Tietoturvauutiset ja blogipostaukset
- Keskustelun aloittaja Sampsa
- Aloitettu
- Liittynyt
- 19.10.2016
- Viestejä
- 4 061
Jaa... Esim viime vuoden osalta on varsin monasti Success Clinic oy.
Success Clinic - yritystiedot, taloustiedot | Finder
Katso Finderista yhtiön Success Clinic yritystiedot, y-tunnus, päättäjät ja taloustiedot. Tutki mm. liikevaihtoa.www.finder.fi
En ainakaan omia tietojani haluaisi luovutettavan toimijalle joka käyttää niitä tavalla x ja myy lopputulosta ulos. Ja toistakymmentä lupaa syyllä tilastointi. Omaan nenään haisee aika oudolta. Kuka ja miten tällaisia toimijoita edes valvoo? Saati maailmalla? Ei mitenkään?
Niin, mukana oli myös vähemmän hyödyllisen näköistä tavaraa. Rajaisin kyllä markkinointia pääasiallisesti edistävät 'tutkimukset' pois, vaikkapa juuri tarkentamalla vaatimuksia datan käyttökohteelle tutkimuskäytössä. Tosin tuolla olikin juuri eroteltu tietoluvat ja tietopyynnöt ja niissä erilaiset vaatimukset ja detailitaso.
Noi Success Clinicin hakemukset oli noita tietopyyntöjä[*][**], jotka palauttaa anonymisoitua dataa. "Lihavuuslääkkeiden käyttö Suomessa", "ADHD lääkityksien käyttö", ja alta voidaan todeta, että ei, sieltä ei saa postinumeron perusteella yksilöityä dataa ulos (Dataa sekä karkeistetaan että arvoja poistetaan, jos karkeistamisella ei saada anonyymiä tulosta).
Nopeasti tuota success clinicciä kurkistaen, tuosta tuskin on muodostunut haittaa, mutta kyllä tuo vähän tiedon väärinkäytöltä näyttää. (e. En ole vakuuttunut mietittyäni asiaa, että onko tuo edes suoranaista väärinkäyttöä. Toki lääkkeiden markkinointi kulostaa vähän pahalta, mutta jos se nyt perustuu siihen, että tiedetään, anonyymisti, paljonko lääkkeiden tarvitsijoita/käyttäjiä Suomessa on, niin noh...)
[*] tuolla on TL;DR; versio ja pidempi selostus tuosta datan anonymiteetistä. Tässä TL;DR, Alla täydellisempi.
Tietopyynnöt
Tietopyynnöllä voit hakea tilastomuotoista, anonyymia aineistoa. Tietopyynnöllä haettu tilastoaineisto toimitetaan asiakkaalle sähköisesti, eivätkä sen analysointia koske samat tietoturvavaatimukset…
findata.fi
[**] Rehellisesti sanottuna kuulostaa siltä, että on taas luettu uutisia puolella silmällä ja hypätty junaan mukaan riehumaan:
Tietopyynnöt
Tietopyynnöllä voit hakea tilastomuotoista, anonyymia aineistoa. Tietopyynnöllä haettu tilastoaineisto toimitetaan asiakkaalle sähköisesti, eivätkä sen analysointia koske samat tietoturvavaatimukset…
findata.fi
Joo ja varsinkin kun ensin mediassa nyt poliitikot väittävät että tämä on hyvä keino henkien pelastamiseksi ja ensimmäisten myönnettyjen lupien joukossa on seuraava:
Onhan se kuolemanvaarassa kun eturistiside vähä venähtää. Voi jeesus mitä touhua. Jollain tapaa saattaisin ymmärtää tämän touhun jos kyseessä olis vaikka 10 vuotta sitten kuolleiden ihmisten terveystietoja ja tälläisiä oikeasti tarpeellisia tutkimuksia kuten syöpään liittyvien terveystietoja jaettaisiin ja myönnettäisiin lupia mutta nyt kaikkia flunssan tai eturistisiteen venähdystenkin terveystiedot jaellaan ties minne ympäri maailmaa. Kaikille jotka niitä ymmärtää vain kysyä. Onko meidän jollain viranomaisilla pääsy USA tai Ruotsin terveystietoihin? Ei varmasti.
Edit : Lainattu Ylen uutisesta lause "Sosiaaliturvaministeri Grahn-Laasonen korostaa, että terveysdatan tutkimuskäyttö on elintärkeää hoitojen kehittämiseksi ja ihmishenkien pelastamiseksi." Mitenkähän eturistisidevammat oikeasti liittyy tähän ihmishenkien pelastamiseksi, vaikka kyse olikin kyllä Töölön Mehiläisessä leikatuista potilaista...Eturistisiteitä on "muutama" korjattu menneinä vuosikymmeninä niin aika rutiinia pitäis olla nykylääketieteellä nuo hommat. En oikein mistään suunnasta ymmärrä polvivamman liittymistä edes tähän "elintärkeä hoitojen kehittämiseksi" kohtaan saati sitten ihmishenkien pelastamiseksi.
Viimeksi muokattu:
- Liittynyt
- 17.10.2016
- Viestejä
- 2 459
Jotain tälle hommalle pitäisi tehdä. En vain tiedä mitä. Ja olenko enää edes halukas mitään yrittämään.. minulla kun meni viimeistään nyt usko suomen valtioon kun tuossa muutama kuukausi sitten sain vihdoin päätöksen eduskunnan oikeusasiamieheltä, kanteluuni tietosuojavaltuutetun toimistosta joka ei ole käsitellyt asiaani lähes 4 vuoteen. Eduskunnan oikeusasiamies toteaa, että lakia on rikottu mutta ainoa toimenpide on huomautuksen antaminen tietosuojavaltuutetun toimistolle. Turha on näköjään mihinkään valittaa kun kukaan ei tee mitään, tai ei ole resursseja tehdä. Ja jos niistä valittaa ylemmälle taholle lain rikkomisesta, niin siitäkään ei käytännössä seuraa mitään. Masentaa tämä maailma.
- Liittynyt
- 19.10.2016
- Viestejä
- 4 061
En ymmärrä. Löysit joukosta ACL repeämän, ja valehtelet jotin 'vähän venähtämisestä'? Joo, ehkä siinä vaan parannetaan repeämän saaneiden elämää ja topipumisennustetta, mutta eh.
Siinä samassa listassa
Pohjois-Pohjanmaan hyvinvointialue (Pohde): Synnynnäiset immuunipuutokset Suomessa: Esiintyminen, sairastavuus, geneettiset löydökset ja ennuste
HUS-yhtymä: Perinnöllistä syöpäalttiusoireyhtymää sairastavien henkilöiden sairastavuus ja syöpäalttiusoireyhtymien yleisyys
HUS-yhtymä: Perinnöllistä syöpäalttiusoireyhtymää sairastavien henkilöiden sairastavuus ja syöpäalttiusoireyhtymien yleisyys
HUS: Tehostetun ilmanpuhdistuksen merkitys lasten ja päiväkodin työntekijöiden sairastuvuuteen
Ruokavirasto: Association between the consumption of thermally processed foods and the risk of cancer
Toki en väitä, että kaikki olisivat yhtä hyödyllisiä, mutta kuten sanoin "sangen hyödyllisen näköisiä tutkimuksia tuolla mukana".
1. Ehdottomasti olen samaa mieltä kanssasi.
2. Et ole yksin tunteidesi kanssa varmastikkaan.
3. Tälle vois avata aivan kokonaan oman keskustelun tuonne Internet, tietoturva puolelle niin sais tässä taas linkkailla muita juttuja eikä kaikki hautaudu toistensa sekaan. Voin avata sellaisen yleisen keskustelun minne tästäkin jo osan keskustelusta vois siirtää.
Nyt en ihan ymmärrä, mitäs täs tuli valehdeltelua. Tarkoitin että miksi tuollaisia tietoja jaellaan kun niillä ei ole mitään tekemistä hengen pelastamisen kanssa? Samalla yritin myös myötäillä sinua että onhan siellä myös hyödyllisiä tutkimuksia myös varmasti, mutta en näe mitenkään tarpeellisenä minkään polvivammojen takia terveystietoja jaella ympäri maailmaa.
Edit: Taisit ymmärtää lainaukseni sekä lauseeni väärin. Pahoittelut ja yritän muokata sen järkevämmäksi.
Viimeksi muokattu:
- Liittynyt
- 19.10.2016
- Viestejä
- 4 061
Mikä on 'tuollaisia tietoja'? Tuossa yritetään selvittää, kuten tuossa lukee, miten graftivalinnat vaikuttaa uusintarepeämiin leikkauspotilailla.
Ja "tutkimuskäyttö on elintärkeää hoitojen kehittämiseksi ja ihmishenkien pelastamiseksi" ei tarkoita, etteikö osa tutkimuskäytöstä esimerkiksi 'vain' tuota parempia leikkaustuloksia ja säästä uusintaleikkauksilta. (e2. "hoitojen kehittämiseksi")
---------
"Onhan se kuolemanvaarassa kun eturistiside vähä venähtää. "
vs.
"Tutkimuksemme tarkoitus on verrata ACL repeämiä eri sukupuolten välillä sekä mahdollisia uusintarepeämien syitä korkean uusintarepeämäriskin potilailla (naissukupuoli ja ikä). Jotta saamme laajalti tarkasteltua hypoteesiamme (sukupuolten ja grafti-valintojen välillä on eroja ACL vammoissa), kokoamme retrospektiivisen otoksen Töölön Mehiläisessä leikatuista potilaista."
e. Kuten ilmeisesti tiedät: "Polven eturistisiteen repeämä on yleinen polven nivelsidevamma. Eturistiside repeää yleensä kerralla kokonaan poikki. Osittaiset repeämät ovat harvinaisempia. Revennyt eturistiside ei parane itsestään, vaan ristisidevamma vaatii useimmiten leikkaushoitoa."
Nyt ymmärrän mitä tarkoitat. Suutuspäissäni erittäin vähän "käänsin" asiaa. Valehteluksi en kuitenkaan väittäis sarkastiseksi tarkoitettua lausetta. Et vain ymmärtäny viestin kokonaisuutta?
- Liittynyt
- 19.10.2016
- Viestejä
- 4 061
Juu, ymmärsin, että vaihdoit leikkausta vaativan hoidon venähtämiseen, tutkittaessa hypoteesia siitä, että graftit vaikuttavat leikkausen parantumisennusteeseen, ollaksesi sarkastinen.
Tarkennatko mitkä osuudet tässä on sarkasmia, ja luitko ne vaatimukset "nyt kaikkia flunssan tai eturistisiteen venähdystenkin terveystiedot jaellaan ties minne ympäri maailmaa. Kaikille jotka niitä ymmärtää vain kysyä."?
Välitän yksityisyydestäni (jonkin verran, kirjoitanhan täällä anonyymisti, ja tiedostan itseeni liittyviä asioita kirjoittaessani, että minkälainen joukko minut tunnistaa niiden perusteella), mutta rehellisesti sanottuna, minulle ei ole mitään merkitystä sillä, että vaikka mun hypoteettisen luomenpoiston data menee muun massan mukana, ja vaikka menisi se kuuluisa postinumerokin mukana.
- Liittynyt
- 17.10.2016
- Viestejä
- 2 459
Ja sua ei vaivaa, että kaikki labratulokset, lääkeostokset, mahdolliset käynnit esim. mielenterveys- tai sukupuolitautipolilla, eikös ne kaikki mene ne tiedot, ja erittäin hyvällä todennäköisyydellä ne tiedot pystytään kohdistamaan sinuun?
Paljonkohan joku Meta olis valmis maksamaan tälläisistä tiedoista kun saavat muutenkin laajat profiloinnit tehtyä Insta, Whatsapp & Facebookin avulla. Tai kuinka helppoa olis yhdistää tiettyihin ihmisiin jonkun Metan kaltaisen jättifirman kaikilla näilä tiedoilla?
- Liittynyt
- 19.10.2016
- Viestejä
- 4 061
Mikä on tämä 'kaikki menee'? Ilmeisesti nyt puhutaan tietoluvista niiden tietopyyntöjen sijaan, kun niissä on sitä tarkempaa dataa (pseudoanonymisoitu, ei anonymisoitu). Alla aiheesta lisätietoa, ei oletettavasti mitään uutta kenellekään.
Joo ei. Alla olevilla rajoitteilla minua ei haittaa, että jotain tiettyä asiaa tutkittaessa saatan olla pseudoanonymoitu tapaus rajatun datan joukossa.
Bonus: Lisäksi noita käsitellään ensisijaisesti etäyhteydellä 'kapselissa' ( Vakioehdot ).
e. Todettakoon (taas), että tämä ei tarkoita, etteikö tuota ole syytä tarkastella, ja mahdollisesti parantaa. En kuitenkaan heittäisi lasta pesuveden mukana.
- Liittynyt
- 17.10.2016
- Viestejä
- 2 459
Nyt ojisamalla on kova luotto tuohon itsesääntelevään tahoon joka haluaa myydä sitä tietoa, mutta taitaa unohtaa sellaisen aspektin tähän asiaan, että ne rajoitukset eivät enää koske jos se data vuotaa sieltä, kuten olemme nähneet jo monta kertaa, että tietoa valuu ulos kaikennäköisistä palveluista. Suosittelen olemaan kriittisempi oman ja yleisesti kaikkien yksityisyyden suhteen. Minusta tämä koko keissi on aivan valtava skandaali ja tälle todellakin pitäisi jotain tehdä. EI voi tämä asia mennä näin!
- Liittynyt
- 19.10.2016
- Viestejä
- 4 061
Toki riskejä on olemassa. Tässä tuo tapa miten noita tietoja käsitellään pienentää niitä. Ts. Koostetaan valmiiksi, jaetaan kooste erikseen oletuksena suljetussa ympäristössä.
Suhteutettuna yllä mainittuun metaan tai googleen, koko datamäärä on mitätön. Käytännössä joo, jotain lääke, ruoka, päihde, liikunta-mainoksia saisi kohdistettua paremmin, mutta verrattuna vaikka siihen, että google osti mastercardin käyttötiedot (käsittääkseni jenkeissä vain kuitenkin), niin en usko, että on ihan kovin korkealla missään metan haavelistalla. Sen sijaan pahantekijät voisivat noista ehkä kaivaa jotain, mutta nähdäkseni riskit ovat aika minimaaliset, olettaen, että se miten tuolla työntekijät dataa hakevat yhdistämistä varten on järjestetty tietoturvallisesti.
E. Toivotun kriittisyyden nimissä, yritä puhua asiasta, älä henkilöstä.
Juurikin näin. Itselle olisi aikalailla ok antaa (ainakin suuri osa) noista tiedoista kaikenlaiseen tutkimuskäyttöön MUTTA kun noita tietovuotoja on tässä lähiaikoina tapahtunut vähän kaikenlaisilla toimijoilla niin en oikein haluaisi että joku taho jakelee omia (terveys)tietojani ilman että itse tiedän minne kaikkialle niitä on jaeltu.
Tuolla sivulla oli kaikenlaisia dokumentteja joissa viitataan muunmuassa Katakriin sun muihin vastaaviin ja jossain dokumentissa oli kymmeniä viittauksia kaikenlaisiin muihin dokumentteihin, pykäliin ja tiesmihin. Olisi ollut kohtuuton työ kahlata nuo kaikki dokumentit läpi että olisi saanut edes jonkinlaisen käsityksen kuinka noita oikeasti suojataan ja käyttöä rajoitetaan. Katakri sinänsä on jonkin verran tuttu työn puolesta mutta silti noita dokumentteja lukemalla ei tällainen jolla on edes joku haju noiden viitedokumenttien sisällöstä pysty oikein saamaan kokonaiskuvaa, saati sitten joku tavallinen tallaaja.
- Liittynyt
- 17.10.2016
- Viestejä
- 2 459
Lähes kaikkien suomalaisten terveystiedot yhteen koonneella tutkijalla tuomio – tilasi huumeita pimeästä verkosta
Miljoonien suomalaisten arkaluontoisia tietoja käsittelevien tutkijoiden puutteelliset taustatarkastukset herättävät kysymyksiä.
yle.fi
Nyt ruppee paljastumaan lisää aika jänniä tietoja. Paras anti on jutun lopussa tutkimusryhmän johtajasta (joka on jäänyt kiinni huumerikoksesta):
Olen mielenkiinnolla seurannut tätä FinData/FinRegistry -spektaakkelia. Tällaiset MOT:n tekemät huomiot eivät eritoten ainakaan lisää luottamusta siitä miten dataa käsitellään ja kenen toimesta:
Suomalaisten tiedot sisältävästä jättiaineistosta nousi huoli – nyt selvisi, että osan tutkijoista taustoja ei selvitetä
" MOT löysi tutkimusryhmää johtaneen tutkijan taustasta rikoksen, joka kävisi ilmi myös turvallisuusselvityksessä. Mies tuomittiin huumausainerikoksesta ehdolliseen vankeuteen vuonna 2021. Tuomio näkyy hänen rikosrekisterissään vuoteen 2026. "
Olen itsekin ollut potilaana (aivan liian monta kertaa) HUS:n piirissä, ja olen yleensä antanut luvan potilaskertomukseni tietojen jaolle sillä ajatuksella että jos se hyödyttää jotakin toista potilasta niin mikäettei. Tällaiset asiat saavat minut toisiin ajatuksiin, ja kun ammatissani vielä vilahtelee GDPR, Katakri, NIS2 jne. -termejä harva se viikko niin kyllähän se alkaa mietityttää.
edit: @TenderBeef ehtikin just ennen minua
Suomalaisten tiedot sisältävästä jättiaineistosta nousi huoli – nyt selvisi, että osan tutkijoista taustoja ei selvitetä
" MOT löysi tutkimusryhmää johtaneen tutkijan taustasta rikoksen, joka kävisi ilmi myös turvallisuusselvityksessä. Mies tuomittiin huumausainerikoksesta ehdolliseen vankeuteen vuonna 2021. Tuomio näkyy hänen rikosrekisterissään vuoteen 2026. "
Olen itsekin ollut potilaana (aivan liian monta kertaa) HUS:n piirissä, ja olen yleensä antanut luvan potilaskertomukseni tietojen jaolle sillä ajatuksella että jos se hyödyttää jotakin toista potilasta niin mikäettei. Tällaiset asiat saavat minut toisiin ajatuksiin, ja kun ammatissani vielä vilahtelee GDPR, Katakri, NIS2 jne. -termejä harva se viikko niin kyllähän se alkaa mietityttää.
edit: @TenderBeef ehtikin just ennen minua
- Liittynyt
- 17.10.2016
- Viestejä
- 2 459
Skandaali. Lappu luukulle välittömästi.
Pitää nyt vielä kirjoittaa, kun on puhetta Finregistry tahoon luottamisesta: tuolla FAQ:issa oli että noita tietoja saisi käyttöönsä vain internetyhteydettömällä turvakoneella ilman että saa tietokantaa omaan käyttöönsä. Tämähän on selvää huuhaata, koska tällaisella koneella mikään firma ei jaksaisi pyöritellä edes satojen ihmisten tietoja.
Jos noin tärkeästä asiasta johdetaan harhaan, niin en todellakaan luota tietojen olevan edes anonymisoituja.
Jos noin tärkeästä asiasta johdetaan harhaan, niin en todellakaan luota tietojen olevan edes anonymisoituja.
Edit. Olikin etäkäyttökone
Viimeksi muokattu:
- Liittynyt
- 19.10.2016
- Viestejä
- 4 061
Siis sinua on johdettu harhaan, kun et usko, että käyttävät tätä?
Kapseli®
Kapseli on Findatan tarjoama tietoturvallinen käyttöympäristö yksilötasoisen aineiston käsittelyyn. Saat siellä käyttöösi keskeisimmät aineiston analysointiin tarvittavat tilasto-ohjelmistot.
findata.fi
Kiitos, tuosta lukeminen selvensi omaa hämmennystäni. En osannut lukea edellisen sivun FAQista etä -sanaa. En sitten tiedä miten aineiston siirto on estetty vaikkapa jos lukijan ruutu nauhoittaa kuvaa, mutta voihan sekin olla mahdollista (toivottavasti).Siis sinua on johdettu harhaan, kun et usko, että käyttävät tätä?
Kapseli®
Kapseli on Findatan tarjoama tietoturvallinen käyttöympäristö yksilötasoisen aineiston käsittelyyn. Saat siellä käyttöösi keskeisimmät aineiston analysointiin tarvittavat tilasto-ohjelmistot.
- Liittynyt
- 30.11.2016
- Viestejä
- 2 053
Plutuksen kortteja taitaa olla tekkiläisillä jonkin verran ja Solaris oli niiden entinen kortin tarjoaja joten laitetaan copy-paste mailista. Liki vuosi sitten tuli muutos mutta joku laki vaatinee säilyttämään tietoja ajan x. Eli odotellaan, mitä kaikkea on mahdollisesti vuotanut.
Millähän siinäkin pysyisi edes etäisesti mukana, mihin kaikkeen omia tietoja on tallennettu. Toivottavasti kukaan ei ainakaan perusta rekisteriä joka kerää tiedot, missä rekistereissä / palveluissa olet. Olisi lähellä samanlaista kultakaivosta korkattavaksi vs tuo findata.
Millähän siinäkin pysyisi edes etäisesti mukana, mihin kaikkeen omia tietoja on tallennettu. Toivottavasti kukaan ei ainakaan perusta rekisteriä joka kerää tiedot, missä rekistereissä / palveluissa olet. Olisi lähellä samanlaista kultakaivosta korkattavaksi vs tuo findata.
- Liittynyt
- 30.11.2016
- Viestejä
- 2 053
Keskustelijoista keskustelu on kielletty ja tuo vastauksesi omaan viestiini on kyllä jo sitä.
Kyllä tuo rekisteri on sisällöltään sellainen, ettei kyse ole "ehkä kaivaa" vaan täysi katastrofi jos aineisto vuotaa.
Mutta oliko riskien pito minimaallisena mihin perustuva tieto? Ehkä jossain loputtoman suuren tekstimäärän seassa kerrotaan, miten fyysinen suojaus on toteutettu, miten henkilökunnan valvonta hoidetaan jne.
Ja myös se kiinnostaisi melkoisesti, millainen rajapinta tuon ja muiden rekisterien välillä on. Ei palvele ketään jos tuollaisen järjettömän rekisterin vuoksi muualle lisätään rajapintoja jotka taas lisäävät riskejä ko. kohteissa.
Tästä on todella helppo olla samaa mieltä. Osaa toki voi tutkimukseen käyttää ja järkevin perustein se olisi varmasti monelle ok. Nyt sen sijaan tehtiin hiljaisuudessa rekisteri joka myy jotain jollakin perusteella johonkin. Ja samalla luotiin aivan järjetön tietoturvariski.
Koko asian kruunaa luonnollisesti se, että datan jako on muka ok jos erikseen et sitä kiellä. Miten voit kieltää toimijalta, josta et ole koskaan kuullutkaan?
Tästäkin on helppo olla samaa mieltä. Kovin moni ei todellakaan jaksa lukea sitä määrää tekstiä, mitä tuolla on. Ja vaikka lukisit, miten saat tiedon, onko omia tietojasi luovutettu missäkin yhteydessä? Niidenkin osalta tulisi lukea läpi, miten käsittelevät mitäkin dataa.
Myös lähtöpää kiinnostaisi. Onko jokaisella toimijalla ollut joku pienellä painettu "tietoja voidaan luovuttaa vapaasti ulkopuoliselle toimijalle"? Epäilen vahvasti ja moniko oikeasti antaisi luvan luovuttaa kaikki tiedot tietämättä kohdetta? Entä jos jossakin noista rekistereistä ei ole mitään tietoa? Sekin on tieto, ettei tietoa ole, ei tosin varmasti ole suostumustakaan siinä kohdassa.
Kysymysmerkkejä jää myös esimerkiksi omakannan osalta. Sieltä pystyy piilottamaan ainakin käyntitietoja ja reseptejä. Luovutetaanko tällaiset? Jos kiellät, meneekö tieto kiellosta myös tuonne? Ja yleensä aina omakantaan kirjautuessa tulee katsottua myös tietojen luovutukset läpi. Enpä ole tuollaista toimijaa nähnyt joten sekin herättää kysymyksiä. Onko luovutettu niin, ettei jää normaaleja merkintöjä?
Ainoa oikea ratkaisu olisi tehdä sama kuin Trafi aikanaan ja palvelu kiinni siihen asti, kunnes on oikeasti ja avoimesti selvitetty toiminta. Sen jälkeen harkita uudelleen, onko mitään syytä ylläpitää tuollaista.
- Liittynyt
- 19.10.2016
- Viestejä
- 4 061
Sitä ei oltu osoitettu sinulle, eikä edes pelkästään täällä keskustelijoille, vaan keskusteluun aiheesta yleisesti. Pahoittelut, jälkikäteen ajateltuna selvää, että sen voi tulkita noin.
"nähdäkseni riskit ovat aika minimaaliset, olettaen, että se miten tuolla työntekijät dataa hakevat yhdistämistä varten on järjestetty tietoturvallisesti"
Mikä tieto riskien pidosta minimaalisena? Minulle on ihan ok, että en tarkalleen tiedä miten fyysinen suojaus on toteutettu, ja se sisältyy tuohon oletukseen.
Tuota mietin itsekin. Tosin, koska näitä samoja datoja on käsittääkseni Suomessa käytetty vuosikymmeniä jo tutkimuksessa, niin koko systeemi, rajapintoineen kaikkineen on mielestäni hyvä juttu, kun on virallinen taho™, joka keskitetysti hoitaa anonymisoinnin ja tarkistaa hakemukset ja datan käyttötarpeet. Tämäkin vaatii osaamista.
Aika pitkälle kaikesta datasta voi olla hyötyä tutkimuksissa. Toki datan hyöty täytyy perustella ennen sen saamista. Järkevät perusteet on olemassa, kuten ennenkin, vaikka tuo toki (toimiessaan) yksinkertaistaa ja laskee kustannuksia tutkimusten tekemisessä. Ja keskittää myös yhteen paikkaan käsityksen siitä mitä tietoja mikäkin tietojen pyytäjä saa. Ei tuo ole mikään kaupallinen toimija.
Ne tietopyynnöt on helppo:
GDPR: "Kaikessa tutkimustoiminnassa voidaan käyttää anonymisoituja tietoja ilman käsittelyperustetta. Anonymisoituja tietoja ei enää katsota henkilötiedoiksi, joten niihin ei sovelleta tietosuojasäännöksiä."
Tietoluvat toki haastavampi, ja asettaa vaatimuksia henkilötietojen käsittelyn suunnittelulle koko tiedon elinkaaren ajalta, mikä näytti olevan osa sitä lupaprosessia.
En ole täysin vakuuttunut, että anonymisoinnin ja pseudoanonymisoinnin lisäksi kannattaisi luoda järjestelmää, mikä lähettäisi tietoa kaikille mukana oleville henkilöille. Ne tietoluvat (toisin kuin tietopyynnöt) oli muistaakseni salaisia, mikä on tietosuojan kannalta nähdäkseni perusteltua.
Noh. Siitä vain kiinni, mutta mä näen tuon parannuksena sekä tietosuojaan että tutkimusten tekemiseen. Molemmat hyvä juttu.
- Liittynyt
- 10.01.2019
- Viestejä
- 21 412
Tässä ilmeisesti kyse jostain maksukortti jutusta, kryptopalvelun visa kortista?
Mahdollisesti jotain tetoja vuotanut, pikkusen jänne maili kuitenkin, josaito, niin moni varmaan ohittanut.
Mailin sähköposti domainin sivuilta ei ihan suoraan osunut silmään uutista, no jokin yleisen oloinen kalasteluvaroitus oli.
En tiedä tuosta palvelusta mitään, mutta tuo sähköposti näyttää aika paljon tekoälyllä luodulta. ChatGPT arvioi sen olevan 60-70 % todennäköisyydellä tekoälyllä luotu:
Viimeksi muokattu:
- Liittynyt
- 05.12.2016
- Viestejä
- 288
Mielenkiintoista, että en löytänyt oikein mitään keskustelua Chat Controllista TechBBS:n puolelta. Mutta asia ei suinkaan ole unohtunut. Tässä hieman tekstiä aiheesta:
First insight: 42 key points of the secret #EUGoingDark surveillance plan for the new EU Commission
After Sunday‘s European elections, the EU is planning to reintroduce indiscriminate communications data retention without suspicion and force manufacturers to allow law enforcement access to digital devices such as smartphones and cars. This is the “confidential” 42-point plan compiled by a “high-lewww.patrick-breyer.de
Ei ihan kuitenkaan osu tämän langan aiheisiin. Nuo asiathan voidaan nähdä osittain myös turvallisuutta parantavana. Ehkäpä pitäisi perustaa oma Chat Control lanka, johon voisi ottaa mahdolliset jatkot aiheesta.
Tosin kuten kaikki asiaa seuranneet tietää, tämä on ikuinen vääntö, sekä molempien laitojen esityksiä riittää. Mikä sitten on todella toteutuva lainsäädäntö ja mikä on käytännössä toteutuvaa lainsäädännön molemmin puolin, jää kuitenkin nähtäväksi.
Tiukille menee, tästähän piti äänestää alunperin jo tänään mutta jostain syystä lykkääntyi huomiselle. Suomen kanta horjuu ja on epävarmaa äänestetäänkö tällä kertaa puolesta vai vastaan, vielä kerkeäisitte ottamaan päättäjiin yhteyttä (esim. Leena Meri, Mari Rantanen muodossa etunimi.sukunimi@gov.fi) ja uudet mepit yms. tai muulla tavoin vaikuttamaan äänestystulokseen, vain mielikuvitus rajana.Tässä se viralinen EU:n linkki ja niiden materiaali:
High-Level Group (HLG) on access to data for effective law enforcement
The High-Level Group (HLG) on access to data for effective law enforcement explores any challenges that law enforcement practitioners in the Union face in their daily work in connection to access to data and potential solutions to overcome them.home-affairs.ec.europa.eu
Mutta tuohan on hukutettu tuollaiseen hallinnolliseen jargoniin. Sen näkee mitä siitä seuraa jatkossa. Kuten sanottu, koskee toisia ja ei koske niitä jotka asiaa haluaa kiertää.
Sama ongelma oli tuon kanssa, koitin kovasti hakea olisiko aiheesta mitään keskustelua aikaisemmin. Koska tämä tällaisena ikuisuusaiheena on vähän huono tähän lankaan floodaamaan. Lisäksi olisi hyvä jos aiheen viestit olisi omassa langassaan helpomman selattavuuden vuoksi. Lisäksi tässä vaiheessa tämähän menee politiikan eikä tekniikan puolelle.
|
|
Linkkejä:
Chat control: Politicians, industry raise alarm over EU’s unprecedented messenger surveillance plans
Tomorrow (Thursday) EU governments are to vote on a bill (officially called “child sexual abuse regulation” but known as “chat control”) that would require automated searches in and disclosure of private chats, including end-to-end encrypted chats, that might contain illegal photos or videos.[1] If
www.patrick-breyer.de
"Ministerineuvosto aikoo äänestää asiasta torstaina, ja Suomen aikaisempi kielteinen kanta kuulemma horjuu. Tilanne neuvostossa on niin tiukka, että Suomen ääni saattaa ratkaista asian."
Obi-Lan
¯\_(ツ)_/¯
- Liittynyt
- 17.10.2016
- Viestejä
- 2 303
Taannoinen Traficomin murto case kanssa selviämässä. Kahdesta (oletettavasti) nyrkkipajasta viety tunnukset, joilla pääsee molempien käyttämästä laskutuspalvelusta hakemaan autojen omistajatietoja ja ihmisten luottotietoja ja ilmeisesti näiden välittäjäyhtiöiden tietokannoissa oli myös tietoja joiden säilytykseen ei ollut lupaa. Tajusivat vasta kun joku soitti ja kysyi miksi hänestä on tehty luottotietojen tarkastus.
HS maksumuuri: Tietovuoto | Miten toukokuussa paljastunut massiivinen tietovuoto tapahtui? Asiakirjat paljastavat, että keskiöön joutui pikkukaupungin autokorjaamo
HS maksumuuri: Tietovuoto | Miten toukokuussa paljastunut massiivinen tietovuoto tapahtui? Asiakirjat paljastavat, että keskiöön joutui pikkukaupungin autokorjaamo
Viimeksi muokattu:
- Liittynyt
- 30.11.2016
- Viestejä
- 2 053
Näkemyksiä on aika laidasta laitaan...
Tietoturvan parantumista on todella vaikea nähdä kun tehdään täysin turhia "isoveli valvoo"-rekisterejä. Tietosuoja paranee vain siinä tapauksessa, jos sama data luovutettaisiin joka rekisteristä erikseen keskitetty hoitaa paremmin anonymisoinnin.
Liittyykö kansanterveyteen myydä data minne tahansa? Tai se, oletko ollut esimerkiksi sosiaalitoimen asiakas?
Kyseenalaistaisin kyllä myös sen, estääkö tai vaikeuttaa suuresti jos yksittäinen henkilö haluaa tietonsa poistettavan.
En tiedä mutta uskoisin myös siihen olevan pykälänsä, miten ja mikä toimiva voi kerätä keskitetysti dataa useasta paikasta.
- Liittynyt
- 30.11.2016
- Viestejä
- 2 053
Helppoa: Earn 3-9% Crypto Rewards | Plutus Debit Card
"Jos aito" on hieman erikoinen tuollaisen mailin kohdalla, jossa ei pyydetän tekemään mitään, luovuttamaan mitään, tulee taholta jota tietää käyttäneensä jne. Lisäksi:
Näköjään luottokorttikeskusteluun on laitettu sama asia. Eli muillekin on tullut.
Ihan mahdollista. Kun kone lukee jo uutisiakin useammalla kanavalla niin enpä ole yllättynyt jos generoi mailejakin.
Viimeksi muokattu:
- Liittynyt
- 10.01.2019
- Viestejä
- 21 412
Ei välttämättä erikoinen,
"Tietää käyttäneensä", Posti, Danske, PayPal, Nordea, DHL jne. palveluita käyttäneillä usein samaa fiilis kun saamaansa mailia lukevat.
Tuossa mailissa kiinnitti se huomiota että siinä luotiin luottamusta tietiystä emailista tuleviin viesteihin, ja varoiteltiin muista viesteistä.
Plutus kortin nettisivuiksi arvoin plutus.it ja seillä ei pienellä selailulla osunut tiedotetta, ja ei myöskään tuosta solarisgroup.co.uk juuresta. ehkä odotin silmille paremmpin hyppäävää infoa.
Toki mailista kerrottuun domainiin ei sinänsä pitäisi luottaa. Eli se lokiikka että hakeudun palvelun virallisille sivuilla klikkailematta viestin linkkejä ja tarkista virallisilta, luotetuilta sivuilta onko väitettyssä asiassa perää.
Tämä lisää kovasti viestin uskottavuutta. Kiitos linkistä.
Toivotaan ettei jatkoksi seuraa huijareita jotka spämmää lisätietoja tutkimusten etemisestä.
- Liittynyt
- 30.11.2016
- Viestejä
- 2 053
Menee kyllä osin ohi ketjun aiheen mutta pienellä riskillä silti...
Tietää käyttäneensä on täysin eri, jos kyseessä on vaikkapa Posti, jota käyttää käytännössä jokainen suomalainen. On varsin tärkeää osata erotella lähettäjätahot toisistaan. Miten todennäköisesti jokin lähes kaikille täysin tuntematon toimija lähestyy maililla (ilman pakollisia linkkejä) jotain sellaista, joka ei aiheesta tiedä mitään? Ja aiheuttaako normaalisti mitään toimia, jos "singsangpinpong" lähestyy maililla? Aivan, ei aiheuta. Eli tässä kohdassa puhutaan kohtuullisen marginaaliryhmän asiasta joten (lähes) jokainen tietää, mistä on kyse.
Nyt ollaan jo ohi ketjun aiheen mutta toisaalta myös ketjun aiheessa.
Kyseiset osoitteet eivät olleet linkkeinä vaan puhtaana tekstiä. Headerit katsoen edelleen sama.
Miten siis mielestäsi esimerkiksi mainitsemasi Posti voisi varoittaa? Omasta mielestäni luonnollista olisi tarjota tekstinä ne osoitteet, joista lisätietoa on mahdollisesti tulossa.
Toki, ymmärrän ajatuksen riskeistä eikä sähköposti ole paras tapa infota mistään.
Entä linkki lisätietoihin? Ymmärrän täysin, miksi sitä ei ole laitettu. Nyt tuo piti hakea itse lähettäjäksi mainitulta taholta. Hankalaa mutta järkevää.
Kannattaa muistaa, ettei kyseessä ole varsinaisesti suuren yleisön tuote. Plutus on vaihtanut palveluntarjoajaa tosiaan liki vuosi sitten joten tavallaan heillä ei enää ole kytköksiä aikaisempaan tahoon. Asiallista mainita? Tottakai. Kriittistä? On ja ei, mitään suoraa vuotoa rahaan liittyen ei kuitenkaan ole.
Edelleen... Copypaste oli suoraan mailista. Itse asiassa ei ollut mitään linkkejä, ainoastaan puhtaasti tekstinä asiat. Ainoat linkit olivat "peru uutiskirjeet" tms mutta pasteamassani sisällössä ei ollut ainoatakaan linkkiä.
Toki, riskit ovat olemassa joka tapauksessa. Mutta vähänkin valveutuneempi (ei noita kortteja muilla ole), pystyy tässä tapauksessa varmistamaan helposti todenperäisyyden. Monessa muussa yhteydessä tilanne olisi eri mutta voisitko ystävällisesti perustaa vaikka "tunnista email-kusetukset"-ketjun?
Jos alkuperäinen kertoo (epäilemääsi tapaan) osoitteiden kertomisen niin nämä karsiutuvat sillä.
Tottakai, riskinsä tässäkin mutta ko. tapauksessa sanoisin huijauksen mahdollisuuden olevan noin nolla.
Mutta tosiaan, oma ketju "näin tulkitset huijaukset" tms?
Ja edit... linkki mukaan: Miten tunnistaa scammerit eri kanavissa
Aloitin tuollaisen. Olisi varsin toivottavaa jos saataisiin yhteen paikkaan tietoa huijausten välttämiseen.
- Liittynyt
- 10.01.2019
- Viestejä
- 21 412
Lokiikka oli se että jos henkilöön otetaan yhteyttä jonkin yhteisön taholta, jotain tieturva juttua, miten tavis sen tarkistaa. Yksi on se että menee ko firman sivuille ja tarkistaa onko siellä asiasta infottu. Jos siellä ei löydy tietoa, niin aika menetetty juttu.
Hämmentää jos Plutus ei kerro asiasta sivuillaan, vaikka kyse olisi heille pienestä asiakasmäärästä, toinen tietenkin tuon toisen firman, no oli siellä, kuten postasit, mutta jotekin helposti löydettävissä pitäisi olla.
Eikö tuo ole se miina, Jos on singsangpinpongin asiakas ja häntä feikki singsangpinpong lähestyy, niin joku voi kokea sen luotettavammaksi sen pienuuden takia, vs se että feikki posti lähestyy.
Tässä ainakin oli epäily makskorttiyhtiön asiakastiedoista vuotamisesta, eli sinänsä välineet kohdentaa aidon asiakasrekisterinavulla.
- Liittynyt
- 30.11.2016
- Viestejä
- 2 053
Laitoin alulle uuden... Laitatko ystävällisesti sinne, tämä ketju on kuitenkin uutisia, ei keskustelua varten,
Linkki muuten jäi pois. Eli Miten tunnistaa scammerit eri kanavissa
Viimeksi muokattu:
user9999
Platinum-jäsen
- Liittynyt
- 17.10.2016
- Viestejä
- 3 205
Applen AirPods ja Beats kuulokkeisiin julkaistu firmware päivitykset. Korjaa haavoittuvuuden CVE-2024-27867.
www.macrumors.com
support.apple.com
AirPods and Beats Firmware Updates Address Important Security Issue
While Apple's release notes for AirPods firmware typically offer few details on included changes, the company has published a separate support...
www.macrumors.com
About the security content of AirPods Firmware Update 6A326, AirPods Firmware Update 6F8, and Beats Firmware Update 6F8
This document describes the security content of AirPods Firmware Update 6A326, AirPods Firmware Update 6F8, and Beats Firmware Update 6F8.
- Liittynyt
- 19.10.2016
- Viestejä
- 944
Useilla web-sivustoilla käytetty polyfill.io domain on kaapattu alkuvuodesta ja saastuttaa web-sivustot haitallisella JavaScript koodilla.
uBlock Origin estääkin kyseisen domainin jo ennestään.
The polyfill.io domain is being used to infect more than 100,000 websites with malware after a Chinese organization bought the domain earlier this year.
polyfill.io is now serving malicious code hidden in those scripts, meaning anyone visiting a website using the domain will end up running that malware in their browser.
www.theregister.com
uBlock Origin estääkin kyseisen domainin jo ennestään.
The polyfill.io domain is being used to infect more than 100,000 websites with malware after a Chinese organization bought the domain earlier this year.
polyfill.io is now serving malicious code hidden in those scripts, meaning anyone visiting a website using the domain will end up running that malware in their browser.
Remove Polyfill.io code from your website immediately
Scripts turn sus after mysterious CDN swallows domain
www.theregister.com
Useilla web-sivustoilla käytetty polyfill.io domain on kaapattu alkuvuodesta ja saastuttaa web-sivustot haitallisella JavaScript koodilla.
uBlock Origin estääkin kyseisen domainin jo ennestään.
The polyfill.io domain is being used to infect more than 100,000 websites with malware after a Chinese organization bought the domain earlier this year.
polyfill.io is now serving malicious code hidden in those scripts, meaning anyone visiting a website using the domain will end up running that malware in their browser.
Remove Polyfill.io code from your website immediately
Scripts turn sus after mysterious CDN swallows domain
Itsellä ei näemmä ollut "badware" uBO uAssets listaa käytössä, mutta oli lisättynä toisella listalla joka on käytössä:
Emergency update: block Polyfill[.]io · iam-py-test/my_filters_001@8589c18
My filter lists - feel free to add these lists to uBlock Origin - Emergency update: block Polyfill[.]io · iam-py-test/my_filters_001@8589c18
github.com
Viimeksi muokattu:
- Liittynyt
- 10.01.2019
- Viestejä
- 21 412
Tämäntyyppisiä yllättävän vähän, mutta aihe mistä välillä keskusteltu "huonoissa web sivuissa", eli osa surffailee asetuksilla mikä estää ulkopuolisen sisällön, tai ainakin ulkopuoliset scriptit ym, perustellen iso homma selvittää kymmenen ulkopuolisen luotettavuus.
Nyt sitten heillä hetki missä vaiva palkitaan, jos eivät ole tuota osoitetta valkolistanneet....
user9999
Platinum-jäsen
- Liittynyt
- 17.10.2016
- Viestejä
- 3 205
OpenSSH-ohjelmistosta löytynyt kriittinen haavoittuvuus.
www.kyberturvallisuuskeskus.fi
Haavoittuvuuden kohde
Linux-järjestelmillä
blog.qualys.com
Edit: Ubuntuihin löytyy jo päivitys
ubuntu.com
Kriittinen haavoittuvuus OpenSSH-ohjelmistossa | Kyberturvallisuuskeskus
OpenSSH-ohjelmistosta löytynyt kriittinen haavoittuvuus mahdollistaa allaolevan järjestelmän täyden haltuunoton etänä ilman tunnistautumista. Haltuunotto on tähän mennessä todennettu glibc-pohjaisilla Linux-järjestelmillä sekä FreeBSD-järjestelmillä. Kyberturvallisuuskeskuksella ei ole tiedossa...
www.kyberturvallisuuskeskus.fi
Linux-järjestelmillä
- OpenSSH:n versiot alkaen 8.5p1, ennen versiota 9.8p1.
- OpenSSH:n versiot ennen 4.4p1.
regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server | Qualys Security Blog
The Qualys Threat Research Unit (TRU) has discovered a Remote Unauthenticated Code Execution (RCE) vulnerability in OpenSSH’s server (sshd) in glibc-based Linux systems. CVE assigned to this…
blog.qualys.com
Edit: Ubuntuihin löytyy jo päivitys
USN-6859-1: OpenSSH vulnerability | Ubuntu security notices | Ubuntu
Ubuntu is an open source software operating system that runs from the desktop, to the cloud, to all your internet connected things.
ubuntu.com
Viimeksi muokattu:
- Liittynyt
- 02.02.2024
- Viestejä
- 1 950
Ciscon laitteissa haavoittuvuus
www.tivi.fi
Cisco ja Sygnia julkaisivat maanantaina tiedotteet haavoittuvuudesta CVE-2024-20399, joka vaikuttaa Cisco NX-OS -ohjelmistoon. Ohjelmiston haavoittuvaa versiota on käytössä Nexus-sarjan kytkimissä, joita löytyy tyypillisesti yritysverkkoympäristöistä erityisesti datakeskuksista. Cisco on julkaissut listan potentiaalisesti haavoittuvista laitteista.
Haavoittuvuuden takia admin-oikeudet hankkineet hyökkääjät voivat paikallisesti antaa mitä vain komentoja kytkinten käyttöjärjestelmään. Haavoittuvuus johtuu siitä, että tiettyjä laitteen konfigurointivaiheen argumentteja ei validoida asianmukaisesti, ja hyökkääjä voi syöttää haluamiaan komentoja, Cisco selventää.
Hyökkääjät ovat voineet myös ajaa omia komentojaan ilman, että järjestelmä kirjoittaa lokiin mitään, jolloin hyväksikäytön on voinut myös peittää.
Ciscon laitteista paljastui nollapäivähaavoittuvuus – kiinalaiset hakkerit ehtivät jo iskeä
Löperösti kirjoitetun konfigurointikoodin takia hyökkääjät pystyivät ajamaan kytkimessä mitä tahansa komentoja ja asentamaan haittaohjelmia käyttöjärjestelmän juureen.
www.tivi.fi
Cisco ja Sygnia julkaisivat maanantaina tiedotteet haavoittuvuudesta CVE-2024-20399, joka vaikuttaa Cisco NX-OS -ohjelmistoon. Ohjelmiston haavoittuvaa versiota on käytössä Nexus-sarjan kytkimissä, joita löytyy tyypillisesti yritysverkkoympäristöistä erityisesti datakeskuksista. Cisco on julkaissut listan potentiaalisesti haavoittuvista laitteista.
Haavoittuvuuden takia admin-oikeudet hankkineet hyökkääjät voivat paikallisesti antaa mitä vain komentoja kytkinten käyttöjärjestelmään. Haavoittuvuus johtuu siitä, että tiettyjä laitteen konfigurointivaiheen argumentteja ei validoida asianmukaisesti, ja hyökkääjä voi syöttää haluamiaan komentoja, Cisco selventää.
Hyökkääjät ovat voineet myös ajaa omia komentojaan ilman, että järjestelmä kirjoittaa lokiin mitään, jolloin hyväksikäytön on voinut myös peittää.
- Liittynyt
- 21.06.2017
- Viestejä
- 7 327
OpenSSH-ohjelmistosta löytynyt kriittinen haavoittuvuus.
Haavoittuvuuden kohdeKriittinen haavoittuvuus OpenSSH-ohjelmistossa | Kyberturvallisuuskeskus
OpenSSH-ohjelmistosta löytynyt kriittinen haavoittuvuus mahdollistaa allaolevan järjestelmän täyden haltuunoton etänä ilman tunnistautumista. Haltuunotto on tähän mennessä todennettu glibc-pohjaisilla Linux-järjestelmillä sekä FreeBSD-järjestelmillä. Kyberturvallisuuskeskuksella ei ole tiedossa...
Linux-järjestelmillä
OpenBSD-pohjaiset järjestelmät eivät ole haavoittuvia.
- OpenSSH:n versiot alkaen 8.5p1, ennen versiota 9.8p1.
- OpenSSH:n versiot ennen 4.4p1.
regreSSHion: Remote Unauthenticated Code Execution Vulnerability in OpenSSH server | Qualys Security Blog
The Qualys Threat Research Unit (TRU) has discovered a Remote Unauthenticated Code Execution (RCE) vulnerability in OpenSSH’s server (sshd) in glibc-based Linux systems. CVE assigned to this…
Edit: Ubuntuihin löytyy jo päivitys
USN-6859-1: OpenSSH vulnerability | Ubuntu security notices | Ubuntu
Ubuntu is an open source software operating system that runs from the desktop, to the cloud, to all your internet connected things.
Toi ei onneksi ole niin paha mitä voisi ensisilmäyksellä olettaa. Suht vaikea toteutettava jo 32-bit käyttiksellä kestäen siis tunteja, siitä väitellään että onko tuo edes ongelma 64-bit käyttiksen kanssa.
EDIT: Fedora julkaissu korjauksen myös
Viimeksi muokattu:
user9999
Platinum-jäsen
- Liittynyt
- 17.10.2016
- Viestejä
- 3 205
Noita OpenSSH (CVE-2024-6387) päivityksiä julkaistu myös FreeBSD pohjaisiin laitteisiin (pfSense ja TrueNAS CORE).
Netgate Security Advisory: CVE-2024-6387
ixsystems.atlassian.net
Netgate Security Advisory: CVE-2024-6387
TrueNAS - Issues - iXsystems TrueNAS Jira
ixsystems.atlassian.net
escalibur
"Random Tech Channel" @ YouTube
- Liittynyt
- 17.10.2016
- Viestejä
- 9 430
Authyn käyttämisestä on syytä luopua asap:
www.bleepingcomputer.com
Hackers abused API to verify millions of Authy MFA phone numbers
Twilio has confirmed that an unsecured API endpoint allowed threat actors to verify the phone numbers of millions of Authy multi-factor authentication users, potentially making them vulnerable to SMS phishing and SIM swapping attacks.
- Liittynyt
- 17.10.2016
- Viestejä
- 2 459
Itse en sitä käytä mutta eikö tuo ole nyt vähän ylimitoitettua? Pelkkiä puhelinnumeroita on paljastunut.. jotka siis käyttävät Authya. Toki varmasti kohdennetaan jotain hyökkäyksiä sen perusteella mutta eihän se nyt ole mitenkään erikoista, joka tapauksessa pitää olla aina varuillaan, ettei ratkea mihinkään kalasteluun. EDIT: Toki voi yleisesti ajatella, että onko tuo puulaaki yleisesti turvallinen jos vuotoja tapahtuu..
escalibur
"Random Tech Channel" @ YouTube
- Liittynyt
- 17.10.2016
- Viestejä
- 9 430
Ehdotin luopumista lähinnä sen takia, että tämä ei ole ainut kerta kun tietoturvaan keskittyvää tuotetta sörkitään. Twilio breach let hackers gain access to Authy 2FA accounts
Authy on sen verran suosittu työkalu, että pääsy siihen varmasti houkuttaa monia rikollisia. MFA-tietojen varastaminen ei välttämättä saa isoa tuhoa aikaiseksi, mutta oman mielenrauhan vuoksi itse käyttäisin muuta työkalua. Jokainen toki käyttäkööt mitä haluaa.
Joka on mikä?
- Liittynyt
- 17.10.2016
- Viestejä
- 2 459
Aegis. Tai bitwardenin oma, tosin on vasta juuri julkaistu joten se varmaan kehittyy vielä.
Uutiset
-
Live: io-techin Tekniikkapodcast (14/2025)
4.4.2025 14:16
-
RiVAI Technologies julkaisi ensimmäisen Kiinassa kehitetyn RISC-V-palvelinprosessorin Lingyun
4.4.2025 01:56
-
Katsaus vuoden 2025 aprillipilatarjontaan
4.4.2025 01:20
-
MediaTek julkaisi järeän Kompanio Ultra 910 -järjestelmäpiirin Chromebook Plus -kannettaville
4.4.2025 00:56
-
Intel julkaisi uudet ajurit Arc- ja Xe-näytönohjaimilleen (32.0.101.6732)
3.4.2025 22:30
