Hlavní navigace

Postřehy z bezpečnosti: GDPR v praxi

Dnes se podíváme na pokuty, které padly v EU v souvislosti s GDPR, na zranitelnost aplikace SAP NetWeaver a velmi závažnou zranitelnost DNS serveru Windows, problémy Twitteru a další zajímavosti.
CSIRT.CZ 20. 7. 2020
Doba čtení: 3 minuty

Sdílet

Od počátku účinnosti nařízení GDPR bylo napříč EU řešeno 340 případů jeho porušení, při kterých zaplatili dotčení celkem 158 milionů eur.

Zatím nejvyšší pokuta ve výši 50 milionů eur byla udělena ve Francii společnosti Google v lednu 2019 za nedostatek transparentnosti, neadekvátní informace a nedostatky týkající se validního souhlasu s personalizovanou reklamou. Ve hře jsou však pokuty ve výši 204 600 000 eur pro British Airways za únik půl milionu zákaznických dat a 110 390 200 eur pro síť hotelů Marriott za únik dat týkajících se 339 milionů lidí. Pokud bude o pokutách pravomocně rozhodnuto, tak se Google propadne na třetí příčku.

Zajímavé jsou také pokuty udělené soukromým osobám:

  • 2 500 eur za posílání e-mailů několika příjemcům, kde příjemci mohli vidět adresy ostatních,
  • 20 000 a 9 000 eur za nezákonné natáčení zaměstnanců ve Španělsku,
  • 11 000 eur fotbalovému rozhodčímu v Rakousku za tajné natáčení hráček ve sprchách,
  • 2 200 eur za nezákonné natáčení veřejného prostranství v Rakousku.

Upozornění na zranitelnost SAP NetWeaver

Národní centrum kybernetické bezpečnosti upozorňuje na zranitelnost aplikace SAP NetWeaver, která se nachází v komponentě NetWeaver AS JAVA (LM Configuration Wizard) ve verzích 7.30 až 7.50. Platforma je zranitelná skrze HTTP rozhraní přístupné z Internetu, přes které umožňuje útočníkům vzdáleně spouštět v systému škodlivý kód s oprávněním servisního SAP účtu „adm" a získat privilegovaný přístup k databázi, tedy ke čtení a modifikaci citlivých účetních a bankovních informací.

Zranitelnost (CVE-2020–6287) má na škále CVSSv3 závažnost 10/10, jde zneužít vzdáleně a bez autentizace.

Zranitelnost serveru Windows DNS

Operační systém Windows Server ve všech svých verzích obsahuje kritickou zranitelnost (CVE-2020–1350), která dosahuje svou závažností 10/10 dle hodnocení CVSS (Common Vulnerability Scoring System). Systém je zranitelný, pokud je na něm provozován DNS server, se kterým může útočník komunikovat. Zranitelnost pak může útočníkovi umožnit vzdálené spuštění kódu, což může vést ke kompletnímu převzetí kontroly nad serverem. Microsoft již vydal opravné aktualizace, které jsou dostupné ke stažení.

Zmírnění zranitelnosti je také možné skrze dočasné řešení popsané v rámci bezpečnostního doporučení společnosti Microsoft. Zranitelnost má potenciál pro zneužití případným červem, proto je potřeba problém řešit co nejdříve.

Hackeři tweetovali jmény známých osobností

Twitter se stal ve středu terčem jednoho z největších kybernetických útoků ve své historii. Hackerům se podařilo získat přístup k účtům známých osobností, například účet generálního ředitele Amazonu Jeffa Bezose nebo Billa Gatese. Po získání účtu přidali příspěvek, že v následující půl hodině, každý kdo pošle 1 000 dolarů, na konkrétní bitcoinovou adresu, obratem získá 2 000 dolarů.

Twitter označil bezpečnostní incident za „koordinovaný útok sociálního inženýrství“, kde údajně mohlo dojít k úniku informací od některých zaměstnanců. Podle předběžného šetření se zjistilo, že útočníci mohli nejen převzít účty obětí, ale také změnit e-mailovou adresu spojenou s účtem.

Únik dat ze společnosti Data Viper

Na webu KrebsOnSecurity se objevila zpráva, že došlo k úniku dat ze společnosti Data Viper, která se zaměřuje na sbírání informací o uniklých uživatelských účtech. Byznys této společnosti spočíval v prodeji takovýchto dat ověřeným klientům (například policii). Za svoji krátkou dobu existence (založeno 2018) tato společnost nasbírala údajně patnáct miliard uživatelských jmen a hesel včetně dalších informací z celkem 8 000 databází různých napadených webů.

Zajištění serveru s BlueLeaks

Německá policie na požádání vlády Spojených států zajistila server, který hostoval tzv. BlueLeaks, celkem 270 GB citlivých dat, která unikla z policejních pracovišť ve Spojených státech (mezi nimiž jsou Missouri Information Analysis Center, Northern California Regional Intelligence Center, Joint Regional Intelligence Center a Delaware Information and Analysis Center).

MIF20

Za únikem stojí skupina DDoSecret (Distributed Denial of Secrets), která data v červnu zveřejnila v rámci probíhajících protestů Black Lives Matter a snažila se tak umožnit vhled do fungování policejních sborů.

Ve zkratce:

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…