Google оштрафовали во Франции на €50 млн

Google оштрафовали во Франции на €50 млн

Корпорация Google столкнулась с очередным штрафом — на этот раз компанию оштрафовали во Франции на 50 миллионов евро за некорректное информирование пользователей в процессе получения их согласия на обработку персональных данных. Соответствующее решение приняла независимая административная организация Франции CNIL (Commission nationale de l'informatique et des libertés).

Напомним, что в задачи CNIL входит регулирование всего, что касается сбора, обработки и использования персональных данных граждан Франции. Регулятор опубликовал информацию о штрафе для Google на своем официальном сайте.

«Корпорации Google назначен штраф в 50 миллионов евро. Таким образом, это первый прецедент, когда CNIL назначает максимально допустимый уровень взыскания в рамках инициативы по защите данных», — пишет CNIL.

Представители CNIL считают, что американский интернет-гигант недостаточно информирует пользователей обо всем, что касается обработки и использования их данных. В частности, на сайте регулятора указывается, что Google не сообщает о том, в каком объеме данные используются, а также о том, какие именно сайты будут иметь доступ к этим данным.

Более того, проблема еще кроется и в невозможности получить всю необходимую информацию из одного документа — чтобы узнать, для каких целей используются ваши данные и сколько они хранятся, вам придется изучить несколько документов.

Оштрафовали Google по инициативе группы активистов None of Your Business, выступающей за защиту персональных данных. Эта же группа на днях обвинила YouTube, Netflix, Amazon, Apple, Spotify и Soundcloud в нарушении принятого в мае Общего регламента по защите данных (GDPR).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Новая атака с подделкой HTTP-запроса угрожает пользователям браузеров

Специалист по кибербезопасности Джеймс Кеттл предупреждает о новом способе использования HTTP-запросов в ходе кибератак на браузеры пользователей. Ранее Кеттл уже демонстрировал метод эксплуатации обработки HTTP-запросов со стороны веб-сайтов.

Эти так называемые атаки десинхронизации используют разногласия в том, как фронтенд и бэкенд сайта с одной стороны и фронтенд сервера — с другой интерпретирует HTTP-запросы. Эксплуатация таких нестыковок может перенаправить запросы компоненту бэкенда.

В результате для атакующего открывается целый спектр вредоносных действий: кража учётных данных, вызов неожиданных ответов от приложения и т. п. Год назад Кеттл описывал этот вектор в одной из своих статей.

Новое исследование специалиста строится на том, как киберпреступник может использовать те же проблемы обработки некорректного HTTP-запроса в ходе атак на посетителей веб-ресурсов. По словам эксперта, с помощью этого метода злоумышленники могут украсть учётные данные, установить бэкдоры и в целом скомпрометировать систему условного пользователя.

Согласно описанию Кеттла, атаки десинхронизации можно провести на Amazon.com и другие сайты, использующие AWS Application Load Balancer, Cisco ASA WebVPN, Akamai, Varnish Cache и Apache HTTP Server 2.4.52 и более старые версии.

Главное отличие атак десинхронизации на стороне сервера и на стороне клиента заключается в том, что в первом случае у злоумышленника под контролем должны быть системы с обратным прокси, а во втором ему потребуется специально сформированные запросы.

Для пользователя эти атаки опасны тем, что происходят непосредственно в его браузере. Кеттл продемонстрировал proof-of-concept, с помощью которого он смог перехватить токены аутентификации случайных пользователей на сайте Amazon.

В двух видеороликах специалист также показал атаку на Pulse Secure VPN и MITM на Apache (обе на стороне клиента):

 

С подробным техническим разбором этого вектора атаки можно ознакомиться в отчёте Джеймса.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru