Многие банки встают в тупик, когда к ним приходит клиент и, ссылаясь на ФЗ "О персональных данных" пишет заявление о отзыве своих персональных данных. Как продолжать договорные отношения с таким клиентом? Что делать с персональными данными клиента? Эти вопросы рассматривались в статье на сайте "Банки.Ру" ещё в 2015 году.
С разной периодичностью в Народном рейтинге появляются "заявления" на отзыв персональных данных и запрет их дальнейшей обработки у банка. Если кроме "заявления" в отзыве появляется еще что-то, что хоть немного похоже на отзыв и повествует о взаимоотношениях Автора с Банком, то обычно это гневное повествование Автора о том, как он платить не может, а Банк его заставляет, звонит и шлет письма. И вот только из-за такого "хамского" отношения Банка к Автору, этот самый Автор и отзывает свои ПД у банка.
Можно так же пройтись по форуму и почитать длинные ветки обсуждений на эту тему например тут. Можно найти множество других сайтов и форумов с подобного рода заявлениями и обсуждением их. Высказываний непонятного рода "юристов" активно советующих писать подобные заявления. Можно даже зайти на сайт АнтиРусскийСтандарт и поучаствовать в веселье там.
Но что же с отзывом на самом деле?
Начнем с того, что установим какие именно документы и законы нас в данном случае интересуют. Первое и основное - Федеральный Закон РФ N 152-ФЗ "О персональных данных". Пока я не буду приводить тексты самого закона, скажу только что основанием для обработки персональных данных в случае Заемщика и Банка является договор, а как следствие мы должны включить в список интересующих нас документов и законов еще и Договор с банком.
Но, начнем читать 152-ФЗ. Итак:
Статья 9. Согласие субъекта персональных данных на обработку его персональных данных
1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
2. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 настоящего Федерального закона.
Заинтересованный взгляд "юриста" или Заемщика выхватывает из этой статьи закона первое предложение второго пункта и вот уже радостный Заемщик заполняет формочку заявления на отзыв ПД. Правильно ли это? Не совсем, давайте рассмотрим закон полностью, сейчас нас интересует:
Статья 6. Условия обработки персональных данных
1. Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
Нас интересует именно п. 1 пп. 5 данной статьи. Где несколько сложно для понимания обывателя, но все таки достаточно явно сказано, что в случае если обработка персональных данных необходима для исполнения договора данная обработка допускается.
Фактически это означает только одно - Банку как одной из сторон договора незачем получать от Заемщика, как в прочем и от любого клиента банка связанного с ним договором разрешение на обработку ПД этого клиента. Право на обработку ПД у Банка возникает автоматически, сразу после заключения договора. И отозвать это право в соответствии со ст. 6 ФЗ-152 у банка просто нельзя. Это право ему предоставил закон, а вовсе не клиент.
Вот такая петрушка.
Но мы ходим отозвать наши ПД! Да без проблем, скажу я вам, для этого достаточно лишить Банк права на обработку ваших персональных данных. То есть - закрыть договор. Если это договор кредитный, вам достаточно погасить кредит, расторгнуть после этого договор и уже после этого подать в банк ваше заявление.
Все данные вы, в прочем, не отзовете. Есть еще несколько исключений в вышеупомянутом законе, связанные с исполнением других ФЗ, например "О банках". По которым банк, к примеру, обязан хранить данные о ваших платежах вполне себе определенное время. Но, номер телефона и адрес отозвать точно сможете. Хотя непонятно зачем вам их отзывать, кредит-то вы уже вернули.
Источник: Сайт Банки.Ру
Публикации на эту же тему:
http://arb.ru/bank/russkiy-standart/claims/9986589/
"Положение "Мосуралбанка" по обработке персональных данных (.PDF)
Комментарий прокуратуры и судебный прецедент
понедельник, 23 января 2017 г.
Социальные сети: 22 совета по информбезопасности в соцсетях от Safe.rublacklist.net
В основе социальной сети – человек, его личность. Можно делиться
фотографиями, текстами, файлами, данными "где я сейчас нахожусь и чем
занимаюсь". Кроме того, соцсети – мощный инструмент распространения
информации, общения с аудиторией, поиска помощи. Множество людей
использует соцсети для работы. Там находят единомышленников, публикуют
статьи, читают новости, делятся планами, обсуждают совместные проекты и
анонсируют мероприятия.
Увы, с точки зрения специалиста по безопасности современная соцсеть – колоссальная дыра. Возможно, лучший совет, который способен дать специалист человеку, интересующемуся безопасностью – вообще не использовать соцсети.
Но поскольку мы видим категорическое несогласие в глазах читателя, мы составили "20 советов по безопасности в соцсетях".
Предисловие-напутствие одной фразой: "Не размещайте в сети ничего, чего не хотели бы увидеть в вечерних новостях". То, что попало в интернет, невозможно изъять, стереть, уничтожить.
Совет 1. Указывайте минимум данных
Все люди в сети делятся на три категории. Первые вас знают, любят, им
все про вас известно, а если нет, это не очень и важно, ведь вы такой
душка. Вторые вас не любят и были бы рады разузнать о вас побольше,
чтобы соорудить куклу вуду и втыкать в нее виртуальные иголки. Третьим
на вас плевать. Во всех трех случаях – нет смысла публиковать о себе
лишнюю информацию. Когда человек увлекается рассказами о себе, причина
одна: собственные амбиции.
Публикуя избыточные данные, вы помогаете составлять досье маркетинговым службам, социологам, политологам, криминалу или полицейскому, которому позарез нужна галка раскрываемости по делу об экстремизме. Была даже история, когда служба судебных приставов использовала фотографию местной красавицы для объявления на сайте знакомств, чтобы отлавливать злостных алиментщиков. Фотографию приставы взяли из сетевого аккаунта совершенно ни в чем не замешанной девушки.
Предоставляйте минимум информации, которая необходима для регистрации. Адрес e-mail — да. Адрес проживания — нет. Меньше личного. Ничего интимного.
"Но ведь эти данные доступны только мне," — возражает наивный новичок, который прочел первые строчки пользовательского соглашения. Сегодня – может быть, да. Завтра уже иначе. Не стоит играть с коммерческими компаниями, которые во многом живут за счет рекламы, в игры "они мне обещали хранить мои секреты".
Увы, с точки зрения специалиста по безопасности современная соцсеть – колоссальная дыра. Возможно, лучший совет, который способен дать специалист человеку, интересующемуся безопасностью – вообще не использовать соцсети.
Но поскольку мы видим категорическое несогласие в глазах читателя, мы составили "20 советов по безопасности в соцсетях".
Предисловие-напутствие одной фразой: "Не размещайте в сети ничего, чего не хотели бы увидеть в вечерних новостях". То, что попало в интернет, невозможно изъять, стереть, уничтожить.
Совет 1. Указывайте минимум данных
Все люди в сети делятся на три категории. Первые вас знают, любят, им
все про вас известно, а если нет, это не очень и важно, ведь вы такой
душка. Вторые вас не любят и были бы рады разузнать о вас побольше,
чтобы соорудить куклу вуду и втыкать в нее виртуальные иголки. Третьим
на вас плевать. Во всех трех случаях – нет смысла публиковать о себе
лишнюю информацию. Когда человек увлекается рассказами о себе, причина
одна: собственные амбиции.
Публикуя избыточные данные, вы помогаете составлять досье маркетинговым службам, социологам, политологам, криминалу или полицейскому, которому позарез нужна галка раскрываемости по делу об экстремизме. Была даже история, когда служба судебных приставов использовала фотографию местной красавицы для объявления на сайте знакомств, чтобы отлавливать злостных алиментщиков. Фотографию приставы взяли из сетевого аккаунта совершенно ни в чем не замешанной девушки.
Предоставляйте минимум информации, которая необходима для регистрации. Адрес e-mail — да. Адрес проживания — нет. Меньше личного. Ничего интимного.
"Но ведь эти данные доступны только мне," — возражает наивный новичок, который прочел первые строчки пользовательского соглашения. Сегодня – может быть, да. Завтра уже иначе. Не стоит играть с коммерческими компаниями, которые во многом живут за счет рекламы, в игры "они мне обещали хранить мои секреты".
среда, 18 января 2017 г.
О перспективах заменить тысячу и один пароль одним блокчейном
Современному человеку необходимо держать в голове десятки логинов и паролей для доступа к своим аккаунтам на разных платформах. Чем надежнее пароль, тем сложнее его запомнить. И чем больше уникальных паролей создает пользователь для своих аккаунтов, тем выше вероятность потери одного из них.
Можно ли изменить эту старую парадигму, где сам залог безопасности (пароль) зачастую становится причиной ее снижения? Нам сложно представить, что в скором будущем логин и пароль перестанут быть нужны для авторизации. Но как давно сканирование сетчатки или голосовая аутентификация казались нам фантастикой? Возможно, сегодня мы не так далеки от эры беспарольной безопасности, как может показаться.
Решения, пытающиеся облегчить жизнь пользователя с помощью технологии единого входа, появились не вчера. Вдохновителем этих инициатив можно назвать старый протокол Kerberos, с помощью которого пользователь мог свободно перемещаться внутри одного сайта или программной оболочки.
Децентрализованные системы аутентификации OpenID и Mozilla Persona попытались распространить принцип единого входа на целый ряд сайтов и сервисов, но не достигли значительного успеха. Несмотря на поддержку крупных брендов, их использование не стало повсеместным, а Persona был благополучно похоронен в конце ушедшего года.
Серьезной уязвимостью подобных сервисов считался фишинг.
Намного большую популярность набрал oAuth — открытый протокол авторизации, позволяющий пользователю временно предоставить третьей стороне ограниченный доступ к своим данным и с помощью одного хорошо защищенного аккаунта авторизоваться на любом другом онлайн-сервисе, поддерживающем протокол.
Но oAuth не мог похвастать идеальной защитой персональных данных и делал слишком большую ставку на один центральный аккаунт, взлом которого мог повлечь потерю остальных.
Довольно надежным методом беспарольной авторизации можно назвать клиентские SSL-сертификаты для браузеров, которые можно купить у централизованных компаний-сертификаторов. Но это удовольствие не из дешевых и требует определенного времени и усилий.
Существуют также другие варианты решения этой проблемы с использованием технологии блокчейн. Например, токены авторизации NXT используются для аутентификации пользовательского аккаунта, неся в себе уникальную подпись, сгенерированную с помощью приватного ключа. К сожалению, токены NXT не обеспечивают достаточную безопасность, так как передаются целиком и, следовательно, могут быть перехвачены.
Использование блокчейна EmerCoin
На фоне большого и печального опыта появилась потребность в новом сервисе, который обеспечил бы безопасную и надежную единую авторизацию. Здесь необходимо упомянуть протокол emcSSL, который позиционирует себя как первая децентрализованная система управления цифровыми ключами на основе блокчейна EmerCoin.
Как и положено в децентрализованной структуре, сертификацией в системе emcSSL занимаются сами пользователи, а блокчейн EmerCoin используется для хранения хэшей этих SSL-сертификатов и обеспечивает уникальность UserID.
Технология блокчейн позволяет как повысить безопасность, так и масштабировать систему до глобального уровня благодаря децентрализации. Приватные ключи никогда не покидают компьютеры пользователей, поэтому невозможна массовая утечка личных данных в результате взлома. Да и центрального сервера, который можно скомпрометировать, у системы не существует.
В системе emcSSL персональные данные хранятся на так называемых инфокартах — зашифрованных блоках данных в блокчейне EmerCoin. Когда пользователь авторизуется на том или ином сайте или сервисе, он сам решает к какой информации открывать доступ. Такая система защищает личные данные, когда пользователь не хочет ими делиться, и позволяет легко открыть доступ к ним, когда это необходимо — например, для совершения онлайн-покупки не нужно заполнять анкету на каждом сайте, протокол сам откроет магазину доступ к контактным данным с разрешения пользователя.
Тем не менее, emcSSL довольно сложен в настройке и работе и требует от пользователя определенных профессиональных навыков.
Authorizer
Серьезный шаг на пути к созданию «мультипаспорта» для массового пользователя неожиданно сделали в Hashcoins — компании, которую многие в криптовалютном сообществе знают по сервису облачного майнинга Hashflare.
После длительного знакомства с emcSSH, который сотрудники компании использовали для создания простой и эффективной иерархии доступов к многочисленным майнинговым серверам, Hashcoins заявили что работают над сервисом Authorizer, объединяющим протокол emcSSL с функционалом oAuth 2.0. Ожидается, что в результате этого союза упростится настройка сервиса и значительно увеличится дружелюбность к пользователю.
По словам разработчиков, интерфейс будет реализован как кнопка-гиперлинк, нажав на которую пользователь окажется на сайте Authorizer или увидит всплывающее окно и получит токен авторизации. Судя по всему, внешне это будет мало отличаться от авторизации через Facebook.
Релиз запланирован на конец января, но Hashcoins уже сегодня объясняют процесс работы с новым продуктом. Первым шагом в настройке Authorizer будет создание собственного сертификата и заполнение инфокарты. Это можно будет сделать как на сайте самого Authorizer, так и на сайте emcSSL или через кошелек EmerCoin. Самый надежный способ для продвинутых пользователей — самостоятельная генерация сертификата с помощью скриптов.
Вновь созданный сертификат интегрируется в любые браузеры. Это простой процесс, требующий только единожды ввести сгенерированный при создании сертификата пароль для привязки сертификата к каждому новому браузеру.
Однако при всех преимуществах такого единого инструмента авторизации, кража плохо защищенного девайса с активным сертификатом может привести к печальным последствиям. Пользоваться Authorizer с мобильных устройств, не имеющих надежной защиты от несанкционированного физического доступа, может быть небезопасно.
«Для защиты сертификата используется пароль. Его нужно ввести один единственный раз при добавлении в браузер. Если вы носите ноутбук или телефон с собой и на этих девайсах есть важные данные, то наверняка у вас уже стоит пароль или используется отпечаток пальца для защиты девайса от посторонних глаз», — прокомментировал технический директор компании Hashcoins Николай Павловский.
Дальнейшее использование сервиса не требует паролей и проверок. Для авторизации на любом ресурсе, поддерживающем Authorizer, необходимо будет просто нажать на кнопку авторизации и выбрать сертификат на устройстве. Объем личной информации, которую каждый ресурс получит при авторизации, будет зависеть только от решения самого пользователя.
Как электронное хранилище персональных данных, Authorizer намного безопаснее любого централизованного решения, но требует от пользователя более ответственного подхода к обеспечению офлайн-безопасности своих устройств.
понедельник, 16 января 2017 г.
Перечень самых распространенных паролей
Перечень самых распространенных паролей опубликован разработчиками приложения Keeper. Использование подобных комбинаций является небезопасным.
Специалисты провели анализ базы из более чем 1000000 аккаунтов и составили рейтинг популярности паролей. По словам экспертов, пароль «123456» все еще является лидером списка: пользователи продолжают применять эту простейшую комбинацию.
В перечне присутствуют и более сложные пароли, но для того, чтобы их взломать, также потребуются считанные секунды. Самые интересные пароли из перечня - это 18atcskd2w и 3rjs1la7qe. Они настолько популярны, потому что применяются ботами. Учетные записи с подобными паролями в большом количестве присутствуют в почтовых сервисах для рассылки спама.
Перечень из 25 самых популярных паролей выглядит таким образом:
123456, 123456789, qwerty, 12345678, 111111, 1234567890, 1234567, password, 123123, 987654321, qwertyuiop, mynoob, 123321, 666666, 18atcskd2w, 7777777, 1q2w3e4r, 654321, 555555, 3rjs1la7qe, google, 1q2w3e4r5t, 123qwe, zxcvbnm, 1q2w3e.
четверг, 12 января 2017 г.
Центробанк будет блокировать опасные сайты за один день
Регулятор закрыл более полутора тысяч вредоносных ресурсов и нацелился на большее
Источник: http://izvestia.ru/news/656286#ixzz4VZYMha9r
Банк России получил принципиально новое оружие в борьбе с вредоносными сайтами и теперь сможет блокировать их за один день. Благодаря особому статусу компетентной организации отныне он имеет право выявлять сайты-нарушители, распространяющие вредоносные программы, ресурсы с противоправным контентом и фишинговые сайты. Если в закончившемся году ЦБ устранил около 1,5 тыс. таких страниц, то с новыми возможностями он сможет существенно увеличить это число и кардинально изменить ситуацию с безопасностью в Рунете.
Данные о виртуальных ворах Центробанк будет предоставлять координационному центру (КЦ) национального домена сети, что и позволит максимально оперативно блокировать подозрительные сайты. По сути, регулятор будет закрывать сомнительные ресурсы практически самостоятельно, пояснили «Известиям» в пресс-службе ЦБ, отметив при этом, что процедура будет укладываться в один день. Соответствующее соглашение было подписано в конце прошлого года. Соглашение заключается сроком на три года, уточняется в тексте документа (есть у «Известий»).
В прошлом году при содействии Центра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (ФинЦЕРТ) Банка России было заблокировано 1588 фишинговых сайтов, угрожающих финансовой и информационной безопасности граждан и национальной платежной системе, сообщили «Известиям» в Банке России. При этом наибольшее число закрытий сайтов пришлось на IV квартал. Только в декабре было нейтрализовано около 600 вредоносных ресурсов, в ноябре — 400, уточнили в ЦБ.
Эти показатели можно считать весьма скромными по сравнению с общим числом потенциально опасных сайтов, через которые мошенники крадут данные о банковских счетах граждан. По данным КЦ, в России зарегистрировано более 6,4 млн доменных имен .ru и .рф. Из них опасность представляют страницы около 370 тыс. ресурсов в сети, и это число постоянно растет, сообщили «Известиям» в «Яндекс.Браузер».
— Каждый месяц мы выявляем в среднем 3–4 тыс. новых фишинг-страниц, пополняя их списки по несколько раз в день. Но даже за час своего существования одна мошенническая страница может навредить пользователям, — заявил «Известиям» представитель компании.
— В каждый момент времени активными могут быть сотни тысяч вредоносных сайтов. Это как фишинговые страницы, выманивающие пароли и номера карт под видом банковских сайтов и других популярных порталов, так и сайты, распространяющие вредоносное программное обеспечение, — пояснил руководитель отдела реагирования на угрозы информационной безопасности компании Positive Technologies Эльмар Набигаев.
Обычно мошенники пользуются доверием людей, выдавая вредоносные сайты-двойники за реальный интернет-банк. Так киберворы могут получить доступ к паролям, защищающим личную информацию. Потенциальными жертвами недобросовестных лиц могут стать более 5 млн граждан, и это только пользователи отечественного браузера «Яндекс» (по данным самой компании).
Большой брат не спит. Ломает и блокирует.
Сегодня поступило сразу несколько новостей о наступлении спецслужб и надзирающих органов России на приватность и свободу в Интернете.
1. В России начались блокировки VPN-клиентов
Роскомнадзор внес в Реестр запрещенных сайтов VPN-сервис Hideme.ru. Согласно данным Роскомнадзора, решение о блокировке Hideme.ru принял Учалинский районный суд Уфы (республика Башкортостан). Это суд известен тем, что принял наибольшее число решений по блокировкам доступа к анонимайзерам.
С одной стороны через подобные сервисы могут совершать нехорошие дела нехорошие люди и скрывать свои реальные IP-адреса. С другой стороны, например в Крыму, часть интернет-сервисов Google доступна только если использовать VPN-сервисы. Пока ещё остаются доступные анонима, но тенденция не радует.
2. ФСБ, возможно, взломала Telegram
Многие давно не доверяют свои тайны мессенджерам и ищут приложения, которые шифруют данные. До недавнего времени Telegram считался самым приватным мессенджером. Но, вот, появилось сообщение о взломе ФСБшниками этого приложения. Лично я и Вайбером иногда пользуюсь. Мне вроде скрывать от ФСБ нечего. Но для кого-то это критично.
Есть мнение, что сообщение о взломе ложное.
Поживём - увидим.
3. Роскомнадзор заблокировал популярный музыкальный портал muzofon.com
В данном случае речь идёт не о приватности граждан. Портал признан нарушающим авторские права.
"На основании решения Мосгорсуда доступ к сайту muzofon.com подлежит ограничению на постоянной основе. Указанное решение принято на основании заявления правообладателя ООО "Первое музыкальное издательство", — сообщает Роскомнадзор. По данным сервиса similarweb.com, посещаемость ресурса составляла 17,8 миллиона человек в месяц, среди которых 11 миллионов россиян. Теперь все эти люди будут искать любимую музыку на других порталах. И скорее всего найдут. "Свято место пусто не бывает..."
1. В России начались блокировки VPN-клиентов
Роскомнадзор внес в Реестр запрещенных сайтов VPN-сервис Hideme.ru. Согласно данным Роскомнадзора, решение о блокировке Hideme.ru принял Учалинский районный суд Уфы (республика Башкортостан). Это суд известен тем, что принял наибольшее число решений по блокировкам доступа к анонимайзерам.
С одной стороны через подобные сервисы могут совершать нехорошие дела нехорошие люди и скрывать свои реальные IP-адреса. С другой стороны, например в Крыму, часть интернет-сервисов Google доступна только если использовать VPN-сервисы. Пока ещё остаются доступные анонима, но тенденция не радует.
2. ФСБ, возможно, взломала Telegram
Многие давно не доверяют свои тайны мессенджерам и ищут приложения, которые шифруют данные. До недавнего времени Telegram считался самым приватным мессенджером. Но, вот, появилось сообщение о взломе ФСБшниками этого приложения. Лично я и Вайбером иногда пользуюсь. Мне вроде скрывать от ФСБ нечего. Но для кого-то это критично.
Есть мнение, что сообщение о взломе ложное.
Поживём - увидим.
3. Роскомнадзор заблокировал популярный музыкальный портал muzofon.com
В данном случае речь идёт не о приватности граждан. Портал признан нарушающим авторские права.
"На основании решения Мосгорсуда доступ к сайту muzofon.com подлежит ограничению на постоянной основе. Указанное решение принято на основании заявления правообладателя ООО "Первое музыкальное издательство", — сообщает Роскомнадзор. По данным сервиса similarweb.com, посещаемость ресурса составляла 17,8 миллиона человек в месяц, среди которых 11 миллионов россиян. Теперь все эти люди будут искать любимую музыку на других порталах. И скорее всего найдут. "Свято место пусто не бывает..."
воскресенье, 8 января 2017 г.
Может ли хакер подобрать Ваш пароль всего за 100 попыток?
Убедитесь, что Ваши сотрудники используют сложные и разнообразные пароли как внутри корпоративной сети, так и за ее пределами – это имеет жизненно важное значение. Хотя бы потому, что массивы конфиденциальных данных могут быть подвержены риску из-за простых регистрационных данных, которые просты для подбора и часто повторяются.
Чтобы продемонстрировать необходимость адекватной защиты, группа исследователей создала программное обеспечение, способное подбирать пароли за небольшое количество попыток. В частности, обладая небольшим объемом персональной информации жертвы, утилита способна разгадать правильный пароль менее, чем за 100 попыток.
Утилита под названием TarGuess была создана исследователями из Университетов Пекина и Фуцзянь из Китая, а также Университета Ланкастера из Великобритании. Согласно их исследованию, хакер, имея незначительный объем персональной информации о жертве (имя пользователя, кличка домашнего животного, члены семьи, дата рождения или место последнего отдыха), имеет примерно один из пяти шансов угадать его пароль менее чем за 100 попыток.
Все, что они сделали с помощью TarGuess, - это автоматизировали процесс с помощью инструмента, который ищет в социальных сетях персональную информацию, которая позже может использоваться в их попытках.
Используя данную утилиту, исследователи успешно подобрали 20% паролей у тех пользователей, которые приняли участие в исследовании, всего за 100 попыток. Что еще более поразительно, вероятность успеха повышается пропорционально количеству подборов. Например, при тысяче попытокTarGuess способен получать 25% паролей, а при миллионе попыток – вероятность может повыситься до 50%.
Не забывая про скандальные утечки данных на таких платформах как Yahoo или Dropbox, основной вывод исследования заключается в том, что пароли очень многих пользователей недостаточно надежны, чтобы выдерживать подобные атаки. Кроме того, эти утечки выявили еще один риск: по имеющимся сведениям, TarGuess обнаружил, что многие из этих регистрационных данных используются также и на других сервисах, или очень похожи на них (т.е. являются «родственными паролями»).
Данное исследование еще раз показывает необходимость контроля над тем, какой вид информации публикуется в социальных сетях. Сотрудник, который «выкладывает» каждый момент своей жизни, может стать невольным подельником, помогающим кибер-преступникам подбирать пароль, подвергая риску корпоративные данные.
Оригинал статьи: Can a Hacker Guess Your Password in Only 100 Attempts?
Какой ужас, Google вас подслушивает!
В последние несколько дней часто попадаются статьи с УЖАСАЮЩЕЙ новостью Google всех нас подслушивает! Например: "Google тихонько подслушивает вас через микрофон. Вот как найти эти записи!" . По сути никакой Америки не открывается, просто кто-то наконец-то удосужился посмотреть в настройки конфиденциальности своего Гугл-аккаунта и заметил, что можно хранить историю своих посещений, голосовых запросов и т.п.
Вот тут могут храниться голосовые запросы Гуглу - https://history.google.com/history/audio.Здесь история активности (запуск программ и т.п.) - https://myactivity.google.com/myactivity.
Если вы считаете, что это негативно может на вас повлиять, то можете зайти в настройках на эту страницу https://myaccount.google.com/activitycontrols и отключить сохранение критичной для вас информации
Отключите и попробуйте не волноваться. При желании ваш смартфон всё равно может рассказать о вас очень многое. Как минимум вас можно отследить по вашим перемещениям в сотовых сетях. Как говорит народная мудрость "Если у вас нет паранойи ещё не означает, что за вами не следят" :)
Подписаться на:
Сообщения (Atom)