Content

Latvijas IT drošības ziņu centrmezgls. Informācijas iesniegšana. Avota konfidencialitāti garantējam.

ENAP aiztur trīs nepilngadīgus draugiem.lv paroļu pikšķerētājus

Kategorija: Pikšķerēšana + VP ENAP Kibernoziegumu nodaļa

draugiemlv

Informāciju par iespējamām nelikumīgām darbībām Ekonomisko noziegumu apkarošanas pārvalde (ENAP) saņēma šī gada februārī. Tad noskaidrots, ka interneta vidē dažādos ārzemju resursos izveidotas un uzturētas vairākas viltotas mājaslapas, kas vizuāli bijušas identiskas vietnes draugiem.lv mājaslapai. No saņemtās informācijas bija secināms, ka portāla draugiem.lv lietotāju vidū sākotnēji ar vēstuļu sadaļas starpniecību tiek izplatīta informācija ar aicinājumu piepelnīties, kā arī norādīta interneta vides vietne, kurā šī peļņa ir gūstama. Lietotāji, izmantojot saziņā norādīto saiti, nonāca minētajā mājaslapā, kas pēc izskata bijusi analoģiska draugiem.lv autorizācijas lapai, raksta policija.

Tādā veidā draugiem.lv savus piekļuves datus nodevuši noziedzniekiem, kuri pēc tam nelikumīgi iegūtos datus izmantoja, lai piekļūtu draugiem.lv lietotāju saziņas rīkiem un reklamētu interneta vietni, kas nodarbojas ar azartspēlēm.

Šobrīd pret šiem cilvēkiem uzsākts kriminālprocess par nelikumīgām darbībām datu apstrādes sistēmā. Ir arī veiktas kratīšanas, kurās izņemti noziedzīgā nodarījuma rīki – datu nesēji. Noskaidrots, ka izņemtajos datu nesējos ir informācija par ievērojamu skaitu nelikumīgā veidā iegūtajām virtuālajām identitātēm visā Latvijā. Šobrīd zināms par vairāk nekā 1000 nelikumīgi iegūtām virtuālajām identitātēm, taču Valsts policija turpina izmeklēšanu, lai noskaidrotu citas personas, kuru dati varētu būt nelikumīgi iegūti šādā veidā.

Avoti:
LSD: http://www.lsm.lv/lv/raksts/latvija/zinas/par-vairak-neka-1000-draugiem.lv-lietotaju-datu-iegusanu-aiztur-tris-nepilngadigos.a184185/

Tagged:

 ::  Komentēt  ::  2016-05-26  ::  edgars

Kļūdas dēļ VID citai personai nosūta Denisa Čalovska datus

Kategorija: Incidenti + Personas dati

vid

Salvis Ceriņš pieprasījis no VID kādu izziņu. Tā kā ēpastā atbilde jau ilgāku laiku nebija atrodama, viņš ielūkojās savā EDS sistēmas profilā. Tur atbilde atradās. Taču liels bija Salvja pārsteigums, ieraugot viņam adresētajā vēstulē dokumentus par citu cilvēku, turklāt publiski pazīstamu personu. Izziņa saturēja datus par pagājušajā gadā D. Čalovska gūtajiem ienākumiem un valstij samaksātajiem nodokļiem. Arī personas kodu. Tie, protams, visi ir aizsargājami personas dati, kam svešās rokās nevajadzētu nokļūt. «Kāds tos var izmantot ļaunprātīgi,» spriež Salvis. Viņš zina stāstīt par līdzīgu gadījumu no paziņu pieredzes, kad VID kļūmes dēļ – uzrakstot aplamu reģistrācijas numuru, viena uzņēmuma īpašniekam pierakstīti cita uzņēmuma parādi un uzrēķināti sodi. Pēc tam vēl ilgi nācies izskaidroties.

Taču gadījumā ar Čalovska datu noplūdināšanu skaidrība gūta ātri, un atbildīgā darbiniece arī nosūtījusi abiem kungiem dziļu atvainošanos par pieļauto kļūmi. Izziņas gatavotas vienlaikus, un tā nu sagadījies, ka vienai no vēstulēm pievienots nepareizais pielikums. Un šī kļūme nekādā veidā neesot saistīta ar to, vai persona ir vai nav atpazīstama.

Avoti:
NRA: http://nra.lv/latvija/172780-atriebiba-vai-kluda-vid-nopludina-imantas-hakera-denisa-calovska-datus.htm

 ::  Komentēt  ::  2016-05-18  ::  edgars

Publicē e-talonu reģstrācijas datu bāzi; bažas par datu privātumu

Kategorija: Incidenti + Personas dati

etalons_opendata

Ņemot vērā jaunākās tendences pasaulē, Rīgas pašvaldība ir uzsākusi atvērto datu pilotprojektu, publicējot vairākas tās rīcībā esošas datu kopas mašīnlasāmā formātā.

Viena no datu kopām ir e-talona reģistrācijas datu bāze, kas aptver 2015.gada februāri un 2016.gada janvāri.

Agris Krusts: Ilustrācijai. Piemērs, ka izskatās viena e-talona ceļš mājas-darbs un daži citi braucieni šogad janvārī:
etalons_db

Agris Ameriks: ar sūdzībām DVI tu tikai vari panākt, ka RD atteiksies no atvērtajiem datiem pilnībā.
Agris Ameriks: kā jau teicu-domāju, ka nepieciešama diskusija klātienē visām iesaistītajām pusēm. Vieni saka, ka var un ir ok, otri ka nevar.
Agris Ameriks: iesaki arī nelietot lojalitātes un kredītkartes veikalos. Šī ir daudz plašāka tēma.

Agris Krusts: neesmu dzirdējis, ka lojalitāšu vai kredītkaršu datus to turētājs pats publicē visiem pieejamus Internetā

Rīgas domes publicētajos datos e-talona turētāja identitāte ir aizstāta ar pseidonīmu, taču, ja ir zināms personas maršruts, persona datu kopā ir samērā viegli identificējama.

Avoti:
Rīgas dome: https://opendata.riga.lv/satiksme.html
Agris Krusts: https://twitter.com/agris_krusts/status/732463124654104576

4 komentāri  ::  Komentēt  ::  2016-05-18  ::  edgars

CERT.LV darbības pārskats par 2016. gada 1. ceturksni

Kategorija: cert.lv

cert-logo

• 04.01. Tika atklātas vairākas ievainojamības E-parakstītājs programmatūrā un saistītās Java bibliotēkās. Ievainojamības atklāja IT drošības speciālists Oskars Veģeris sadarbībā ar SIA BITI. CERT.LV uzsāka ievainojamību novēršanas vadības procesu un reģistrēja CVE numurus:

• 11.01. Kādā valsts iestādes vietnē no iekārtas ar Ukrainas IP adresi veiktas pārdomātas SQL injekcijas. Savukārt no iekārtas ar Latvijas IP adresi kāds lietotājs 1278 reizes mēģinājis izgūt adrešu datus, izmantojot nederīgu tokenu.

• 21.01. CERT.LV brīdināja kādu Latvijas uzņēmumu par internetā pieejamu Siemens gudrās mājas vadības kontrolieri. Lai arī pieeja bija aizsargāta ar paroli, tā konfigurācija bija nedroša un kontrolieris nevajadzīgi pakļauts uzbrukuma riskam.

• 12.02. Kādas kompānijas klientiem tika izkrāpta nauda, aizsūtot tiem viltus rēķinu par datortehniku, kuros norādīts nepareizs maksājuma konts. Krāpšanai izmantots domēns capital-latvia.lv

• Marta sākumā tika reģistrēts ziņojums no kāda sociālā tīkla lietotāja, kurš tajā saņēmis draudu vēstuli, ka tiks publicētas privātas fotogrāfijas, ja netiks samaksāta izpirkuma maksa. Izpirkums ticis samaksāt, bet bilžu publiskošanu tas nav kavējis,
papildus pieprasot vēl naudu, lai to pārtrauktu. Cietušajam CERT.LV ieteica vērsties policijā.

• Martā kādam uzņēmumam tika kompromitēts Facebook konts, un no tam piesaistītās kredītkartes nozagti apmēram 2000 EUR nepieprasītu reklāmu apmaksai. Pēc Facebook un kredītkartes izdevējbankas informēšanas, nauda kontā atgūta.

• Martā kāda sociālā tīkla Androdid aplikācijā tika konstatēta iespēja nesankcionēti iegūt lietotāju identifikācijas datus (vārdu, uzvārdu, attēlu), meklējot pēc zināma telefona numura, ja lietotājs to reģistrējis savā profilā. Meklējamajai personai nebija obligāti jābūt meklētāja draugu lokā.

• 26.03.-1.04. CERT.LV pārstāvji apmeklēja BlackHat konferenci Singapūrā.

Avoti:
CERT.LV: https://cert.lv/uploads/uploads/CERT.LV_Q1_2016.publ.pdf

1 komentārs  ::  Komentēt  ::  2016-05-11  ::  edgars

Publiskais pārskats par Drošības policijas darbību 2015.gadā

Kategorija: DP + Operatīvā darbība

dp_2015_kriminalprocesu_skaits

Stratēģiskas nozīmes preču aprites noteikumu pārkāpumu sakarā izskatās, ka DP patiesībā nemaz nevēlas uzzināt, ko tiesa lemtu attiecībā par miniatūru videokameru kriminalizēšanu. Citādi nav izskaidrojams, kāpēc DP vienkāršo Girsa krimināllietu nomuļļāja līdz noilgumam:

Šajā lietā kratīšanā Girsa dzīvesvietā likumsargi atrada ierīci, kura speciāli radīta un izmantojama operatīvās darbības pasākumiem, jo tajā iebūvētā videokamera un audio mikrofons ir maskēti, kā arī videokamera ir aprīkota ar adatas cauruma (pinhole lens) tipa lēcu. Ņemot vērā iepriekšminēto, DP no Latgales autonomijas lietas izdalīja kriminālprocesu par ierīces glabāšanu un Girsu izdalītajā lietā atzina par aizdomās turēto, taču, kā tagad informēja DP preses sekretāre, DP lietu nolēmusi izbeigt saistībā ar kriminālatbildības noilguma iestāšanos.

Avoti:
DP: http://dp.gov.lv/lv/?rt=documents&ac=download&id=14
LSM: http://www.lsm.lv/lv/raksts/latvija/zinas/drosibas-policija-izbeidz-vienu-no-lietam-pret-girsu.a181875/

 

 ::  Komentēt  ::  2016-05-10  ::  edgars

CERT.LV organizē IT drošības semināru “Esi drošs”

Kategorija: cert.lv + Lekcijas

cert-logo

Datums: 2016. gada 26. aprīlis
Laiks: 13.30 – 17.00
Vieta: Konferenču centrs “Citadele”, Republikas laukums 2a, Rīga
Mērķauditorija: Valsts un pašvaldību iestāžu atbildīgās personas par IT drošību

Semināram paredzēta video tiešraide.
Pieteikšanās semināram iespējama līdz 22.04.2016., vai līdz brīdim, kamēr būs brīvas vietas.

Semināra programma:
13.00 – 13.30     Dalībnieku reģistrācija
13:30 – 13:40     “Semināra atklāšana, aktualitātes”, Baiba Kaškina, CERT.LV
13:40 – 14:10     “Atbildīga ievainojamību atklāšana”, Ieva Ilvesa, Aizsardzības ministrija
14:10 – 14:30     “Drošības pārvaldības ieviešanas pieredze publiskā sektora iestādē”, Arnis Vārslavs, Valsts reģionālās attīstības aģentūra
14:30 – 14:50     “Drošības dokumentu pilnveidošanas praktiskā pieredze”, Lauris Vāvere, Valsts kase
14:50 – 15:00     “Došības dokumentu izstrādes aktualitātes”, Edgars Tauriņš, CERT.LV
15:00 – 15:30   Kafijas pauze
15:30 – 16:00     “Praktiskā datu aizsardzība iestādē un ārpus tās, izmantojot Azure RMS”, Pēteris Ervalds, SIA Squalio
16:00 – 16:30     “Šifrējošie izspiedējvīrusi Latvijā”, Gints Mālkalnietis, CERT.LV
16:30 – 17:00     “Interneta troļļi Latvijas ziņu portālos: taktika un iespējamie risinājumi”, Sanda Svetoka, NATO stratēģiskās komunikācijas izcilības centrs
17:00     Semināra noslēgums

Avoti:
CERT.LV: https://cert.lv/resource/show/802

1 komentārs  ::  Komentēt  ::  2016-04-18  ::  edgars

E-veselības sistēmā sagatavotajiem dokumentiem nebūs nepieciešams elektroniskais paraksts

Kategorija: eparaksts + eVeselība

E-Health

Valdība otrdien atbalstīja Veselības ministrijas (VM) sagatavotos grozījumus Ārstniecības likumā, kas paredz, ka e-veselības sistēmā veiktajiem ierakstiem un sagatavotajiem medicīniskajiem dokumentiem ir juridiskais spēks arī bez droša elektroniska paraksta.

Vienotajā veselības nozares elektroniskajā informācijas sistēmā jeb e-veselības sistēmā dokumentu parakstīšanu ar drošu elektronisko parakstu nav iespējams īstenot, jo papildus veicamās darbības ārstam sarežģīs pacientu apkalpošanu un paildzinās vizīti, kā arī prasīs finansiālus ieguldījumus no ārstniecības iestādēm (ārstniecības personām) virtuālā e-paraksta lietošanas apmaksai, norāda ministrijas speciālisti.

Avoti:
LETA: http://www.diena.lv/latvija/zinas/e-veselibas-sistema-sagatavotajiem-dokumentiem-nebus-nepieciesams-elektroniskais-paraksts-14136884

 ::  Komentēt  ::  2016-04-16  ::  edgars

Seminārs “Digitāla Ēra 2016”

Kategorija: cert.lv + DVI + Lekcijas + Personas dati

banner_digitala_era_2016

Informatīvs seminārs par personas datu aizsardzības jaunajām aktualitātēm . 2016.gada 21.aprīlis, “Islande Hotel Rīga”. Piedalās “Data Security Solutions”, “Datu Valsts inspekcija”, “Latvijas Sertificēto Personas Datu Speciālistu Asociācija”, CERT.LV u.c.

8.30-9.00 Rīta kafija, smalkmaizītes & reģistrēšanās vietā
9.00-9.20 Semināra atklāšana. Asociācija & DSS
9.20-9.50 “Personas datu aizsardzības reformas īstenošana”, Jekaterina Macuka, Tieslietu ministrijas Nozaru politikas departamenta Politikas izstrādes un reliģijas lietu nodaļas vadītāja
9.50-10.30 “Biežāk pieļautās kļūdas tiesiskas personas datu apstrādes veikšanas nodrošināšanai”, Jānis Kāršenieks, DVI Otrās uzraudzības daļas vadītājs un Olga Graudiņa, DVI Otrās uzraudzības daļas vecākā eksperte.
10.30-11.00 “Persona. Sabiedrība. NEO”, Aldis Alliks, zvērināts advokāts
11.00-11.20 Kafijas pauze
11.20-11.50 “Fizisko personu reģistra ieviešana”, Kristīne Stone, PMLP juridiskās nodaļas vadošā juriste
11.50 12.30 “Privātās dzīves aizsardzības aspekti žurnālistikā”, Agnese Boboviča, fizisko personu datu aizsardzības speciāliste, CIPP/E, LSPDASA valdes līdzpriekšsēdētāja.
12.30-13.00 “Starptautiskie standarti informācijas drošībai”, Uldis Salenieks, Exova BM Trada Vadības sistēmu Biznesa Attīstības Menedžeris – Auditors
13.00-13.40 Pusdienas pārtraukums
13.40-14.10 “Maksājuma karšu datu drošības incidents un tā sekas”, Gatis Ilgažs, AS Baltikums Bank E-komercijas risku vadītājs
14.10-14.40 “Likumīgās intereses kā personas datu apstrādes tiesiskais pamats”, Ivo Krievs, fizisko personu datu aizsardzības speciālists, CIPP/E, Biznesa augstskolas “Turība” lektors
14.40-15.40 “Indivīds interneta vidē”, Egīls Stūrmanis, CERT.LV
15.40-16.00 Kafijas pauze
16.00-16.30 “Personas datu atbilstības novērtējuma problemātikas”, Arnis Puksts, Fizisko personu datu aizsardzības speciālists, LSPDASA valdes līdzpriekšsēdētājs
16.30-17.00 “Personas datu aizsardzības tehnoloģiskās iespējas”, Andris Soroka, Data Security Solutions

Avoti:
DSS: http://dss.lv/en/par-drosibu/jaunumi/digitala-era-2016/31/

 ::  Komentēt  ::  2016-04-13  ::  edgars

Pēc ĀM lūguma mobilo sakaru operatori veikuši pretlikumīgu klientu atrašanās vietas datu apstrādi

Kategorija: Personas dati

arlietu_min_sms

Izpildot Ārlietu ministrijas (ĀM) lūgumu, Latvijas mobilo sakaru operatori veikuši pretlikumīgas darbības – notikusi iedzīvotāju atrašanās vietas datu apstrāde bez viņu piekrišanas. Šāda situācija izveidojās pagājušā gada novembrī pēc Parīzes teroraktiem, kad vajadzēja apzināt Francijas galvaspilsētā vai tās tuvumā esošos Latvijas iedzīvotājus.

«Labvakar! Ja esi Parīzē, lūdzu, sazinies ar Latvijas vēstniecību Francijā,» šāda īsziņa, ko parakstījusi ĀM, tika nosūtīta 14.novembrī pēc tam, kad Francijas galvaspilsētu satricināja teroristu uzbrukumi, svētdien vēstīja raidījums «LNT Ziņas Sešos». Lai identificētu tos, kuriem īsziņa jānosūta, bez konkrētās personas piekrišanas tika noskaidrota viņa atrašanās vieta.

Taču Datu valsts inspekcijā (DVI) norāda, ka šāda rīcība ir pretlikumīga. Ar likuma spēku ir aizliegts telefonu operatoriem apstrādāt iedzīvotāju atrašanās vietas datus bez viņu piekrišanas teica inspekcijas pārstāvis Lauris Linabergs.

Tikmēr ĀM nevēlas atzīt, ka pēc tās pieprasījuma mobilo sakaru operatoriem nācies pārkāpt likuma normu par privāto datu aizsardzību. Ministrijas pārstāvis neuzskata, ka šajā gadījumā izmantots pretlikumīgs veids. «Mēs mēģinājām atrast veidus, kādā veidā nodot ziņu,» piebilda Jansons. Tiesa gan ĀM rīcība, kas sekoja pēc Parīzes teroraktiem, visticamāk, liecina, ka tā apzinās, ka nav rīkojusies likuma ietvaros. Proti, ministrija ir sagatavojusi likuma labojumus, kas paredz – lai krīzes situācijā varētu operatīvi informēt ārzemēs esošos Latvijas iedzīvotājus par iespējamiem draudiem, nosūtot īsziņu, mobilo sakaru operatori turpmāk drīkstēs apstrādāt iedzīvotāju atrašanās vietas datus bez viņu piekrišanas.

Nav skaidrs, kā šāda īsziņa atšķiras no ierastās mobilo operatoru prakses, ar īsziņas starpniecību informējot par viesabonēšanas tarifiem un piedāvājot ceļojuma apdrošināšanu.

Avoti:
LNT: http://www.tvnet.lv/zinas/latvija/603820-pec_parizes_teroraktiem_pretlikumigi_analizeti_mobilo_operatoru_klientu_dati
LNT: http://tvplay.skaties.lv/parraides/lnt-zinas/723526

3 komentāri  ::  Komentēt  ::  2016-04-12  ::  edgars

CSDD piedāvā transportlīdzekļu īpašnieku maiņu e-vidē

Kategorija: eparaksts + ePārvalde

csdd_ipasnieku_maina

No 2016.gada 1.aprīļa Ceļu satiksmes drošības direkcija (CSDD) piedāvā drošu, ērtu un kontrolējamu transportlīdzekļu īpašnieku maiņu e-vidē (e.csdd.lv), ko varēs izmantot kā juridiskās, tā arī fiziskās personas.

Lai īpašnieka maiņu reģistrētu e-vidē, vispirms reģistrētajam auto īpašniekam (pārdevējam) ir jānoņem transportlīdzeklis no uzskaites atsavināšanai Latvijā. Tādēļ CSDD elektroniskajā vidē piedāvāvēl vienu jaunu pakalpojumu: «TL noņemšana no uzskaites atsavināšanai LR». Šai darbībai seko pircēja izdarīta atzīme reģistrā par to, ka viņš vēlas iegādāties konkrētu transportlīdzekli. Savukārt pārdevējs piecu dienu laikā apstiprina īpašnieku maiņu. Abas atzīmes arī izdarāmas e-pakalpojumos. Reģistrācijas procedūra pilnībā tiek pabeigta CSDD nodaļā, kad transportlīdzekļa ieguvējs saņem reģistrācijas apliecību.

Īpašuma tiesību maiņa un atbildība tiek fiksēta no tā brīža, kad pārdevējs reģistrā ir apstiprinājis īpašnieka maiņu. Tas nozīmē, ka ar šo brīdi:
• pircējs iegūst īpašuma tiesības uz konkrēto transportlīdzekli;
• beidzas pārdevēja obligātā civiltiesiskā atbildība par konkrēto auto, savukārt, pircējs, par pamatu ņemot atzīmi reģistrā, var iegādāties OCTA polisi;
• pircējs atbild par izdarītajiem pārkāpumiem ceļu satiksmē.

Transportlīdzekļu īpašnieku maiņu, kā līdz šim, varēs reģistrēt arī CSDD nodaļās vai izmantojot tirdzniecības uzņēmumus.

Īpašnieka maiņai nav nepieciešams elektroniskais paraksts – pietiek vien ar veiktu atzīmi e.csdd.lv vidē.
Kurš būs atbildīgs par pazaudētu auto, kad nākošreiz kāds sīkurķis piekļūs DVI direktores e.csdd.lv kontam?

Avoti:
TVNET: http://www.tvnet.lv/auto/notikumi/602134-csdd_piedavas_transportlidzeklu_ipasnieku_mainu_evide

 ::  Komentēt  ::  2016-04-07  ::  edgars