Zestawienie tygodniowe 15 – 22 czerwca

Apelacja Google odrzucona

Najwyższy sąd administracyjny Francji (Rada Stanu) w piątek oddalił skargę Google na grzywnę w wysokości 50 milionów euro za niedostarczenie odpowiednich informacji na temat polityki przetwarzania danych.

Grzywnę nałożył w 2019 r. francuski organ nadzorujący dane, CNIL.

Powodem był fakt, że Google utrudniał użytkownikom zrozumienie i zarządzanie preferencjami dotyczącymi wykorzystania ich danych osobowych, w szczególności w odniesieniu do ukierunkowanych reklam. Orzeczenie stosowało zasady zapisane w RODO. Google odwołał się. Ale w piątek Rada Stanu, francuski organ rządowy, który jest również sądem ostatniej instancji w sprawach sądownictwa administracyjnego, potwierdził orzeczenie CNIL. Jednocześnie stwierdził, że informacje, które Google przekazał użytkownikom „nie spełnia wymogów jasności i dostępności wymaganych przez RODO”, nawet jeśli charakter i ilość zebranych danych były „szczególnie ingerujące”.

Rada stwierdziła, że rekordowa grzywna CNIL nie była nieproporcjonalna „biorąc pod uwagę szczególną wagę popełnionych naruszeń, ich ciągły charakter i czas trwania, pułapy kar przewidziane w RODO (do czterech procent obrotu) oraz sytuację finansową Google”. W oświadczeniu przesłanym do AFP amerykański gigant powiedział, że „zbada teraz zmiany, które musimy wprowadzić”.

CNIL zauważył w swoim orzeczeniu, że szczegóły dotyczące tego, jak długo dane osoby mogą być przechowywane i do czego są wykorzystywane, zostały rozłożone na kilka różnych stron internetowych. Modyfikowanie preferencji danych użytkownika wymagało klikania różnych stron, takich jak „Więcej opcji”, a często opcje akceptacji warunków Google były domyślnie ustawione.

To nie był pierwszy raz, kiedy regulator ukarał Google. W 2014 r. na spółkę nałożono grzywnę w wysokości 150 000 euro – maksymalne możliwe w danym momencie – za nieprzestrzeganie wytycznych dotyczących prywatności. A w 2016 r. nałożyła karę w wysokości 100 000 euro za nieprzestrzeganie zasady „prawa do bycia zapomnianym”.

Luka w IBM- Maximo

Luka o wysokim poziomie zagrożenia, łatana niedawno przez IBM w rozwiązaniu Maximo do zarządzania zasobami, ułatwia hakerom poruszanie się w sieciach korporacyjnych, ostrzegła w czwartek firma Positive Technologies.

Luka w zabezpieczeniach, CVE-2020-4529, została opisana jako problem fałszowania żądań po stronie serwera (SSRF), który umożliwia uwierzytelnionemu atakującemu wysyłanie nieautoryzowanych żądań z systemu, co według IBM może ułatwić inne ataki. Wada wpływa na Maximo Asset Management 7.6.0 i 7.6.1 i prawdopodobnie starsze wersje. Firma IBM wydała aktualizację, która powinna naprawić tę lukę i udostępniła również obejścia i środki zaradcze.

Maximo Asset Management ma na celu pomóc organizacjom w branżach wymagających dużych zasobów zarządzać aktywami fizycznymi. Rozwiązanie jest stosowane w różnych sektorach, w tym w przemyśle naftowym i gazowym, lotniczym, produkcji samochodów, kolei, farmaceutycznym, zakładach użyteczności publicznej i elektrowniach jądrowych.

IBM zwrócił uwagę, że ta luka wpływa również na rozwiązania branżowe, jeśli używają wersji podstawowej, której dotyczy problem. Obejmuje to Maximo dla lotnictwa, nauk przyrodniczych, ropy i gazu, energii jądrowej, transportu i mediów.

Chociaż wykorzystanie tej luki wymaga dostępu do systemu w docelowej organizacji, atak może zostać przeprowadzony ze stacji roboczej pracownika magazynu, co może być łatwiejsze do zhakowania.