Komik – ama doğru – TechCrunch’ta şaka şu ki, güvenlik masasına Kötü Haber Departmanı da denilebilir, çünkü son zamanlarda neleri ele aldığımızı gördünüz mü? Yıkıcı ihlaller, yaygın gözetleme ve düpedüz tehlikeli olanı kırbaçlayan kurnaz girişimlerden oluşan, hiç bitmeyen bir kaynak mevcut.
Bazen – nadiren de olsa – paylaşmak istediğimiz umut ışıkları vardır. En azından, zorluklar karşısında bile (ve özellikle) doğru olanı yapmanın siber dünyayı biraz daha güvenli hale getirmeye yardımcı olması nedeniyle.
Bangladeş vatandaş veri sızıntısını keşfettiği için bir güvenlik araştırmacısına teşekkür etti
Bir güvenlik araştırmacısı, Bangladeş hükümetine ait bir web sitesinin vatandaşlarının kişisel bilgilerini sızdırdığını tespit ettiğinde bir şeylerin ters gittiği açıktı. Viktor Markopoulos, açığa çıkan verileri, etkilenen web sitesindeki vatandaş adlarını, adreslerini, telefon numaralarını ve ulusal kimlik numaralarını açığa çıkaran yanlışlıkla önbelleğe alınmış bir Google arama sonucu sayesinde buldu. TechCrunch, Bangladeş hükümeti web sitesinin veri sızdırdığını doğruladı ancak hükümet departmanını uyarma çabaları başlangıçta sessizlikle karşılandı. Veriler o kadar hassastı ki TechCrunch hangi hükümet departmanının verileri sızdırdığını söyleyemedi çünkü bu durum verileri daha fazla açığa çıkarabilir.
İşte o zaman, CIRT olarak da bilinen ülkenin bilgisayar acil durum müdahale ekibi temasa geçti ve sızdıran veri tabanının düzeltildiğini doğruladı. Veriler ülkenin doğum, ölüm ve evlilik nüfus dairesinden başka bir yerden yayılıyordu. CIRT, kamuya açık bir duyuruyla veri sızıntısını çözdüğünü doğruladı ve sızıntının nasıl gerçekleştiğini anlamak için “çevirilmemiş taş bırakmadı”. Hükümetler skandallarla nadiren iyi başa çıkar, ancak hükümetten araştırmacıya hatayı buldukları ve bildirdikleri için teşekkür eden bir e-posta, hükümetin diğer birçok ülkenin yapmayacağı bir şekilde siber güvenlikle ilgilenme konusundaki istekliliğini gösteriyor.
Apple casus yazılım sorununu mutfak lavabosuna atıyor
O zamandan beri on yıldan fazla zaman geçti Apple artık meşhur olan iddiasını geri çekti Mac’lerin PC virüslerine yakalanmadığını (ki bu teknik olarak doğru olsa da, bu sözler şirketi yıllardır rahatsız ediyor). Günümüzde Apple cihazlarına yönelik en acil tehdit, özel şirketler tarafından geliştirilen ve hükümetlere satılan, telefonlarımızın güvenlik savunmasında bir delik açabilen ve verilerimizi çalabilen ticari casus yazılımlardır. Bir sorunu kabul etmek cesaret ister, ancak Apple, casus yazılım üreticilerinin aktif olarak yararlandığı güvenlik hatalarını düzeltmek için Hızlı Güvenlik Yanıtı düzeltmelerini kullanıma sunarak tam olarak bunu yaptı.
Apple, bu yılın başlarında ilk acil durum “düzeltmesini” iPhone’lara, iPad’lere ve Mac’lere sundu. Buradaki fikir, cihazı her zaman yeniden başlatmak zorunda kalmadan yüklenebilecek kritik yamaları kullanıma sunmaktı (muhtemelen güvenlik meraklıları için acı noktası). Apple ayrıca, bir Apple cihazında genellikle casus yazılımların hedef aldığı belirli cihaz özelliklerini sınırlayan Kilitleme Modu adı verilen bir ayara da sahiptir. Apple, Kilitleme Modunu kullanan ve daha sonra saldırıya uğrayan herhangi birinin farkında olmadığını söylüyor. Aslında güvenlik araştırmacıları Kilitleme Modunun devam eden hedefli saldırıları aktif olarak engellediğini söylüyor.
Tayvan hükümeti bunu yapmadı göz kırpmak kurumsal veri sızıntısı sonrasında müdahale etmeden önce
Bir güvenlik araştırmacısı TechCrunch’a, Tayvanlı otomotiv devi Hotai Motors tarafından işletilen iRent adlı araç paylaşım hizmetinin gerçek zamanlı güncelleme müşteri verilerini internete aktardığını söylediğinde, bu basit bir çözüm gibi göründü. Ancak müşteri adlarını, cep telefonu numaralarını ve e-posta adreslerini ve müşteri lisanslarının taranmasını içeren devam eden veri sızıntısını çözmek için şirkete bir hafta e-posta gönderdikten sonra TechCrunch’tan bir daha haber alınamadı. Olayın ifşa edilmesi konusunda yardım almak için Tayvan hükümetiyle temasa geçene kadar bir yanıt alamadık. hemen.
Tayvan’ın dijital işlerden sorumlu bakanı Audrey Tang, hükümetle temasa geçtikten bir saat sonra TechCrunch’a e-posta yoluyla, ifşa edilen veritabanının Tayvan’ın bilgisayar acil durum müdahale ekibi TWCERT tarafından işaretlendiğini ve çevrimdışına alındığını söyledi. Tayvan hükümetinin tepki verme hızı nefes kesici derecede hızlıydı ama mesele bununla sınırlı değildi. Tayvan daha sonra Hotai Motors’a 400.000’den fazla müşterinin verilerini korumadığı için para cezası verdi ve siber güvenliğini artırması talimatı verildi. Bunun ardından, Tayvan’ın başbakan yardımcısı Cheng Wen-tsan, yaklaşık 6.600 dolarlık para cezasının “çok hafif” olduğunu söyledi ve veri ihlali cezalarını on kat artıracak bir yasa değişikliği önerdi.
Sızdıran ABD mahkeme kayıt sistemleri doğru türde alarma yol açtı
Herhangi bir yargı sisteminin kalbinde, mahkeme davaları için hassas yasal belgelerin gönderilmesi ve saklanması için kullanılan teknoloji yığını olan mahkeme kayıt sistemi bulunur. Bu sistemler genellikle çevrimiçi ve aranabilir olup, devam eden davayı tehlikeye atabilecek dosyalara erişimi kısıtlar. Ancak güvenlik araştırmacısı Jason Parker, yalnızca bir web tarayıcısı kullanılarak yararlanılabilen inanılmaz derecede basit hatalara sahip birkaç mahkeme kayıt sistemi bulduğunda, Parker bu hataların düzeltildiğini görmeleri gerektiğini biliyordu.
Parker, ABD’nin beş eyaletinde kullanılan mahkeme kayıt sistemlerinde sekiz güvenlik açığı buldu ve açıkladı. ilk parti açıklamalarında. Kusurlardan bazıları düzeltildi, bazıları ise henüz çözülmemiş durumda ve eyaletlerden gelen yanıtlar karışık. Florida’nın Lee County’si, güvenlik araştırmacısını Florida’nın bilgisayar korsanlığı karşıtı yasalarıyla tehdit ederek sert (ve kendine hakim) bir tavır aldı. Ancak açıklamalar aynı zamanda doğru türden bir alarm da verdi. ABD genelinde mahkeme kayıt sistemlerinden sorumlu birçok eyalet CISO’su ve yetkilisi, bu açıklamayı kendi mahkeme kayıt sistemlerinin güvenlik açıklarını incelemek için bir fırsat olarak gördü. Govtech bozuk (ve son derece yetersiz hizmet alıyor), ancak Parker gibi araştırmacılar var mutlaka yaması gereken kusurları bulma ve açıklama İnterneti herkes için daha güvenli ve yargı sistemini daha adil hale getiriyor.
Google, geç olması hiç olmamasından daha iyi olsa bile coğrafi sınır izinlerini ortadan kaldırdı
Coğrafi sınırlama izinlerine zemin hazırlayan, Google’ın reklamlardan ve sürekli büyümeden kaynaklanan açgözlülüğüydü. Bu sözde “tersine” arama emirleri, polis ve devlet kurumlarının, bir suçun işlendiği sırada civarda herhangi birinin olup olmadığını görmek için Google’ın kullanıcıların konum verilerini içeren geniş depolarına çöplükte dalmalarına olanak tanır. Ama Bu geri alma emirlerinin anayasaya uygunluğu (ve doğruluğu) sorgulanmıştır ve eleştirmenler Google’a, başlangıçta büyük ölçüde oluşturduğu gözetim uygulamasına son vermesi çağrısında bulundu. Ve ardından, tatil sezonundan hemen önce, gizlilik hediyesi: Google, konum verilerini merkezi olarak değil, kullanıcıların cihazlarında depolamaya başlayacağını ve polisin sunucularından gerçek zamanlı konum elde etme becerisini etkili bir şekilde sona erdireceğini söyledi.
Google’ın hamlesi her derde deva değil ve yılların verdiği hasarı geri almıyor (ya da polisin Google tarafından saklanan geçmiş verilere baskın yapmasını engellemiyor). Ancak bu tür tersine arama emirlerine tabi olan diğer şirketleri de (merhaba Microsoft, Snap, Uber ve Yahoo (TechCrunch’un ana şirketi)) aynı yolu izlemeye ve kullanıcıların hassas verilerini hükümet tarafından erişilebilir hale getirecek şekilde saklamayı durdurmaya teşvik edebilir. talepler.