Content

Latvijas IT drošības ziņu centrmezgls. Informācijas iesniegšana. Avota konfidencialitāti garantējam.

Izlūkošanas ziņojumā par Donaldu Trampu pieminēta Latvija

Kategorija: Izlūkošana

– FSB often uses coercion and blackmail to recruit most capable cyber operatives in Russia into its state-sponsored programmes. Heavy use also, both wittingly and unwittingly, of CIS emigres working in western corporations and ethnic Russians employed by neighbouring governments e.g. Latvia.

2. In terms of the success of Russian offensive cyber operations to date, a senior government figure reported that there had been only limited success in penetrating the “first tier” foreign targets. These comprised western (especially G7 and NATO) governments, security and intelligence services and central banks, and the IFIs. To compensate for this shortfall, massive effort had been invested, with much greater success, in attacking the “secondary targets”, particularly western private banks and the government of smaller states allied to the West. S/he mentioned Latvia in this regard. Hundreds of agents, either consciously cooperating with the FSB or whose personal and professional IT systems had been unwittingly compromised, were recruited.”

Lai arī ir zināms, ka ziņojums satur vairākas neprecizitātes, tas sniedz vērtīgu priekšstatu par situācijas novērtējumu no izlūkdienestu skatupunkta.

Avoti:
Documentcloud: https://assets.documentcloud.org/documents/3259984/Trump-Intelligence-Allegations.pdf
The Guardian: https://www.theguardian.com/us-news/2017/jan/11/trump-russia-dossier-explainer-details

 ::  Komentēt  ::  2017-02-01  ::  edgars

E-talona lietotāju deanonimizācija izmantojot RD publiskotos datus

Kategorija: e-talons + Incidenti + Personas dati

Šis ir turpinājums diskusijai par Rīgas domes rīcību, publicējot pseidonimizētus e-talona reģistrācijas datus.

LU doktorantūras studenti Artūrs Lavrenovs un Kārlis Podiņš (CERT.LV) papētīja publicētos datus sīkāk un pētījuma rezultātus aprakstīja zinātniskā publikācijā:

Presented research demonstrates that currently used way of publishing open data containing public transport rides violates privacy of public transport users in Riga. Claimed protection of user privacy by encryption turned out to be only combination of 2 simple mathematical operations and allowed us to gain data set of real e-talons ticketID for all the registered rides of January 2016. We have provided recommendations for system owner to fix this issue. We have demonstrated deanonymization and boarding stop identification attacks, theorised about multiple other attack types. Results also raise question about security of the original stored data which contains much more personal information.

Izrādās, ka publicētais e-talona identifikators nav pseidonimizēts, bet “sašifrēts” izmantojot triviāli atšifrējamu metodi.

CERT.LV organizētā semināra “Esi drošs” jautājumu sesijā drošības pētnieks Kirils Solovjovs atklāja, ka tīmeklī eksistē pakalpojums, kur, zinot personalizētā e-talona identifikatoru, iespējams noskaidrot personas vārdu. Gala rezultāts ir tāds, ka principā Rīgas dome ir publiskojusi personas datus. Tagad tikai jautājums, kā par to rīkosies Datu valsts inspekcija.

Avoti:
AIEEE workshop: http://aieee.vgtu.lt/index.php/2016/index/pages/view/Workshop_Program
IEEE.org: http://ieeexplore.ieee.org/document/7821808/ [pielikums]
CERT.LV: https://youtu.be/h1y1W8zmlGs?t=527

5 komentāri  ::  Komentēt  ::  2017-01-27  ::  edgars

Latvijas Pasts sniedz ziņas VID par privātpersonu sūtījumiem

Kategorija: Personas dati

Turklāt Valsts ieņēmumu dienestam jau tagad ir tiesības pieprasīt un saņemt informāciju no, piemēram, „Latvijas pasta”. Tā pārstāve Gundega Vārpa apliecina, ka „Latvijas pasts” regulāri apkopo un sniedz VID tā pieprasīto informāciju. Attiecīgi „Latvijas pasts”, Valsts ieņēmumu dienestam lūdzot sniegt informāciju par darījumiem, kas notikuši ar mūsu uzņēmuma starpniecību, šo informāciju Valsts ieņēmumu dienestam sniedz tādā griezumā, kādā Valsts ieņēmumu dienests to prasa,” stāsta Vārpa.

Viņa vēl piebilst, ka „Latvijas pasts” spēj identificēt kā regulārus, tā neregulārus paciņu sūtītājus, kas par nosūtītajām paciņām saņem samaksu, izmantojot pasta norēķinu sistēmu: „Protams, visi darījumi, kur ir reģistrētie sūtījumi vai pēcmaksas sūtījumi, kur šī samaksa iet caur mūsu norēķinu sistēmu, visi šie darījumi ir identificējami un visas šīs personas ir identificējamas.”

Tādēļ iedzīvotājiem, kam dažādu mantu pārdošana, izmantojot interneta vietņu starpniecību ir ierasta lieta, jārēķinās, ka kādā brīdī arī viņi var nonākt Valsts ieņēmumu dienesta redzeslokā un saņemt uzaicinājumu reģistrēt saimniecisko darbību.

DVI varētu pārbaudīt šādas personas datu apstrādes likumību.

Avoti:
LSM: http://www.lsm.lv/lv/raksts/ekonomika/zinas/vairaki-simti-tirgonu-interneta-nonak-vid-uzmanibas-loka.a216623/

1 komentārs  ::  Komentēt  ::  2017-01-13  ::  edgars

Bitcoin izspiedēji iepirkšanās centriem draud ar viltus spridzekļiem

Kategorija: Kibernoziegumi + Norēķini

Pirmssvētku laikā noziedznieki Latvijā mēģinājuši šantažēt tirgotājus, ziņojot par veikalā it kā ievietotiem spridzekļiem un pieprasot naudu, lai pārtrauktu šādas viltus trauksmes. Valsts policija informē, ka par to ierosināti deviņi kriminālprocesi, bet vainīgais pagaidām nav atrasts.

Draudi izteikti elektroniskā formā, turklāt līdzīgi paziņojumi saņemti arī četrās citās valstīs. Tāpēc policijai esot pamats domāt, ka noziedznieks vai noziedznieki darbojušies ar vienotu mērķi. Policija izmeklēšanas interesēs neatklāj, kādā valodā vēstules rakstītas, cik liela summa prasīta un vai kāds komersants to arī samaksājis. Drošības policijai pašlaik neesot pamata uzskatīt, ka notikušais saistīts ar terorismu.

Ielās runā, ka šantažētāji prasījuši simtiem bitcoinu.
Interesanti, kurš Valsts policijā uzņemsies atbildību par ģeniālo ideju neizsludināt evakuāciju, saņemot atkārtotus draudus.

Avoti:
LSM: http://www.lsm.lv/lv/raksts/latvija/zinas/noziedznieki-izspiesanas-noluka-veikaliem-draud-ar-viltus-spridzekliem.a217431/

2 komentāri  ::  Komentēt  ::  2017-01-05  ::  edgars

CERT.LV organizē IT drošības semināru “Esi drošs”

Kategorija: cert.lv

cert-logo

2016. gada 13 .decembris, 13.00 – 17.00, konferenču centrs “Citadele”, Republikas laukums 2a, Rīga
13:00 – 13:30 Dalībnieku reģistrācija
13:30 – 13:40 “CERT.LV aktualitātes” Baiba Kaškina, Edgars Tauriņš, CERT.LV
13:40 – 14:10 “Bezkontakta norēķinu karšu drošība”, Kristaps Felzenbergs, TestDevLab SIA
13:40 – 14:10 “Atvērtie dati – iespējas un izaicinājumi” Kārlis Podiņš, CERT.LV
14:10 – 14:30 “Par elektroniskās identifikācijas uzraudzības komiteju” Kristians Teters, CERT.LV
14:30 – 15:00 “Aktuālā drošības situācija” Gints Mālkalnietis, CERT.LV
15:00 – 15:30 Kafijas pauze
15:30 – 16:00 “Informācijas sistēmu lietotāju aizdomīgu darbību identifikācija” Vitālijs Zabiņako, SIA ABC Software
16:00 – 16:30 “Atbildīga ievainojamibu atklāšana: ziņot vai neziņot?” Agris Krusts, IT Centrs
16:30 – 17:00 “Nelegāls interneta saturs. Kāpēc jāziņo? ” – Maija Katkovska, “Net-Safe Latvia” Drošāka interneta centrs

Avoti:
CERT.LV: https://cert.lv/lv/2016/11/aicinam-pieteikties-seminaram-esi-dross

 ::  Komentēt  ::  2016-12-08  ::  edgars

Pacientu datu piekļuves kontrole Latvijas e-veselības sistēmā

Kategorija: eVeselība

E-Health

Paredzēts, ka no 1.decembra Latvijā izzudīs papīra darbnespējas lapas un visiem ārstiem būs pienākums e-veselības sistēmā ievadīt elektroniskās darbnespējas lapas. Pēc tam, no nākamā gada 1.jūlija pievienosies klāt pacienta sensitīvie dati par viņa slimībām, alerģijām, implantiem.

E-veselības sistēmā būs jāievada pilnīgi visas elektroniskās receptes, pat ja pacients to nevēlēsies, citādi nevarēs izsniegt zāles. “Pasaka, ka tev nebūs brīvība – viss, ko tu pastāstīsi, viss, kas tev tiks diagnosticēts, tiks ierakstīts e-veselības sistēmā, tas ir kontrolējoši, tā ir autoritāra valsts” saka pacientu tiesību eksperte zvērināta advokāte Solvita Olsena.

Datus redzēs visi ārsti, bet pacients varēs noskaidrot, kas viņa datus skatījies:

„Tātad visas ārstniecības personas, kurām būs piekļuve pie sistēmas, varēs paskatīties par jebkuru pacientu datus, bet valdības noteikumi nosaka ierobežojumus, kuros gadījumos drīkst skatīties un kuros nedrīkst, un tas ir tikai ārstniecības mērķu sasniegšanai,” skaidro Mārtiņš Smilga no Nacionālā veselības dienesta.

Ja, piemēram, ģimenes ārsts sava pacienta datus e-veselības sistēmā drīkstēs paskatīties jebkurā laikā, tad pārējiem speciālistiem vajadzēs pierādījumu, ka viņi tiešām ārstējuši pacientu. „Visas pēdas par piekļuvēm tiek fiksētas sistēmā, līdz ar to neviens gadījums netiek palaists garām, un iedzīvotājs var sekot līdzi. Gadījumos, ja kāds ārsts būs apskatījies datus un tas nebūs ārstniecības mērķu sasniegšanai, pacients varēs vērsties pret šo iestādi, prasīt, kāpēc viņš ir skatījies, un virzīt iesniegumu,” skaidro Smilga.

Arī vecāki varēs apskatīt savu nepilngadīgo bērnu datus:

Turklāt savu bērnu gaitām medicīnā, tāpat kā savējām, varēs sekot līdzi viņu vecāki. Bērni ir nepilngadīgie līdz 18 gadu vecumam.
„Ja bērni, īpaši tie, kuri ir 14 gadus veci un vecāki, negribētu, lai viens vai abi vecāki šos datus skatās, tad viņiem ir tiesības saskaņā ar starptautiskajām normām šādas tiesības izmantot,” norāda Olsena.

Farmaceiti redzēs diagnozi:

Diagnozi receptē redzēs farmaceits un farmaceita asistents, kad pacients dosies uz aptieku pēc zālēm. Pret to iebildumi ir Tiesībsarga birojam.

Par pacienta datu drošību būs atbildīga ārsta prakse:

“Ambulatorā karte, piemēram, glabājas konfidenciāli praksē 75 gadus pēc noteikumiem – tā ir tikai mūsu iekšējā atbildība, tā ir mūsu savstarpējā zināšana. Līgumā ir skaidri un gaiši pateikts, ka jebkura datu uzlaušana, hakeri, iespējams, trešā persona, par visu atbildīga ir ārstniecības iestāde, ārsta prakse,” uzsver Latvijas Lauku ģimenes ārstu asociācijas vadītāja Līga Kozlovska.

Elastības trūkums piekļuves liegšanā:

Ir iespēja profilā uzlikt „kartes pilno aizliegumu”. Šajā kartē ir diagnozes, alerģijas, brīdinājumi, ātrās palīdzības izsaukumi un vizuālās diagnostikas rezultāti. Taču te būtiska nianse – arī ģimenes ārsts neredzēs pacienta karti. Vai, ja būs kritiskā situācija, kad jāglābj, uzņemšanas ārstiem var trūkt svarīgu ziņu. Turklāt, pat ja uzliek kartes aizliegumu, pieejamas paliks e-receptes un darbnespējas lapas. Vairākās Eiropas valstīs pacienti var uzlikt daļēju savu datu aizliegumu, kas pagaidām nav paredzēts.

Atšķirības no Igaunijas sistēmas:

Latvijā pat pilnais liegums datiem nozīmē to, ka varēs redzēt e-receptes un darbnespējas lapas. Taču Igaunijā neko nevar redzēt. Tāpat arī Igaunijā pacients var noslēgt pieeju atsevišķiem medicīnas dokumentiem. Interesanti, ka Igaunijā arī pašam ārstam īpaši sensitīvu diagnožu gadījumā, piemēram, ja atklāts vēzis, ir iespēja uz laiku liegt pacientam piekļuvi sistēmā viņa diagnozei – līdz vizītei pie ārsta, kur visu izskaidro. Igauņi sistēmā var uzzināt, kas skatījies viņu datus – konkrētas personas vārdu un uzvārdu. Atkāpei – Latvijā paredzēts, ka varēs ieraudzīt vai nu vārdu un uzvārdu, vai tikai iestādes nosaukumu. Vēl par datu drošību diskusijas raisījis tas, ka Latvijā ārstam elektroniskajā receptē būs jāieraksta diagnoze un to aptiekā redzēs farmaceits un farmaceita asistents. Igaunijā aptiekāri receptē neredz pacienta diagnozi, jo sistēmas veidotāji uzskata, ka šie dati ir pārāk sensitīvi.

Avoti:
LSM: http://www.lsm.lv/lv/raksts/zinju-analiize/zinas/e-veseliba-arstu-neaizvietojams-paligs-vai-lielais-bralis.a206889/
LSM: http://www.lsm.lv/lv/raksts/zinju-analiize/zinas/ari-igaunija-e-veselibu-vajaja-problemas-un-kritika.a207945/

3 komentāri  ::  Komentēt  ::  2016-11-28  ::  edgars

DP kriminālprocesa ietvaros centusies iegūt ziņas par Islandē uzturētu serveri

Kategorija: DP + Informācijas atklātība + Izlūkošana + Juridiskie aspekti + Vārda brīvība

dp_informacijas_pieprasijums_islande

Kriminālprocesa aizsegā Drošības policija pirms diviem gadiem mēģinājusi iegūt virkni būtisku ziņu par portālu Pietiek, – tā liecina Pietiek rīcībā nonācis šīs struktūras tiesiskās palīdzības lūgums Islandei, kur ir izvietoti portāla serveri. Kā redzams no tiesiskās palīdzības līguma, lai gan kriminālprocess bija saistīts tikai ar grāmatu un dažu tās fragmentu publicēšanu portālā Pietiek, tā aizsegā Drošības policija ir mēģinājusi iegūt visplašākās ziņas par Pietiek uzturēšanu un autoriem. Taču šis mēģinājums ir bijis neveiksmīgs, – Islandes varas iestādes un servera uzturētāji Drošības policijas zinātkāri ir ignorējuši, un nekāda informācija tai nav sniegta. Kā zināms, tieši sakarā ar Islandes nostāju vārda un informācijas brīvības jautājumos Pietiek serveri arī ir izvietoti tieši šajā valstī.

Nav noslēpums, ka arī defense.lv serveris ir izvietots Islandes 1984 serveru uzturēšanas kompānijā. Sevišķai sajūsmai par DP ziņkāres ignorēšanu gan nav pamata, jo pieredze rāda, ka starptautiskie palīdzības lūgumi pat uz ES valstīm nav efektīvi. Turpretī noprotams, ka 1984 kompānija pieprasījumu pat nav saņēmusi, jo nav informējusi pietiek.com par informācijas pieprasījumu, bet Lato Lapsa to ir atradis izbeigtā kriminālprocesa materiālos:

1984 will always do everything within it’s legal power to inform the customer of any inquires of any authorities, lawyers or courts into the customers affairs that the we may become aware of.

Avoti:
Pietiek.com: http://www.pietiek.com/raksti/kriminalprocesa_aizsega_drosibas_policija_neveiksmigi_meginajusi_iegut_zinas_par_pietiek

 ::  Komentēt  ::  2016-11-24  ::  edgars

No 2022.gada eID karti noteiks kā obligātu dokumentu

Kategorija: eID + eparaksts + ePārvalde

latvian_eIDfront

Vides aizsardzības un reģionālās attīstības ministrija (VARAM) piedāvā noteikt eID karti kā obligātu dokumentu, paredzot pārejas periodu no 2019.gada līdz 2022.gadam, kā arī paredzēt, ka visās eID viedkartēs tiek ierakstīti parakstīšanās un autentifikācijas sertifikāti un to lietotājiem tiek nodrošināta iespēja neierobežotu reižu skaitu parakstīties bez maksas.

VARAM atgādina, ka 2018.gada 1.martā spēkā stāsies Oficiālās elektroniskās adreses likums, kas paredz, ka personai tiek radīta viena elektroniska vide, kurā tā saņem visu viņai pienākošos korespondenci no valsts iestādēm neatkarīgi no tā, kura valsts iestāde un kādā jautājumā vēlas sazināties ar personu, un neatkarīgi no tā, vai līdz šim šāda saziņa notika citā elektroniskajā sistēmā. Likums paredz, ka e-adreses kontam varēs piekļūt, tikai izmantojot kvalificētus personas elektroniskās identifikācijas līdzekļus. Līdz ar to vienīgais līdzeklis, ko šobrīd valsts var apzināt un nodrošināt tā atbilstību normatīvajiem aktiem un tiesiskajam regulējumam un ar kuru varēs piekļūt e-adresei, ir eID karte.

Vienlaikus VARAM skaidro, ka, nosakot eID karti par obligātu personu apliecinošu dokumentu, netiks aizliegti vai ierobežoti citi autentifikācijas un identifikācijas rīki, tajā skaitā banku identifikācijas rīki.

Tieši 15 gadus pēc tam, kad eID par obligātu noteikta Igaunijā.

Avoti:
TVNET: http://www.tvnet.lv/zinas/latvija/633215-no_2022gada_eid_karti_noteiks_ka_obligatu_dokumentu_latvijas_iedzivotajiem
DELFI: http://www.delfi.lv/news/national/politics/valdiba-uzdod-varam-eid-karti-noteikt-ka-obligatu-dokumentu-no-2022gada.d?id=48138947

 ::  Komentēt  ::  2016-11-18  ::  edgars

Plāno pieprasīt anonīmo priekšapmaksas sarunu karšu reģistrēšanu

Kategorija: Izlūkošana + Operatīvā darbība + Personas dati + Vārda brīvība

sim-card

Priekšapmaksas sarunu karti, kas ļauj zvanīt pa anonīmu, nevienai konkrētai personai nepiesaistītu telefona numuru, šobrīd Latvijā var iegādāties teju jebkurā kioskā. Nepieciešamības gadījumā šīs personas identificēt ir galvenais iemesls, kāpēc premjerministra vadītā ēnu ekonomikas apkarošanas padome nolēmusi prasīt obligātu šo lietotāju reģistrēšanu. “Tie cilvēki, kuri nav godīgi un cenšas kaut kādā veidā izvairīties no nodokļiem, lai veicinātu PVN shēmu veidošanu, naudas atmazgāšanu, viņi pielieto vienus vai otrus līdzekļus, un  jā, – es no Valsts ieņēmumu dienesta sapratu, ka ir cilvēki, kas izmanto arī šādas iespējas, kad viņi nav ne identificējami, ne noķerti, – mēs esam spiesti rīkoties,” saka Ministru prezidents Māris Kučinskis (ZZS).

“Latvijas mobilais telefons” (LMT) izmaiņas atbalsta, atzīstot – priekšapmaksas karšu lietotāju reģistrācija radīs papildu izmaksas, bet galvenā problēma būs apzināt jau esošos nereģistrētos lietotājus. Citās domās ir konkurējošais uzņēmums TELE2, kas norāda – jaunā sistēma apgrūtinās klientus, bet nedos gaidīto efektu, jo līdzīga regulējuma pagaidām nav tuvākajās kaimiņvalstīs un negodprātīgie lietotāji priekšapmaksas kartes varēs iegādāties tur. Tam, ka regulējumam būtu jābūt vienādam visā Eiropas Savienībā, piekrīt arī Latvijas Informācijas un komunikācijas tehnoloģijas asociācija (LIKTA).

Paredzams gan, ka jaunā sistēma atšķirsies no, piemēram, Krievijas, kur priekšapmaksas sarunu kartes var iegādāties tikai ar personu apliecinošu dokumentu konkrētos pārdošanas punktos. LMT prognozē, ka kartes arī turpmāk varēs brīvi iegādāties jebkur, bet pirms lietošanas tās nāksies reģistrēt internetā.

Informatīvajā ziņojumā IeM saskata risku, ka šķietami anonīmo sakaru lietotāji var pārmesties uz interneta vidi, kas var apgrūtināt operatīvo darbu:

Vienlaikus Iekšlietu ministrija norāda uz risku, kas var veidoties nākotnē pēc Karšu reģistrācijas kā obligāta pasākuma ieviešanas, proti, noziedzīgu nodarījumu pastrādāšanai, iespējams, tiks izvēlēti tādi saziņas veidi, kurus izmantojot persona var palikt anonīma, jo piekļuve internetam bez reģistrēšanās to nodrošina, piemēram, ziņapmaiņa, izmantojot datu pārraidi – WhatsApp, iMessage, ChatON, Blackberry Message; IP telefonija – Viber, Skype u.c. Iekšlietu ministrija akcentē, ka sazināšanās migrācija uz interneta vidi varētu apgrūtināt operatīvo darbu, jo izsekošanas, identificēšanas un atklāšanas process sarežģītos.

Rūdītus PVN atmazgātājus diez vai tas apgrūtinās, bet godīgo pilsoņu masveida profilēšanu gan tas atvieglos.

Avoti:
LSM: http://www.lsm.lv/lv/raksts/latvija/zinas/aizliegs-anonimus-telefona-numurus.a204635/
SM: http://www.sam.gov.lv/images/modules/items/DOC/item_6422_Info_zinojums_prieksapmaksas_kartes_registresana_14102016.doc
LSM: http://www.lsm.lv/lv/raksts/latvija/zinas/cina-ar-noziedzibu-skeptiski-verte-iespeju-aizliegt-anonimus-telefona-numurus.a206058/
LR1: http://lr1.lsm.lv/lv/raksts/krustpunkta/kam-vajadziga-telefona-prieksapmaksas-karsu-pirceju-registresana.a75859/

1 komentārs  ::  Komentēt  ::  2016-11-17  ::  edgars

CERT.LV darbības pārskats par 2016. gada 3. ceturksni

Kategorija: cert.lv

cert-logo

• 04.07. CERT.LV turpināja veikt ievainojamību novēršanas koordināciju sadarbībā ar Ķīnas nacionālo CSIRT vienību CNCERT, IP kameru ražotāju Milesight un ievainojamību atklājēju Kirilu Solovjovu. CERT.LV uzstāja uz ražotāja atbilstošu reakciju un nepieciešamību iegūt programmatūras labojumus, jo vairāki simti ievainojamu iekārtu tika atklāti kādā valsts iestādē. Tika panākta atklāto ievainojamību novēršana un ražotājs izsniedza programmatūras ielāpus. Šis process prasīja koordinēšanas darbu 8 mēnešu garumā.

• 12.07. Klients ziņoja CERT.LV par ievainojamību kādas iestādes e-pakalpojumā. Ar šīs ievainojamības starpniecību bija iespējams nesankcionēti piekļūt citu personu datiem iestādes datu bāzē pēc līdzīga principa, kā tas bija iespējams VID (Neo) gadījumā. CERT.LV, veicot pārbaudes, identificēja vēl vairākas ievainojamības, kuru novēršanu koordinēja ar sistēmas turētāju. Ievainojamības tika novērstas.

• 16.07. CERT.LV saņēma informāciju par uzbrukumu kādai elektronisko biļešu tirdzniecības vietnei. Uzbrukuma rezultātā uzbrucēji ieguva informāciju, kuru izmantoja viltotu biļešu izgatavošanai. CERT.LV sniedza atbalstu Valsts policijai incidenta izmeklēšanā.

• 05.09. IT drošības speciālists Nils Putniņš sadarbībā ar uzņēmumu Influent Solutions un Digital Security Alliance biedrību informēja CERT.LV par atklātu kritisku ievainojamību kādas pašvaldības tīmekļa vietnē. Izmantojot ievainojamību, bija iespējams nesankcionēti iegūt datu bāzes ierakstus un potenciāli pārņemt serveri uzbrucēja kontrolē. Ievainojamības atklāšanā ievēroti atbildīgas ievainojamību atklāšanas (RDP) pamatprincipi un apdraudējumu izdevās operatīvi novērst.

• 19.09. Tika konstatēts, ka kāds skolnieks labojis savas un klasesbiedru atzīmes e-klase.lv portālā, izmantojot skolotājas paroli. Parole iegūta no LinkedIn uzlaušanā iegūtiem datiem, kas ir brīvi pieejami internetā. Nodarījums nav radījis smagas sekas, bet atgādina par vajadzību izmantot dažādas paroles dažādiem resursiem.

Avoti:
CERT.LV: https://cert.lv/lv/2016/11/cert-lv-darbibas-parskats-par-2016-gada-3-ceturksni

1 komentārs  ::  Komentēt  ::  2016-11-16  ::  edgars