Закон о биометрической идентификации в банках принят во втором чтении

Олег Иванов 15 Декабря 2017 - 17:40

...

Закон о биометрической идентификации в банках принят во втором чтении

В ходе пленарного заседания депутаты нижней палаты парламента приняли во втором чтении законопроект об использовании биометрических данных для удаленной идентификации клиентов банков.

Этот проект призван обеспечить правовое регулирование использования механизма интерактивной удаленной аутентификации и идентификации клиента. Идентификация и аутентификация физических лиц будут проводиться с использованием их биометрических персональных данных, а также с помощью сведений, содержащихся в единой системе идентификации и аутентификации (ЕСИА).

Это позволит кредитным организациям открывать счета клиенту без его личного присутствия с использованием интернета.

Проект предусматривает право кредитных организаций, получивших согласие клиента, на сбор и обработку его персональных данных, включая биометрические персональные данные, для последующей удаленной идентификации и оказания ему банковских услуг без его личного присутствия.

Также предусматривается обязанность кредитных организаций осуществлять сбор и передачу в ЕСИА персональных сведений клиента.

Для обеспечения безопасности персональных данных проектом предусматривается создание системы на государственном уровне в соответствии с требованиями, установленными правительством РФ по согласованию с Банком России, а также министерством связи и массовых коммуникаций России.

ЕСИА будет являться одним из центральных звеньев системы биометрической идентификации.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 26 Апреля 2024 - 15:38

Атаки на сайты Уязвимости сайтов Взлом сайтов Заражение веб-сайта Домашние пользователи

Критическая дыра в WordPress-плагине WP-Automatic используется в атаках

Киберпреступники пытаются использовать в атаках критическую уязвимость в плагине WP‑Automatic для сайтов на WordPress. В случае успешной эксплуатации брешь позволяет получить полный контроль над целевым веб-ресурсом.

Проблему, о которой идёт речь, отслеживают под идентификатором CVE-2024-27956. По шкале CVSS ей присвоили почти максимальный балл — 9,9.

«Уязвимость представляет собой возможность SQL-инъекции и создаёт серьёзные риски для владельцев веб-сайтов, поскольку злоумышленники могут получить несанкционированный доступ», — пишут специалисты WPScan в официальном уведомлении.

«Например, атакующие создают аккаунты с правами администратора, загружают вредоносные файлы и получают полный контроль над ресурсом».

По словам исследователей, проблема кроется в механизме аутентификации, реализованном в плагине WP-Automatic. Условный злоумышленник может обойти его с помощью SQL-запросов к базе данных.

В тех атаках, которые удалось отследить экспертам, CVE-2024-27956 используется для отправки несанкционированных запросов к БД и создания учётных записей уровня администратора (имена обычно начинаются на «xtw»).

После этого злоумышленники могут менять код и загружать любые файлы. В данных кампаниях атакующие устанавливают бэкдор и обфусцируют вредоносный код.

С 13 марта 2024 года команда Patchstack отследила уже 5,5 млн попыток эксплуатации CVE-2024-27956.