить банковские данные для «оформления перевода зарплаты».

Этот инцидент поднимает важный вопрос: насколько надёжны системы на базе ИИ, особенно когда дело касается данных тех, кто ищет работу и находится в уязвимом положении?

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru