歡迎來到今日網絡安全。 這是 2023 年 1 月 27 日星期五的回顧周刊。我是 Howard Solomon,美國 ITWorldCanada.com 和 TechNewsday.com 的網絡安全特約記者
幾分鐘後,特里·卡特勒 (Terry Cutler) 細胞學實驗室 將在這裡討論最近的新聞。 但首先回顧一下過去 7 天的一些頭條新聞:
數據隱私周明天結束。 特里會對貴公司應該做什麼有一些想法。
GoTo,製作公司使用的遠程 IT 和通信軟件, 已經承認 一名黑客不僅在 11 月竊取了客戶的加密備份數據,還竊取了部分數據的加密密鑰。 這些數據是從 GoTo 使用的外部雲存儲提供商處竊取的。 特里和我將討論這件事。
我們還將討論客戶支持提供商的員工 Zendesk 提供用戶名和密碼 落入 SMS 文本網絡釣魚騙局後向黑客發送郵件。
我們會評論 一份報告稱 IT 部門不僅修補漏洞的速度很慢,有些人甚至都不知道。
在其他地方,一家總部位於加拿大的國際壓鑄工具和汽車零件製造商已成為網絡攻擊的受害者。 Exco Technologies 表示,其 Large Mold Group 的三個生產設施正在從上週的網絡事件中恢復。
黑客利用應用程序編程接口 (API) 在兩個月內從美國移動運營商 T-Mobile 竊取了 3700 萬客戶的個人信息,但未被發現。
美國網絡安全機構 向機構發出提醒 警惕已秘密植入其 IT 環境的遠程監控和管理應用程序。 AnyDesk、ScreenConnect 和 ConnectWise Control 等應用程序正在上傳到受害者的網絡中,以供攻擊者用作後門。
視頻遊戲製造商 Riot Games 據報導收到了 1000 萬美元的贖金要求 在它的一些源代碼被盜之後。 據新聞報導,黑客現在正在拍賣他們所說的英雄聯盟遊戲代碼。
在互聯網上一個不安全的服務器上發現了一份已有四年曆史的美國政府禁飛名單副本。 該服務器屬於美國航空公司 CommuteAir。 該航空公司表示,數據位於用於應用程序測試的開發服務器上。
(以下是我和 Terry Cutlter 討論的第一個主題的編輯記錄。要收聽完整對話,請播放播客。)
霍華德:讓我們先談談數據隱私週。 它通常被認為是提醒消費者在線時如何保護個人數據的一種方式,但公司也發揮了作用。 您對組織處理隱私而不是網絡安全有何經驗?
特里·卡特勒: 讓我們首先區分兩者:一般來說,安全將使您免受潛在威脅。 網絡安全涉及保護數據免遭未經授權的使用和訪問。 數據隱私直接指公司如何收集、管理、存儲和控制個人數據的使用。
霍華德: 問題是,您公司的聲譽可能會受到消費者對您如何重視數據隱私的看法的影響。 Interac 經營著銀行和零售商使用的信用卡和借記卡網絡,在最近的一項消費者調查中,超過一半的加拿大受訪者表示,他們認為組織主要負責保護他們的個人信息。 將近十分之七的加拿大受訪者認為他們已提供個人信息的組織應對數據洩露負責。 超過 70% 的人希望更好地控制他們的在線信息。 你如何看待這些數字?
特里: 好吧,你不能既吃蛋糕又吃蛋糕。 消費者非常依賴便利,不幸的是,安全和隱私與便利無關。 我們最近在 Home Depot 身上看到了這種情況。 讓我快速描述一下當您購買東西時您的信息實際上是如何被跟踪的。 假設您正要去買一條褲子。 GPS 衛星知道您剛把車停到商店的停車場。 GPS 公司將開始將您關於該停車場的數據出售給數以千計的其他公司,這些公司實際跟踪該位置的洞察力和趨勢。 這些公司將分析這些照片並查看人們在哪裡購物。 在一些分析中,他們實際上可以預測消費者流量在哪裡。 這可以讓他們及早了解一些銷售和收入。 這有點像收益單挑。 但它並不止於此。 你手機上至少有 100 個應用程序,包括天氣應用程序和交通應用程序,它們也在出售你的地理位置數據。 專門研究這些類型數據的公司可以購買有關客流量的信息,並深入了解有多少消費者實際光顧了特定地點的商店。
請記住,您還沒有選擇加入任何內容。 這是來自正在跟踪您的應用程序。 在購買您想要的褲子時,公司也會進行追踪。 如果您洩露您的電子郵件地址,公司可以將您的收件箱作為目標 [with ads]. 這些公司現在也可以與銀行建立聯繫,因此他們可以查看您的交易歷史記錄。 有些人會將數據匿名化,但至少他們會看到一些關於地點發生的事情的洞察力,這樣他們就可以更準確地預測事情。 如果你在網上購買這些褲子,有很多公司正在抓取 Facebook 和 Twitter 以收集盡可能多的品牌信息。 底線是,如果您不為產品付費,那麼您就是產品。
霍華德: 你提到了家得寶。 我認為你指的是加拿大隱私專員剛剛發布的關於加拿大家得寶的報告。 如果人們在購買產品時提供了他們的電子郵件地址以獲得電子收據而不是紙質收據,他們沒有意識到電子收據附帶的數據會流向 Facebook 的母公司 Meta。 隱私專員 Home Depot Canada 的客戶沒有被適當告知公司如何處理他們的數據。
特里: 這是有道理的:您認為您只會在收件箱中收到收據的副本。 這種情況在其他商店經常發生。 當我進行自助結賬時,它會詢問我是否需要電子收據,然後您將其輸入其中。 所以我也是受害者。
霍華德: 隱私專員的裁決是,除非客戶確切知道正在發生的事情,否則公司不應該這樣做。