Zestawienie tygodniowe 15 - 22 czerwca

Departament Kontroli Zasobów Zagranicznych (OFAC) i Departament Sprawiedliwości Stanów Zjednoczonych w tym tygodniu ogłosiły sankcje wobec sześciu obywateli Nigerii za ich udział w przestępstwach dotyczących poczty elektronicznej (BEC) i oszustwach związanych z internetowymi romansami. Richard Uzuh, Micheal Olorunyomi, Alex Ogunshakin, Felix Okpoh, Nnamdi Benson i Abiola Kayode, byli zaangażowani w oszustwa, w wyniku których obywatele amerykańscy stracili ponad 6 milionów dolarów. Podszywali się pod dyrektorów wykonawczych i oszukiwali legalne firmy, namawiając do przelewania pieniędzy, ale także nabierali na romansowe oszustwa.

Korzystając z różnych taktyk manipulacji, osoby te uzyskały dostęp do nazw użytkowników, haseł i kont bankowych. Według Departamentu Skarbu USA, niektórzy z tych, którzy popełnili oszustwo romantyczne, korzystali z mediów społecznościowych i poczty e-mail, aby usprawnić socjotechniki.

„W wyniku dzisiejszych działań cała własność i udziały w majątku wyznaczonych osób będących w posiadaniu lub pod kontrolą obywateli amerykańskich lub w obrębie Stanów Zjednoczonych lub przejeżdżających przez Stany Zjednoczone są blokowane” ogłosił departament Kontroli Zasobów.

W latach 2015–2016 Uzuh i wspólnik zajmowali się oszustwami BEC, żądając i otrzymując środki z kont firm-ofiar. Często atakował ponad 100 firm w ciągu jednego dnia i uważa się, że jego program spowodował straty w wysokości ponad 6 300 000 USD. Od września 2015 r. do czerwca 2017 r. Olorunyomi i wspólnik zaangażowali się w program oszustwa ransomware’owego, w którym albo uzyskiwał fundusze bezpośrednio od ofiar, albo wykorzystywał ich rachunki bankowe w celu nielegalnego pozyskiwania pieniędzy. Program prawdopodobnie spowodował straty przekraczające 1 milion USD.

Autor: Kapitan Hack Data dodania: 22 cze 2020 10:14 6 min czytania

Apelacja Google odrzucona

Najwyższy sąd administracyjny Francji (Rada Stanu) w piątek oddalił skargę Google na grzywnę w wysokości 50 milionów euro za niedostarczenie odpowiednich informacji na temat polityki przetwarzania danych.

Grzywnę nałożył w 2019 r. francuski organ nadzorujący dane, CNIL.

Powodem był fakt, że Google utrudniał użytkownikom zrozumienie i zarządzanie preferencjami dotyczącymi wykorzystania ich danych osobowych, w szczególności w odniesieniu do ukierunkowanych reklam. Orzeczenie stosowało zasady zapisane w RODO. Google odwołał się. Ale w piątek Rada Stanu, francuski organ rządowy, który jest również sądem ostatniej instancji w sprawach sądownictwa administracyjnego, potwierdził orzeczenie CNIL. Jednocześnie stwierdził, że informacje, które Google przekazał użytkownikom „nie spełnia wymogów jasności i dostępności wymaganych przez RODO”, nawet jeśli charakter i ilość zebranych danych były „szczególnie ingerujące”.

Rada stwierdziła, że rekordowa grzywna CNIL nie była nieproporcjonalna „biorąc pod uwagę szczególną wagę popełnionych naruszeń, ich ciągły charakter i czas trwania, pułapy kar przewidziane w RODO (do czterech procent obrotu) oraz sytuację finansową Google”. W oświadczeniu przesłanym do AFP amerykański gigant powiedział, że „zbada teraz zmiany, które musimy wprowadzić”.

CNIL zauważył w swoim orzeczeniu, że szczegóły dotyczące tego, jak długo dane osoby mogą być przechowywane i do czego są wykorzystywane, zostały rozłożone na kilka różnych stron internetowych. Modyfikowanie preferencji danych użytkownika wymagało klikania różnych stron, takich jak „Więcej opcji”, a często opcje akceptacji warunków Google były domyślnie ustawione.

To nie był pierwszy raz, kiedy regulator ukarał Google. W 2014 r. na spółkę nałożono grzywnę w wysokości 150 000 euro – maksymalne możliwe w danym momencie – za nieprzestrzeganie wytycznych dotyczących prywatności. A w 2016 r. nałożyła karę w wysokości 100 000 euro za nieprzestrzeganie zasady „prawa do bycia zapomnianym”.

Luka w IBM- Maximo

Luka o wysokim poziomie zagrożenia, łatana niedawno przez IBM w rozwiązaniu Maximo do zarządzania zasobami, ułatwia hakerom poruszanie się w sieciach korporacyjnych, ostrzegła w czwartek firma Positive Technologies.

Luka w zabezpieczeniach, CVE-2020-4529, została opisana jako problem fałszowania żądań po stronie serwera (SSRF), który umożliwia uwierzytelnionemu atakującemu wysyłanie nieautoryzowanych żądań z systemu, co według IBM może ułatwić inne ataki. Wada wpływa na Maximo Asset Management 7.6.0 i 7.6.1 i prawdopodobnie starsze wersje. Firma IBM wydała aktualizację, która powinna naprawić tę lukę i udostępniła również obejścia i środki zaradcze.

Maximo Asset Management ma na celu pomóc organizacjom w branżach wymagających dużych zasobów zarządzać aktywami fizycznymi. Rozwiązanie jest stosowane w różnych sektorach, w tym w przemyśle naftowym i gazowym, lotniczym, produkcji samochodów, kolei, farmaceutycznym, zakładach użyteczności publicznej i elektrowniach jądrowych.

IBM zwrócił uwagę, że ta luka wpływa również na rozwiązania branżowe, jeśli używają wersji podstawowej, której dotyczy problem. Obejmuje to Maximo dla lotnictwa, nauk przyrodniczych, ropy i gazu, energii jądrowej, transportu i mediów.

Chociaż wykorzystanie tej luki wymaga dostępu do systemu w docelowej organizacji, atak może zostać przeprowadzony ze stacji roboczej pracownika magazynu, co może być łatwiejsze do zhakowania.