На Apple подали в суд за продажу данных о покупках в iTunes

На Apple подали в суд за продажу данных о покупках в iTunes

Пользователи продукции Apple подали в суд на корпорацию. В исковом заявлении утверждается, что Apple незаконно продавала информацию о покупках в iTunes третьим лицам. По словам недовольных пользователей, их согласия при этом никто не спрашивал.

Благодаря Bloomberg стало известно, что документ был зарегистрирован судом в Сан-Франциско. По словам истцов, Apple продавала не только общую информацию о покупках в iTunes, но и привязанные к ним персональные данные пользователей.

Отмечается, что такое поведение вполне можно счесть незаконным. Более того, судя по всему, это нарушает политику самой корпорации Apple о неразглашении персональных данных пользователей.

В своих рекламных роликах Apple использует фразу «Что происходит на вашем iPhone, остается на вашем iPhone». Подавшие исковое заявление пользователи ставят под сомнение такой девиз, полагая, что на совершенные покупки он не распространяется.

Общее число недовольных клиентов насчитывает сотни тысяч, а представляют их интересы всего лишь трое пользователей iTunes, выступая от лица штата, в котором проживают все «пострадавшие».

Среди данных, которые Apple якобы продает третьим лицам, были указаны следующие: полные имена пользователей, домашние адреса, предпочитаемые музыкальные жанры, конкретные музыкальные композиции, приобретенные в сервисе iTunes.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Новая атака с подделкой HTTP-запроса угрожает пользователям браузеров

Специалист по кибербезопасности Джеймс Кеттл предупреждает о новом способе использования HTTP-запросов в ходе кибератак на браузеры пользователей. Ранее Кеттл уже демонстрировал метод эксплуатации обработки HTTP-запросов со стороны веб-сайтов.

Эти так называемые атаки десинхронизации используют разногласия в том, как фронтенд и бэкенд сайта с одной стороны и фронтенд сервера — с другой интерпретирует HTTP-запросы. Эксплуатация таких нестыковок может перенаправить запросы компоненту бэкенда.

В результате для атакующего открывается целый спектр вредоносных действий: кража учётных данных, вызов неожиданных ответов от приложения и т. п. Год назад Кеттл описывал этот вектор в одной из своих статей.

Новое исследование специалиста строится на том, как киберпреступник может использовать те же проблемы обработки некорректного HTTP-запроса в ходе атак на посетителей веб-ресурсов. По словам эксперта, с помощью этого метода злоумышленники могут украсть учётные данные, установить бэкдоры и в целом скомпрометировать систему условного пользователя.

Согласно описанию Кеттла, атаки десинхронизации можно провести на Amazon.com и другие сайты, использующие AWS Application Load Balancer, Cisco ASA WebVPN, Akamai, Varnish Cache и Apache HTTP Server 2.4.52 и более старые версии.

Главное отличие атак десинхронизации на стороне сервера и на стороне клиента заключается в том, что в первом случае у злоумышленника под контролем должны быть системы с обратным прокси, а во втором ему потребуется специально сформированные запросы.

Для пользователя эти атаки опасны тем, что происходят непосредственно в его браузере. Кеттл продемонстрировал proof-of-concept, с помощью которого он смог перехватить токены аутентификации случайных пользователей на сайте Amazon.

В двух видеороликах специалист также показал атаку на Pulse Secure VPN и MITM на Apache (обе на стороне клиента):

 

С подробным техническим разбором этого вектора атаки можно ознакомиться в отчёте Джеймса.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru