Американские интернет-компании требуют пересмотра закона о персональных данных

...

Американские интернет-компании и правозащитники требуют существенного пересмотра законодательства о защите персональных данных, утверждая, что сейчас государство имеет практически неограниченный доступ к подобного рода информации. Участники коалиции Digital Due Process - среди которых, в частности, находятся такие интернет-гиганты, как Google и eBay - пытаются добиться принятия нового закона, который заменил бы собой действующий в США Акт о защите персональной электронной коммуникации, принятый еще в 1986 году, до широкого внедрения интернета. Они требуют, чтобы было законодательно оформлен запрет на доступ правоохранительных органов к электронной переписке без соответствующей санкции суда, сообщает британский телеканал BBC.



Кроме того, активисты добиваются большей законодательной защиты любых данных, хранящихся в интернете, и ограничений на использование возможности отслеживать местоположение абонентов мобильной связи.

Акт о защите персональной электронной коммуникации (ECPA), принятый в 1986 году, определяет, к каким видам персональной электронной информации имеют доступ органы власти и каким образом этот доступ осуществляется. "Неудивительно, что закон, написанный в 1986 году, не мог предусмотреть степень защиты, которая нужна нам сейчас, 25 лет спустя", - говорит Ричард Салгадо, старший советник компании Google по законодательству и информационной безопасности.

Как и другие члены коалиции (всего в нее входят более 30 человек - представители промышленности, академической среды и правозащитники), Салгадо считает, что ECPA превратился в "мешанину запутанных стандартов, которые весьма противоречиво трактуются в суде".

К примеру, правоохранительные органы имеют право получать доступ к некоторым электронным письмам, смс-сообщениям и другой информации, хранящейся в сети, без постановления суда - для этого достаточно просто повестки.

Активисты настаивают на том, что для подобного рода следственных действий санкция суда необходима - точно так же, как она необходима для проведения обыска или изъятия компьютера.

Такой же защиты коалиция требует для любой персональной информации об абонентах сотовой связи, которой обладают их мобильные операторы. Предоставлять такую информацию правоохранительным органам можно только по решению суда, считают активисты, при этом доступ может быть предоставлен только к той части переписки, которая имеет непосредственное отношение к расследованию.

"В законе должно быть четко указано, что аналогичные правила распространяются на электронную почту и все документы, хранящиеся на серверах провайдеров, однако при этом документ должен быть достаточно гибким, чтобы не мешать правоохранителям выполнять свою работу", - говорит Джим Демпси из Центра демократии и технологии.

По словам членов коалиции, они уже провели переговоры с Белым домом, ФБР, министерствами юстиции и торговли. Активисты отдают себе отчет в том, что правоохранительные органы всячески будут сопротивляться внесению любых изменений в существующий закон и до того, как проект его новой редакции будет внесен в конгресс, предстоят жаркие дебаты.

"Мы не ожидаем, что эти изменения вступят в силу уже в этом году, но пришло время начать диалог", - говорит Демпси.

Источник

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Хакеры перехватывают 2FA с помощью хитроумной переадресации звонков

Специалисты по безопасности обнаружили, что злоумышленники отправляют жертвам вредоносную ссылку, которая автоматически настраивает переадресацию вызовов на нужный телефонный номер.

В свою очередь, как объясняют в 404 Media, это позволяет злоумышленникам перехватывать звонки и извлекать из них коды двухфакторной аутентификации.

Хакеры обманным путем заставляют своих жертв посредством нажатия на мошенническую ссылку с префиксом «tel://» набрать строго определенный номер телефона, указанный после слеша. Телекоммуникационные компании могли бы смягчить последствия атак, внедрив больше механизмов аутентификации.

Исследователь в области безопасности Джеймисон Винсенти О'Рейли отметил, что данные атаки представляют собой серьезную проблему, так как от жертвы требуется минимальное участие. После клика по ссылке и нажатия кнопки телефон самостоятельно набирает номер, а далее пользователю сообщается о переадресации звонков.

Самое интересное, что не срабатывает дополнительный механизм аутентификации, который бы позволил убедиться, что пользователь действительно хочет настроить переадресацию вызовов.

 

Специалист О'Рейли показал, как с помощью этой техники можно перехватить код двухфакторной аутентификации от Gmail. Этот и другие сервисы могут стать мишенью для атаки, поскольку иногда они передают такие коды голосом, а не просто текстом.

Представитель Google в своём сообщении отметил, что ограничение на использование голосовой верификации распространяется только на номера, указанные пользователем. Компания рекомендует проявлять осторожность в отношении неизвестных сообщений и ссылок от незнакомых пользователей. Для дополнительной защиты Google предлагает использовать одноразовые пароли, генерируемые приложениями, пуш-уведомления на телефоны, а также ключи доступа и токены.

В следующем видео О'Рейли рассказывает, что злоумышленник может позвонить жертве, представившись агентом службы поддержки или сотрудником телекоммуникационной компании, при этом подделав номер. Для перехвата телефонных звонков жертвы, хакер отправляет специально составленное СМС-сообщение с просьбой перезвонить.

 

В качестве дополнительных рекомендаций по предотвращению атак исследователь предлагает ввести ПИН-код, который был бы известен только пользователю, для настройки переадресации.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru