Tietoturvauutiset ja blogipostaukset

[Algron28]

Pitäähän sitä AI:tä saada mikkisoftan opetettua kun ei ole sosiaalisen median härpättimiä omistuksessa missä sitä voisi tehdä. Ja NSA:lle dataa seulottavaksi

 

[Kautium]

Microsoftin Recall muuttuu yhä hurjemmaksi työkaluksi. Ilmeisesti yksityisyysasetuksilla ei ole mitään väliä ja kaikki asiat indeksoidaan tekoälyn vuoksi. Saa nähdä kauanko tämä voi enää pahentua tästä, ennen kuin aletaan hipoamaan jo laittomuutta.

Microsoft Recall screenshots credit cards and Social Security numbers, even with the "sensitive information" filter enabled

Despite promising to filter personal data out, Recall still captures it.

www.tomshardware.com

Jos ette koe tarvitsevanne koko ominaisuutta, sitä voi ainakin toistaiseksi yrittää poistaa mm. seuraavilla ohjeilla: https://www.elevenforum.com/t/uninstall-or-reinstall-recall-in-windows-11.28049/

En itsekään pidä mistään yksityisyyden kannalta arveluttavista kyttäyssoftista, mutta samalla pitää kuitenkin muistaa, että tuo ominaisuus ylipäätään koskee vain Copilot+ -tietokoneita, ja silloinkin niitä "snapshotteja" tallennetaan vain paikallisesti ja vasta sen jälkeen, kun käyttäjä on kertonut haluavansa käyttää ko. ominaisuutta.

To use Recall you need to opt in to saving snapshots, which are screenshots of your activity. Snapshots and the contextual information derived from them are saved and encrypted to your local hard drive. Recall does not share snapshots or associated data with Microsoft or third parties, nor is it shared between different Windows users on the same device. Windows will ask for your permission before saving snapshots. You are always in control, and you can delete snapshots, pause or turn them off at any time. Any future options for the user to share data will require fully informed explicit action by the user.

 

[SamCer]

Microsoftin Recall muuttuu yhä hurjemmaksi työkaluksi. Ilmeisesti yksityisyysasetuksilla ei ole mitään väliä ja kaikki asiat indeksoidaan tekoälyn vuoksi. Saa nähdä kauanko tämä voi enää pahentua tästä, ennen kuin aletaan hipoamaan jo laittomuutta.

Microsoft Recall screenshots credit cards and Social Security numbers, even with the "sensitive information" filter enabled

Despite promising to filter personal data out, Recall still captures it.

www.tomshardware.com

Jos ette koe tarvitsevanne koko ominaisuutta, sitä voi ainakin toistaiseksi yrittää poistaa mm. seuraavilla ohjeilla: https://www.elevenforum.com/t/uninstall-or-reinstall-recall-in-windows-11.28049/

Ei taida olla vileä Suomessa julkaistu kun ei ainakaan omasta koneesta löydy tuolta Optional Features-listauksesta. CLI:n kautta disablointi menee kyllä läpi ilman virhettä et eiköhän se sielä jossain lymyile ja on vaan piilotettu tuolta GUI:n puolelta.

 

[user9999]

Mediakonserni Keskisuomalaisen lehtien mediatunnuksen salasana on syytä vaihtaa – syynä mahdollinen tietoturvahyökkäys

Mediakonserni Keskisuomalaisen lehdissä käytössä olevan mediatunnuksen salasana on syytä vaihtaa mahdollisimman pian.

www.ksml.fi

Mediakonserni Keskisuomalaisen lehdissä käytössä olevan mediatunnuksen salasana on syytä vaihtaa mahdollisimman pian. Syynä on mahdollinen tietoturvahyökkäys.

Mediakonserni Keskisuomalaisen isoimmat mediat ovat Keskisuomalainen, Savon Sanomat, Etelä-Suomen Sanomat, Karjalainen, Etelä-Saimaa, Hämeen Sanomat, Kouvolan Sanomat, Kymen Sanomat, Aamuposti, Forssan Lehti, Iisalmen Sanomat, Itä-Häme, Itä-Savo, Keski-Uusimaa, Länsi-Savo ja Länsi-Uusimaa.

Lisäksi Mediakonserni Keskisuomalaiseen kuuluu useita paikallismedioita.

 

[escalibur]

En itsekään pidä mistään yksityisyyden kannalta arveluttavista kyttäyssoftista, mutta samalla pitää kuitenkin muistaa, että tuo ominaisuus ylipäätään koskee vain Copilot+ -tietokoneita, ja silloinkin niitä "snapshotteja" tallennetaan vain paikallisesti ja vasta sen jälkeen, kun käyttäjä on kertonut haluavansa käyttää ko. ominaisuutta.

Olisi melko mahdotonta uskoa että tuo oikeasti jäisi vain Copilot+-koneisiin. Koko Recallin "on julkaistu, eipäs onkaan"-julkaisustrategia antaa ymmärtää, että Microsoft ei välttämättä itsekään tiedä mitä tehdä koko ominaisuuden kanssa. Tekoälyä pusketaan joka suunnasta ja ei ihmekään kun Microsoft lienee NVIDIA:n suurimpia asiakkaita. Microsoft Acquired Nearly 500,000 NVIDIA "Hopper" GPUs This Year

Recall on ominaisuutena varmasti ihan pätevä työkalu. Ylläpidon kannalta siitä voi kuitenkin muodostua todellinen painajainen ympäristöissä, joissa sen aidon oikeasti pitäisi pysyä sammuneena.

 

[leripe]

Olisi melko uskomatonta uskoa että tuo oikeasti jäisi vain Copilot+-koneisiin. Koko Recallin "on julkaistu, eipäs onkaan"-julkaisustrategia antaa ymmärtää, että Microsoft ei välttämättä itsekään tiedä mitä tehdä koko ominaisuuden kanssa. Tekoälyä pusketaan joka suunnasta ja ei ihmekään kun Microsoft lienee NVIDIA:n suurimpia asiakkaita. Microsoft Acquired Nearly 500,000 NVIDIA "Hopper" GPUs This Year

Recall on ominaisuutena varmasti ihan pätevä työkalu. Ylläpidon kannalta siitä voi kuitenkin muodostua todellinen painajainen ympäristöissä, joissa sen aidon oikeasti pitäisi pysyä sammuneena.

Toisaalta ne missä foliohattu ja aircap on pakollista, niin sitä rahaa siihen touhuun on aina.
Jos ei ole, niin sellainen yksityinen toimija ei voi olla oikein olemassa pitkään.
Julkisella puolella kaikki se kustannus koventamisesta jne siirtyy vain veronmaksajille.

 

[escalibur]

Mielenkiintoinen artikkeli tavasta hyödyntää virustrojunnan omaa virtuaaliajuria Windowsin saastuttamiseksi. Tarkoitus on siis kopioida alkuperäisen ajuritiedoston ja sen kautta manipuloida Windowsin tietoturvaasetuksia yms. Kyse ei kuitenkaan ole konseptista, vaan ihan jo käytetystä hyökkaystekniikasta.

https://www.trellix.com/blogs/research/when-guardians-become-predators-how-malware-corrupts-the-protectors/

Vaikeuttaaksenne tälläisten kikkailujen toimintaa, kannattaa varmistaa että teillä on haavoittuvien ajureiden estolista päällä Windowsissa. Tämä asetus ei tietenkään estä ihan jokaista kikkaa, mutta haavoittuneen ajurin joutuessa Microsoftin ylläpitamalle estolistalle, tulee se automaattisesti olemaan teilläkin estettynä.

Tulevassa videossani näytän muutamia asetuksia Windowsin tietoturvan parantamiseksi ja kohdistettujen hyökkäyksien hankaloittamiseksi.

Aiemmin mainitsemani video on nyt ulkona jos mm. Defenderin kovetus sattuu kiinnostamaan.

 

[gaskade]

Valion koko henkilöstön tiedot saattaneet vuotaa tietomurrossa – Tietomurto tehtiin Vincitin kautta

Tietoturvahyökkäys tapahtui 12. joulukuuta.

www.aamulehti.fi

"Valion tiedotteen mukaan hyökkääjä on käyttänyt hyväkseen kolmannen osapuolen palveluita tai järjestelmiä ja päässyt Valion järjestelmään murtamalla it-palvelukumppanin käyttäjätunnuksen."

Voisiko joku avata allekirjoittaneelle että miksi Vincitin järjestelmistä päästään kaikkiin Valion kantoihin kiinni? Vai miten helvetissä tämä kuvio on voitu toteuttaa? Ei siinä, Vincitillä varmaan taputellaan päitä tällä hetkellä.

 

[escalibur]

Valion koko henkilöstön tiedot saattaneet vuotaa tietomurrossa – Tietomurto tehtiin Vincitin kautta

Tietoturvahyökkäys tapahtui 12. joulukuuta.

www.aamulehti.fi

"Valion tiedotteen mukaan hyökkääjä on käyttänyt hyväkseen kolmannen osapuolen palveluita tai järjestelmiä ja päässyt Valion järjestelmään murtamalla it-palvelukumppanin käyttäjätunnuksen."

Voisiko joku avata allekirjoittaneelle että miksi Vincitin järjestelmistä päästään kaikkiin Valion kantoihin kiinni? Vai miten helvetissä tämä kuvio on voitu toteuttaa? Ei siinä, Vincitillä varmaan taputellaan päitä tällä hetkellä.

Sinänsä melko tuttu kuvio. Pimeässä internetissä kaupitellaan ylläpitotarjoajien admin-tunnuksia heidän pyörittämiin ylläpitojärjestelmiin. Yhdellä tunnuksella voi päästä satoihin ellei tuhansiin eri yrityksiin, jos niitä kaikkia ylläpidetään tällä samalla järjestelmällä. Pääsy ei tietenkään tarkoita automaattista pääsyä esim. tietokantoihinkin, mutta pääsy domainin hallintaan voi mahdollistaa uusien tunnusten luomisen, tai olemassaolevien manipuloinnin salaa. Tietoturvatuotteet eivät välttämättä hälyttele, koska kysehän on puhtaasta ylläpitohommasta, eikös.

 

[Hyrava]

Sinänsä melko tuttu kuvio. Pimeässä internetissä kaupitellaan ylläpitotarjoajien admin-tunnuksia heidän pyörittämiin ylläpitojärjestelmiin. Yhdellä tunnuksella voi päästä satoihin ellei tuhansiin eri yrityksiin, jos niitä kaikkia ylläpidetään tällä samalla järjestelmällä. Pääsy ei tietenkään tarkoita automaattista pääsyä esim. tietokantoihinkin, mutta pääsy domainin hallintaan voi mahdollistaa uusien tunnusten luomisen, tai olemassaolevien manipuloinnin salaa. Tietoturvatuotteet eivät välttämättä hälyttele, koska kysehän on puhtaasta ylläpitohommasta, eikös.

Itseäni välillä oikein hirvittää kuinka huonosti jotkut tahot valvovat järjestelmiään. Meillä tulee aika herkästi poikkeamista hälytyksiä, ja osa jopa herättää keskellä yötä ihmettelemään mutta monesti on käynyt ilmi että meidän yhteistyökumppanit, asiakkaat tai palveluntarjoajat eivät ole ollenkaan olleet tietoisia ongelmista vaikka ongelma on jatkunut jo pidemmän aikaa. Monta kertaa on päässyt ilmoittamaan noille tahoille että "hei, teidän järjestelmissä on ongelma, viitsisikö joku tehdä asialle jotain".

Samoin tässä ihan lähiaikoina oli eräs tapaus kun asiakkaan aliurakoitsija oli tehnyt jotain muutoksia ja kuitannut että homma on kunnossa. Meillä vaan näkyi että järjestelmässä on vikaa ja ilmoitimme kyllä asiakkaalle että jotain oli nyt mennyt muutoksissa pieleen. Seuraavana aamuna asiakkaan aliurakoitsija soitti ihan pallo hukassa että "oli kuulemma jotain vikaa jossain, osaisitko sanoa yhtään tarkempaa vikailmoitusta?" Heillä ei siis ollut minkäänlaista työkalua joka kertoisi että jossain on vikaa tai missä vika on. No, minä kerroin että mihin asti näen että järjestelmä toimii ja ukko lähti ihmettelemään asiaa. Löysi ongelman, mutta jos olisi edes kysynyt joltakin toimiiko kaikki palvelut kun oli muutokset tehnyt, niin olisi heti voitu kertoa että vika on paikkojen x ja y välillä ja vika olisi varmaan saatu korjattua saman tien.

Vastaavia tapauksia joissa me olemme nähneet ja raportoineet vian ennen kuin kenenkään muun järjestelmä (tai eyeball mk 1) on havainnut mitään normaalista poikkeavaa tulee suunnilleen kuukausittain. Vähän kyllä ihmetyttää että palveluntarjoaja saa meiltä nopeammin tiedon kuin omasta järjestelmästään että esim FNE:n yhteys on poikki tms.

 

[sm81]

Aiemmin mainitsemani video on nyt ulkona jos mm. Defenderin kovetus sattuu kiinnostamaan.

Kiitos tästä. Tein osan muutoksista.

 

[pulatunnus]

Aiemmin mainitsemani video on nyt ulkona jos mm. Defenderin kovetus sattuu kiinnostamaan.

Kannatan ennemmin ihan kirjoitettua kertomista , tai edes joku yhteenveto, no ilman linkkiä videokaan ei oikein tavoita.

 

[ROG]

Valion koko henkilöstön tiedot saattaneet vuotaa tietomurrossa – Tietomurto tehtiin Vincitin kautta

Tietoturvahyökkäys tapahtui 12. joulukuuta.

www.aamulehti.fi

"Valion tiedotteen mukaan hyökkääjä on käyttänyt hyväkseen kolmannen osapuolen palveluita tai järjestelmiä ja päässyt Valion järjestelmään murtamalla it-palvelukumppanin käyttäjätunnuksen."

Voisiko joku avata allekirjoittaneelle että miksi Vincitin järjestelmistä päästään kaikkiin Valion kantoihin kiinni? Vai miten helvetissä tämä kuvio on voitu toteuttaa? Ei siinä, Vincitillä varmaan taputellaan päitä tällä hetkellä.

Vähän saa sellaisen kuvan ettei halua olla enää missään tekemisissä

Aiemmin mainitsemani video on nyt ulkona jos mm. Defenderin kovetus sattuu kiinnostamaan.

Hetki jos toinenkin meni ennen kuin löysin videon.

Noiden kahden viestin välillä en nähnyt mitään mainintaa videosta/linkistä tms., mutta kun PC:llä aloin katsomaan niin huomasin että sinulla on allekirjoitus jossa on linkki Youtubeen. Josta päästäänkin siihen mitä tuossa edellä jo mainittiin, niin pieni teksti yhteenvedosta ei olisi pahitteeksi

 

[hounddog]

Kysymys virustorjunnasta ja virustunnisteiden päivityksistä eli käytän nyt bitdefenderiä, total security. Olen laittanut asetuksiin päivityksen tuntiin joka on oletus, silti päivityksien väli on 2-3 tuntia tai välillä enemmänkin. Voinko siis luottaa ohjelman reaali aikaiseen suojaukseen vai ovatko päivityksen miten isossa osassa?

 

[Hyrava]

Kysymys virustorjunnasta ja virustunnisteiden päivityksistä eli käytän nyt bitdefenderiä, total security. Olen laittanut asetuksiin päivityksen tuntiin joka on oletus, silti päivityksien väli on 2-3 tuntia tai välillä enemmänkin. Voinko siis luottaa ohjelman reaali aikaiseen suojaukseen vai ovatko päivityksen miten isossa osassa?

Entäs jos niitä uusia virustunnisteita ei vaan julkaista joka tunti? Käsittääkseni tuo väli vaan määrittää kuinka usein se käy kysymässä serveriltä "Onkos tullut uusia päivityksiä?" ja lataa ne jos on. Jos ei ole tullut uutta versiota virustunnisteista niin eihän se silloin niitä päivitä.

 

[escalibur]

Vähän saa sellaisen kuvan ettei halua olla enää missään tekemisissä

Hetki jos toinenkin meni ennen kuin löysin videon.

Noiden kahden viestin välillä en nähnyt mitään mainintaa videosta/linkistä tms., mutta kun PC:llä aloin katsomaan niin huomasin että sinulla on allekirjoitus jossa on linkki Youtubeen. Josta päästäänkin siihen mitä tuossa edellä jo mainittiin, niin pieni teksti yhteenvedosta ei olisi pahitteeksi

Pitää jatkossa referoida tarkemmin. Kiitos palautteesta! Valitettavasti oman sisällön linkittäminen tänne on kielletty säännöissä, joten linkit sisältöön pitää jatkossakin kaivella itse.

 

[pulatunnus]

Pitää jatkossa referoida tarkemmin. Kiitos palautteesta! Valitettavasti oman sisällön linkittäminen tänne on kielletty säännöissä, joten linkit sisältöön pitää jatkossakin kaivella itse.

Mainostaminen on kielletty, kahdessa - kolmessa postauksessa sitä nyt mainostettu. ilman referaattia, jos omaa tuotantoa niin ei tarvi edes miettiä sitaattia rajoja. Siis voi kertoa ihan asian suoraan.

 

[Humanoid]

Volkkarilla on tapahtunut "pieni" tietovuoto: VW Suffers Major Breach Exposing Location of 800,000 Electric Vehicles

A massive data leak involving over 800,000 Volkswagen electric vehicles (EVs) has left sensitive user information, including location data and personal contact details, unprotected on the internet.

The data breach, which remained unnoticed by VW for months, involved precise GPS data and personal information linked to owners of VW, Audi, Seat, and Škoda vehicles. Stored on an unprotected Amazon Cloud server, this dataset allowed anyone with basic technical skills to access:

• Detailed location logs showing exactly where and when cars were parked.
• Personal information of owners, such as names, email addresses, and phone numbers.
• Insights into users’ routines, workplaces, leisure spots, and even sensitive visits, such as government offices, hospitals, and private establishments.

 

[djmake]

Volkkarilla on tapahtunut "pieni" tietovuoto: VW Suffers Major Breach Exposing Location of 800,000 Electric Vehicles

Jälleen surullinen esimerkki siitä, mitä riskejä on täysin turhan datan keruun sallimisella. Todella vaikea on perustella, miksi auton valmistajan olisi tarpeen saada, saati säilyttää dataa tuolla tarkkuudella ja vielä suoraan henkilöön yhdistettynä. OBD-data yhdistettynä vain ajoneuvoon pitäisi riittää, joskin kyseenalaistaisin myös sen osalta tarpeen tallentaa muutoin kuin lokaalisti.

Kiinnostaisi, millä tasolla tuo datan keruu tuodaan asiakkaille esiin. Samoin myös se, miten tietoja käsitellään sen jälkeen kun luovut autosta.
Järkevimmältä vaikuttava paikka tarjosi huonosti vastauksia. Eli tuo: Volkswagenin tietosuojaportaali

 

[Algron28]

Jälleen surullinen esimerkki siitä, mitä riskejä on täysin turhan datan keruun sallimisella. Todella vaikea on perustella, miksi auton valmistajan olisi tarpeen saada, saati säilyttää dataa tuolla tarkkuudella ja vielä suoraan henkilöön yhdistettynä. OBD-data yhdistettynä vain ajoneuvoon pitäisi riittää, joskin kyseenalaistaisin myös sen osalta tarpeen tallentaa muutoin kuin lokaalisti.

Kiinnostaisi, millä tasolla tuo datan keruu tuodaan asiakkaille esiin. Samoin myös se, miten tietoja käsitellään sen jälkeen kun luovut autosta.
Järkevimmältä vaikuttava paikka tarjosi huonosti vastauksia. Eli tuo: Volkswagenin tietosuojaportaali

Tuo datan keruu tuntuu olevan sellainen nykyajan typerä trendi. Tuntuukin että dataa kerätä ihan siitä keräämisen ilosta ilman mitään ajatusta miten sitä kerättyä dataa voidaan edes hyödyntää. Sitä vaan kerätä siltä varalta että jos keksitään jotain niin sitten sitä dataa on valmiina. Tämä on itselle tullut esiim myös esim firman sisäisissä IT hankkeissa joissa erilaista datankeräystä on haluttu tehtäväksi ilman mitään ajatusta mitä sillä datalla tehdään sitten kun se on kerätty.

 

[Humanoid]

Tuo datan keruu tuntuu olevan sellainen nykyajan typerä trendi. Tuntuukin että dataa kerätä ihan siitä keräämisen ilosta ilman mitään ajatusta miten sitä kerättyä dataa voidaan edes hyödyntää. Sitä vaan kerätä siltä varalta että jos keksitään jotain niin sitten sitä dataa on valmiina. Tämä on itselle tullut esiim myös esim firman sisäisissä IT hankkeissa joissa erilaista datankeräystä on haluttu tehtäväksi ilman mitään ajatusta mitä sillä datalla tehdään sitten kun se on kerätty.

Tuollainen toiminta istuu täydellisesti nykytrendiin: voidaan helposti vain muuttaa käyttäjäehtoja lennosta, että heti, nyt sun data käytetäänkin tekoälyn kouluttamiseen, se myydään tai muuta kivaa. Ei tarvitse erikseen päivittää palvelua keräämään dataa, kun kaikki on kerätty jo. Valmista pakettia on helppo kaupata eteenpäin. Jälkeenpäin kieltäytyminen ei enää tepsi kuin siihen uuteen kerättyyn tietoon. Vanha meni jo eteenpäin, sori siitä.

 

[pulatunnus]

Volkkarilla on tapahtunut "pieni" tietovuoto: VW Suffers Major Breach Exposing Location of 800,000 Electric Vehicles

Jos oikein ymmärsin niin dataa ollut suojaamatta palvelimella, luvatonta lataamista ei olisi tapahtunut, ja se vähän ristiriitaista mitä siellä ollut, puhutaan anonymisoidusta datasta, se varmaan leveä käsite riippuen osapuolesta. jos paikkatieto tarkka selkeä data, niin minimissään kertoo VAG konsernin auton sijainnin, se tietokaan ei arvotonta. Jos samassa paikassa usein konsernin autoja, niin se voi olla arvokasta ko sijainnin muuten liitettyjen asioiden osalta.

Sitten jos auton voi vielä yhdistää sijaintiin, niin ollaan jo ison riksin äärellä, jos joku vihamielinen on/olis saanut datan haltuun.

Tuo datan keruu tuntuu olevan sellainen nykyajan typerä trendi. Tuntuukin että dataa kerätä ihan siitä keräämisen ilosta ilman mitään ajatusta miten sitä kerättyä dataa voidaan edes hyödyntää. Sitä vaan kerätä siltä varalta että jos keksitään jotain niin sitten sitä dataa on valmiina. Tämä on itselle tullut esiim myös esim firman sisäisissä IT hankkeissa joissa erilaista datankeräystä on haluttu tehtäväksi ilman mitään ajatusta mitä sillä datalla tehdään sitten kun se on kerätty.

Valmistajalla data on tärkeää ja hyödyllistä, tai ainakin voisi olla jos osaa sitä hyödyntää. Ja noin pienimuituosessakkin ympäristössä lokitusta miettiessä ei välttämättä tiedetä mihin kaikkeen sitä voisi tarvita, mutta voi olla paljon kokemusta tilanteissa missä datasta olisi ollut hyötyä jälkeenpäin.

Uutisen tyyppisen datan osalta tallentamisen hinta on sen data käsittely ja suojelu, vastuu mm. nämä vuotoriskit. Asiakkaalle palvelun tuottamiseen se sijainnin tallentaminen voi olla juuri se mitä asiakas haluaa, mutta tosiaan aiheellista kysyä haluaako joku ottaa henkoht vastuuta sen suojelemisesta, varsinin jos säilyttää sitä sijaintia ylin se mitä palvelun tarjoaminen vaatii.

Valmistajalla se sijainti historian tallentaminen voi olla hyödyllistä, ylittääkö sitten hinnan eriasia.

 

[Pah0lain3]

@escalibur

Onko tämä oikea kanava : Random Tech Channel
Meni hetki löytää koko kanava, jos on oikea edelleenkään.

edit, olen taukki siellähän se oli sulla ihan selvänä linkkinä nyt. Kiitos.

 

[user9999]

Rsync-palvelussa on julkaistu kriittinen haavoittuvuus. Pinonylivuotohaavoittuvuus (CVE-2024-12084) antaa hyökkääjille
mahdollisuuden suorittaa mielivaltaista koodia kohdepalvelussa. Päivitä rsync välittömästi.

Kriittinen rsync-haavoittuvuus vaatii välitöntä korjausta | Kyberturvallisuuskeskus

Rsync-palvelussa on julkaistu kriittinen haavoittuvuus. Pinonylivuotohaavoittuvuus (CVE-2024-12084) antaa hyökkääjille mahdollisuuden suorittaa mielivaltaista koodia kohdepalvelussa. Päivitä rsync välittömästi.

www.kyberturvallisuuskeskus.fi

Over 660,000 Rsync servers exposed to code execution attacks

Over 660,000 exposed Rsync servers are potentially vulnerable to six new vulnerabilities, including a critical-severity heap-buffer overflow flaw that allows remote code execution on servers.

www.bleepingcomputer.com

 

[TenderBeef]

Osaakohan joku sanoa miksi Mintiin (ubuntu) tuli kyllä pätsi tuolle rsyncille ja siinä oli kaikki CVE:t mitkä listattu kyberturvallisuuskeskuksen jutussa, PAITSI juuri tuo CVE-2024-12084?

 

[user9999]

Osaakohan joku sanoa miksi Mintiin (ubuntu) tuli kyllä pätsi tuolle rsyncille ja siinä oli kaikki CVE:t mitkä listattu kyberturvallisuuskeskuksen jutussa, PAITSI juuri tuo CVE-2024-12084?

CVE-2024-12084 | Ubuntu

Ubuntu is an open source software operating system that runs from the desktop, to the cloud, to all your internet connected things.

ubuntu.com

20.04 LTS focal on Not affected

 

[Timo 2]

Ei ehkä ole oikea ketju, mutta ehkä tota dna:n uutiskirjettä voi kutsua tietoturvauutiseksi tai tietoturvablogipostaukseksi. Itse kutsuisin sitä tietoturva oksennukseksi.

DNA

Ja syy miksi linkkaan, on että oli harvinaisen epärehellinen viesti.
Heti alkuun oli täysi vale:
"VPN on oleellinen osa hyvää tietoturvaa, koska se suojaa yksityisyytesi netissä salaamalla toimintasi ja tietosi muilta. Myös niiltä netin pahiksilta."

Ja antoivat 4 syytä käyttää käyttää vpn:ää, joista eka ja vika oli valheellisia.

1. VPN suojaa yksityisyytesi

VPN piilottaa IP-osoitteesi käyttämiltäsi palveluilta eli voit salata yhteytesi netissä kokonaan niin, ettei sinua voi vakoilla. VPN-yhteys toimii verkossa siis vähän niin kuin näkymättömyysviitta konsanaan – se piilottaa sinut ulkopuolisten katseilta"

4. Estä seuraamisesi netissä

VPN suojaa yksityisyyttäsi verkossa ja voit sen avulla suojata mm. maksukorttisi tiedot, tunnukset ja muut tärkeät henkilökohtaiset tietosi ja estää vakoilusi netissä

Täysiä valheita. Se piilottaa sun ip osoitteen operaattorilta. Ei se suojaa muuten, koska selaimesi ja tekemisesi vaikuttaa miljoonakertaa enemmän.


Eikös suomessa valheellinen markkinointi pitäisi olla kiellettyä? Tiedän erään tapauksen, jossa gigantin geelitukka myi macAffeen vissiin kahdeksi vuodeksi ja asiaks uskoi kaiken mitä geelitukka valehteli.

 

[jase]

Ei ehkä ole oikea ketju, mutta ehkä tota dna:n uutiskirjettä voi kutsua tietoturvauutiseksi tai tietoturvablogipostaukseksi. Itse kutsuisin sitä tietoturva oksennukseksi.

DNA

Ja syy miksi linkkaan, on että oli harvinaisen epärehellinen viesti.
Heti alkuun oli täysi vale:
"VPN on oleellinen osa hyvää tietoturvaa, koska se suojaa yksityisyytesi netissä salaamalla toimintasi ja tietosi muilta. Myös niiltä netin pahiksilta."

Ja antoivat 4 syytä käyttää käyttää vpn:ää, joista eka ja vika oli valheellisia.




Täysiä valheita. Se piilottaa sun ip osoitteen operaattorilta. Ei se suojaa muuten, koska selaimesi ja tekemisesi vaikuttaa miljoonakertaa enemmän.


Eikös suomessa valheellinen markkinointi pitäisi olla kiellettyä? Tiedän erään tapauksen, jossa gigantin geelitukka myi macAffeen vissiin kahdeksi vuodeksi ja asiaks uskoi kaiken mitä geelitukka valehteli.

KKV:lle voi jättää nettivinkin, eihän se välttämättä heti mihinkään johda, mutta kun riittävästi kumuloituu samasta asiasta niin saatetaan lopulta penkaista.

Asiointi kuluttaja-asioissa -sivu - Kilpailu- ja kuluttajavirasto (Asiointi)

asiointi.kkv.fi

 

[sm81]

Onko täällä ketään kuka olisi siirtynyt gmailin käytöstä esim. Protonmailin käyttöön? Miten kivuttomasti se onnistuu? Puhelimena Android Pixel. Mitä tuossa pitäisi ottaa huomioon? Siirryin jo Edgen käytöstä Firefoxiin ja DNS toimii NextDNS.

 

[=JP=]

Onko täällä ketään kuka olisi siirtynyt gmailin käytöstä esim. Protonmailin käyttöön? Miten kivuttomasti se onnistuu? Puhelimena Android Pixel. Mitä tuossa pitäisi ottaa huomioon? Siirryin jo Edgen käytöstä Firefoxiin ja DNS toimii NextDNS.

How to transfer your emails and contacts from Gmail to Proton Mail | Proton

Proton Mail offers safe and encrypted email communication. Learn how to transfer your contacts and emails from Gmail to Proton Mail.

proton.me

Tuo kaikki postit, kontaktit ja vieläpä voit aktivoida uudelleen lähetyksenkin, ettei uudetkaan postit jää sinne...

Ai tää olikin tässä ketjussa, ois pitänyt tuonne pistää vastaus.

Ilmaiset, tai halvimmat parhaat sähköpostipalvelut

ProtonMail - Log in Tutanota Vihdoin alkaa olemaan sähköpostit selvillä. Protonmail on jo suosikki , mutta tarvitsin vielä toisen enkä viitsiny tehdä toista tunnusta protonmailiin niin hetken etsiskeltyä löysin tuon tutanota sähköposti palvelun. Molemmat noista ilmaisia palveluita, toinen...

bbs.io-tech.fi

 

[sm81]

Kannattaako tuo jos kuitenkin käytän google mapsia ja aika-ajoin googlen muita palveluita?

 

[pulatunnus]

Kannattaako tuo jos kuitenkin käytän google mapsia ja aika-ajoin googlen muita palveluita?

Gmailista sähköpostin luopua ja siirtyä Protonmailin käyttäjäksi ?

Riippuu vähän mikä siirron syy. Jos käytät Google palveluita, ja Googlen Adroidi ja Googlen puhelinta, niin aivan hyvin voi käyttää jonkin muun palveluntarjoajan sähköpostia, moni tekee niin.

Jos haluat Googlesa sen emosta irti kokonaan, niin sitten on toki vielä matkaa, mutta sähköpostin siirto muualle on toki hyvä alku, ja ei vielä estä käyttämästä muita Googlen palveluita.

 

[vindicator rapeto]

Valion tietomurto tapahtui palveluntarjoajan työntekijän omalta koneelta

Uutiset nopeasti ja luotettavasti.

yle.fi

Valion tietomurto tapahtui Valion it-palvelukumppani Vincitille, ja tunnukset varastettiin Vincitin työntekijän henkilökohtaisen tietokoneen kautta.
Melko uskomatonta että tälläistä todellakin tapahtuu, varsin "manuaalista" työskentelyä.

 

[AsiJu]

Tuo datan keruu tuntuu olevan sellainen nykyajan typerä trendi. Tuntuukin että dataa kerätä ihan siitä keräämisen ilosta ilman mitään ajatusta miten sitä kerättyä dataa voidaan edes hyödyntää.

Kyllä ja koskee muutakin kuin datan keruuta IT järjestelmillä. Edellisessä työpaikassa otettiin käyttöön ns. daily management rutiini, jossa joka aamu johtajat raportoi ylemmille johtajille kaiken maailman tilannetietoa.

Ihan kiva, mutta hyvin pian kävi selväksi, ettei kellään ollut käsitystä - tai halua - tehdä sillä datalla yhtään mitään ja kaikki eskaloinnit tuli hyvin äkkiä bumerangina "no korjatkaa".
No, niinhän me korjaammekin ja olemme näin toimineet aina, joten tämä datan tuottaminen on vain ylimääräinen ja turha vaiva tällä tavalla.

En kritisoi tuollaista rutiinia sinänsä, mutta ensin johdon pitää itse selvittää mitä tietoa he haluavat, miksi, ja miten reagoivat siihen tietoon.
Elävästi jäi mieleen, miten uusi tehtaanjohtaja kovasti jossain kehui olevansa "joka aamu klo 10 tasan tarkkaan selvillä, missä mennään".
No niin varmasti olikin sillä tiedon määrällä, mitään hän ei sillä tiedolla vaan tehnyt.

Meni nyt vähän aiheesta ohi mutta datan keräys on aikamme vitsaus. Dataan perustuva päätöksenteko on ehdottomasti oikea tapa, numeeriseen dataan aina kun mahdollista, mutta ensin pitää olla selvillä mitä ollaan edes tekemässä.
Datan kerääminen vain keräämisen takia on ajan tuhlausta ja kuten nähtyä, turvallisuusriskikin.

 

[Infy]

Kansalaisten yksityisyys saa kyytiä Euroopassa.

Apple käyttäjät on pakotettu ottamaan iCloudiin tallennettavien tietojen end-to-end salaus pois päältä Englannissa.

Apple pulls end-to-end encryption in UK, spurning backdoors for gov’t spying

Apple abruptly yanks privacy tool in UK, taking bold stance against snooping law.

arstechnica.com

Ruotsissa taas puuhataan lakihanketta, missä viestintäpalvelun tarjoajat pakotettaisiin tallentamaan viestit salaamattomina poliisia varten.

Signal May Exit Sweden If Government Imposes Encryption Backdoor

Meredith Whittaker, Signal's CEO, has threatened to pull the company out of Sweden if a proposed government bill requiring encryption backdoors becomes law

www.infosecurity-magazine.com

 

[Timo 2]

Kansalaisten yksityisyys saa kyytiä Euroopassa.

Apple käyttäjät on pakotettu ottamaan iCloudiin tallennettavien tietojen end-to-end salaus pois päältä Englannissa.

Apple pulls end-to-end encryption in UK, spurning backdoors for gov’t spying

Apple abruptly yanks privacy tool in UK, taking bold stance against snooping law.

arstechnica.com

Ruotsissa taas puuhataan lakihanketta, missä viestintäpalvelun tarjoajat pakotettaisiin tallentamaan viestit salaamattomina poliisia varten.

Signal May Exit Sweden If Government Imposes Encryption Backdoor

Meredith Whittaker, Signal's CEO, has threatened to pull the company out of Sweden if a proposed government bill requiring encryption backdoors becomes law

www.infosecurity-magazine.com

Ei uskoisi että tälläistä tapahtuu länsimaissa. Kaikki diktatuurit voivat sanoa katsokaa kun länsimaatkin tekee vastaavaa, niin me voidaan kanssa tehdä sama.

Ja tästä ei ole enään pitkä matka, kiinan tyyppiseen massavalvontaan josta sopivalla hallituksella päästään laittaa arvosteliajat linnaan.

Itseasiassa saksassahan on huolestuttavia merkkejä

Germany is prosecuting online trolls. Here's how the country is fighting hate speech on the internet.

In Germany, posting hate speech online can bring police to your door.

www.cbsnews.com

 

[Infy]

Iso-Britanniassa itse asiassa on jo voimassa Snooper's Charter, joka antaa suurelle joukolle viranomaisia kattavan oikeuden analysoida ja kerätä viestintään liittyvää dataa massana ilman tarvetta hakea siihen erillistä lupaa oikeudesta. Lisäksi on olemassa oikeus velvoittaa viestintäpalveluntarjoajat murtamaan viestien end-to-end salaus, mutta oikeutta ei ole toistaiseksi käytetty, koska on todettu että se ei tällä hetkellä ole mahdollista.

Investigatory Powers Act 2016 - Wikipedia

en.wikipedia.org

 

[Puhelinkoppi]

Iso-Britanniassa itse asiassa on jo voimassa Snooper's Charter, joka antaa suurelle joukolle viranomaisia kattavan oikeuden analysoida ja kerätä viestintään liittyvää dataa massana ilman tarvetta hakea siihen erillistä lupaa oikeudesta. Lisäksi on olemassa oikeus velvoittaa viestintäpalveluntarjoajat murtamaan viestien end-to-end salaus, mutta oikeutta ei ole toistaiseksi käytetty, koska on todettu että se ei tällä hetkellä ole mahdollista.

Investigatory Powers Act 2016 - Wikipedia

en.wikipedia.org

On todella tekopyhää paskaa julistaa sanavapautta ja samalla suorittaa massavalvontaa. Se kuuluu diktatuureihin. EU yrittää survoa läpi Chat Control asetuksen, mutta siinä ei murreta salausta vaan valvonta tehdään päätelaitteissa ennen salausta. Chat Control on hyvä esimerkki kuinka tie helvettiin on päällystetty hyvillä aikeilla. Siinä melkoisia ongelmia, kuten mahdollisuus joutua epäilyn alle syyttömänä. Toinen iso ongelma on viestien seulominen kun niitä on kymmeniä miljardeja. Vääriä positiivisia tulee satavarmasti.

 

[vindicator rapeto]

Trumpin hallinto on ilmoittanut, ettei se usko Venäjän muodostavan kyberuhkaa Yhdysvaltojen kansallista turvallisuutta tai kriittisiä infrastruktuureja vastaan, mikä poikkeaa radikaalisti pitkäaikaisista tiedusteluarvioista.

Trump administration retreats in fight against Russian cyber threats

Recent incidents indicate US is no longer characterizing Russia as a cybersecurity threat, marking a radical departure: ‘Putin is on the inside now’

www.theguardian.com

 

[vindicator rapeto]

Yhdysvaltain puolustusministeriltä määräys: Kyberhyökkäykset Venäjää vastaan lopetettava ( yle)​

(koko uutinen
Yhdysvaltain puolustusministeri Pete Hegseth on määrännyt tauon kaikille maan harjoittamille kybertoiminnoille Venäjää vastaan, kertoo The New York Times sekä useat muut yhdysvaltalaismediat.
Määräyksen kerrotaan koskevan myös hyökkääviä kybertoimia. Tauon kestoa tai laajuutta ei ole tarkennettu.
The New York Times perustaa tietonsa asiaa tuntevaan virkamieslähteeseen sekä kahden entisen virkamiehen tietoihin.

Lähteiden mukaan määräys on osa Yhdysvaltain ”laajempaa arviointia kaikista Venäjää vastaan suunnatuista operaatioista”, ja se annettiin ennen Ukrainan presidentti Volodymyr Zelenskyin ja Yhdysvaltain presidentti Donald Trumpin myrskyisää tapaamista Valkoisessa talossa.

 

[sm81]

Onko normaalia, että Bitwardenin 2-vaiheisen tunnistautumisen käyttöön oton jälkeen pääsalasanan laiton jälkeen kestää 30-60 sekunttia ennenkuin kysyy todennuskoodia (Bitwarden Authenticatorista) ja todennuskoodin jälkeen menee 15-30 sekunttia ennenkuin hyväksyy sen?

 

[sra2010]

Onko normaalia, että Bitwardenin 2-vaiheisen tunnistautumisen käyttöön oton jälkeen pääsalasanan laiton jälkeen kestää 30-60 sekunttia ennenkuin kysyy todennuskoodia (Bitwarden Authenticatorista) ja todennuskoodin jälkeen menee 15-30 sekunttia ennenkuin hyväksyy sen?

Ei pitäisi kestää. Eilen tuli sovelluksen käytössä ongelmia ja tänään alkoi toimimaan, mutta tuota hitautta oli vähän joka vaiheessa, kännykällä ja pc:llä. Tukeen otin yhteyttä, mutta eivät mitään ratkaisua tarjonneet, mutta ilmeisesti ongelma ollut siellä päässä, vaikka kaikki palvelut oli muka toiminnassa, eikä vikoja.

 

[sm81]

Niinpä näkyy. Nyt toimii kuten pitää

 

[Infy]

Tuota Findatan tekemää Suomen kansalaisten tiedon hamstraamista kun käsiteltiin täällä aiemmin kattavasti, niit nyt on Supo ilmaissut huolensa asiasta kuinka leveäperäisesti kansalaistan dataa "tutkijoille" annetaan.

Terveystietoja ja genomitietoja halutaan jatkossakin hyödyntää ihmisten parhaaksi supon varoituksesta huolimatta

Tutkimusyhteisössä liian tiukkana pidetty, terveystietoja koskeva toisiolaki lähti lausuntokierrokselle. Lakiuudistuksessa tietoturvaa pidetään ykkösasiana.

yle.fi

Suojelupoliisi (supo) varoitti tiistaina suomalaisten terveys- ja geenitietojen liian avoimesta jakamisesta ulkomaille. Pahimmassa tapauksessa niitä voitaisiin supon mukaan käyttää tartuntatautien kehittämiseen ja kohdentamiseen tietyille väestönosille. Suomi jakaa kattavaa terveystietorekisteriään melko avoimesti kansainväliseen tutkimuskäyttöön sekä akateemisille että kaupallisille toimijoille. Esimerkiksi Kiina kerää eri maista biodataa.

Data hamstrauksen oikeuttavaa lakia ollaankin parhaillaan uudistamassa ja tutkijat haluavat entistä helpomman pääsyn dataan:

Tutkimusyhteisössä lakia on kuitenkin pidetty liian tiukkana ja nyt sitä halutaan uusia. Esitys lähti juuri lausuntokierrokselle. Tutkijakunta katsoo, että laki on hidastanut ja jopa estänyt tutkimuksen tekemistä. Lakiuudistuksen tavoitteena on varmistaa, että Suomi on mahdollisimman houkutteleva toimintaympäristö rekisteritutkimukselle ja lääketieteelliselle tutkimukselle.

Ja jos Findata on uusi tuttavuus, niin kyseessä massiivinen datavarasto, jossa kattavasti kerätään tietoja miljoonista suomalaisista, ei pelkästään terveystietoja, vaan myös asuinhistoriasta, apteekista ostetut reseptilääkkeet, tiedot lapsista jne...

Rekisterin dataa ei ole anonymisoitu vaan pseudoanonymisoitu, jolloin data on liitettävissä luonnolliseen henkilöön. Lisäksi rekisteri sisältää dataa sellaisella tarkkuudelle, että se on liitettävissä luonnolliseen henkilöön ilman pseudoanonymisoitua tunnistetta.

Kansalainen ei voi kieltää tai vaatia tietojaan poistettavaksi rekisteristä, vain ainoastaan kieltää rekisterissä olevan tietotansa luovuttamisen tai käytön tutkimuksiin.

 

[jarhu]

Tuota Findatan tekemää Suomen kansalaisten tiedon hamstraamista kun käsiteltiin täällä aiemmin kattavasti, niit nyt on Supo ilmaissut huolensa asiasta kuinka leveäperäisesti kansalaistan dataa "tutkijoille" annetaan.

Terveystietoja ja genomitietoja halutaan jatkossakin hyödyntää ihmisten parhaaksi supon varoituksesta huolimatta

Tutkimusyhteisössä liian tiukkana pidetty, terveystietoja koskeva toisiolaki lähti lausuntokierrokselle. Lakiuudistuksessa tietoturvaa pidetään ykkösasiana.

yle.fi

Suojelupoliisi (supo) varoitti tiistaina suomalaisten terveys- ja geenitietojen liian avoimesta jakamisesta ulkomaille. Pahimmassa tapauksessa niitä voitaisiin supon mukaan käyttää tartuntatautien kehittämiseen ja kohdentamiseen tietyille väestönosille. Suomi jakaa kattavaa terveystietorekisteriään melko avoimesti kansainväliseen tutkimuskäyttöön sekä akateemisille että kaupallisille toimijoille. Esimerkiksi Kiina kerää eri maista biodataa.

Data hamstrauksen oikeuttavaa lakia ollaankin parhaillaan uudistamassa ja tutkijat haluavat entistä helpomman pääsyn dataan:

Tutkimusyhteisössä lakia on kuitenkin pidetty liian tiukkana ja nyt sitä halutaan uusia. Esitys lähti juuri lausuntokierrokselle. Tutkijakunta katsoo, että laki on hidastanut ja jopa estänyt tutkimuksen tekemistä. Lakiuudistuksen tavoitteena on varmistaa, että Suomi on mahdollisimman houkutteleva toimintaympäristö rekisteritutkimukselle ja lääketieteelliselle tutkimukselle.

Ja jos Findata on uusi tuttavuus, niin kyseessä massiivinen datavarasto, jossa kattavasti kerätään tietoja miljoonista suomalaisista, ei pelkästään terveystietoja, vaan myös asuinhistoriasta, apteekista ostetut reseptilääkkeet, tiedot lapsista jne...

Rekisterin dataa ei ole anonymisoitu vaan pseudoanonymisoitu, jolloin data on liitettävissä luonnolliseen henkilöön. Lisäksi rekisteri sisältää dataa sellaisella tarkkuudelle, että se on liitettävissä luonnolliseen henkilöön ilman pseudoanonymisoitua tunnistetta.

Kansalainen ei voi kieltää tai vaatia tietojaan poistettavaksi rekisteristä, vain ainoastaan kieltää rekisterissä olevan tietotansa luovuttamisen tai käytön tutkimuksiin.

Mun lempiränttäyksen aihe. Pistää vihaksi, että vielä leväperäisemmin pitäis levitellä terveystietoja...

 

[Puhelinkoppi]

Mun lempiränttäyksen aihe. Pistää vihaksi, että vielä leväperäisemmin pitäis levitellä terveystietoja...

Onko tässä taas tyypilliistä suomalaista sinisilmäisyyttä, ettei tietoja voisi väärinkäyttää. Tuo tiedon käyttökiellon tekeminen on tehty tarkoituksella hankalaksi. Findatan sivuilla on kyllä tarkkaa selitelty kuinka tietoo pääsee käsiksi vain sertifioidusta ympäristöstä ja tilasta jossa ei ole verkkoyhteyksiä. Kai sitten on kielletty puhelimien ja kameroiden hallussapito tietoja katsellessa? Kun on kyse arkaluoteisen tiedon haalimisesta, niin luovuuskin on yleensä huipussaan kuinka siihen voidaan päästä käsiksi.

"– Toisiolain uudistuksella pyritään myös sujuvoittamaan kansainvälistä tutkimusta, mutta tietoja voitaisiin luovuttaa ainoastaan tietoturvalliseen käyttöympäristöön, jonka ylläpitäjänä toimii luotettava taho, esimerkiksi ulkomainen yliopistosairaala."
Tietoja käsittelevät aina ihmiset. Täälläkin on jakuvasti uutisia, kuinka tietoja urkitaan luvatta terveydenhuollossa, sosiaalitoimessa jopa poliisissa. Onko jossain vaikkapa eurooppalaisessa sairaalassa tiedot muka jotenkin paremmassa turvassa, kuin Suomen sairaaloissa. Uskokoon ken haluaa.

 

[Hyrava]

Tuota Findatan tekemää Suomen kansalaisten tiedon hamstraamista kun käsiteltiin täällä aiemmin kattavasti, niit nyt on Supo ilmaissut huolensa asiasta kuinka leveäperäisesti kansalaistan dataa "tutkijoille" annetaan.

Terveystietoja ja genomitietoja halutaan jatkossakin hyödyntää ihmisten parhaaksi supon varoituksesta huolimatta

Tutkimusyhteisössä liian tiukkana pidetty, terveystietoja koskeva toisiolaki lähti lausuntokierrokselle. Lakiuudistuksessa tietoturvaa pidetään ykkösasiana.

yle.fi

Suojelupoliisi (supo) varoitti tiistaina suomalaisten terveys- ja geenitietojen liian avoimesta jakamisesta ulkomaille. Pahimmassa tapauksessa niitä voitaisiin supon mukaan käyttää tartuntatautien kehittämiseen ja kohdentamiseen tietyille väestönosille. Suomi jakaa kattavaa terveystietorekisteriään melko avoimesti kansainväliseen tutkimuskäyttöön sekä akateemisille että kaupallisille toimijoille. Esimerkiksi Kiina kerää eri maista biodataa.

Data hamstrauksen oikeuttavaa lakia ollaankin parhaillaan uudistamassa ja tutkijat haluavat entistä helpomman pääsyn dataan:

Tutkimusyhteisössä lakia on kuitenkin pidetty liian tiukkana ja nyt sitä halutaan uusia. Esitys lähti juuri lausuntokierrokselle. Tutkijakunta katsoo, että laki on hidastanut ja jopa estänyt tutkimuksen tekemistä. Lakiuudistuksen tavoitteena on varmistaa, että Suomi on mahdollisimman houkutteleva toimintaympäristö rekisteritutkimukselle ja lääketieteelliselle tutkimukselle.

Ja jos Findata on uusi tuttavuus, niin kyseessä massiivinen datavarasto, jossa kattavasti kerätään tietoja miljoonista suomalaisista, ei pelkästään terveystietoja, vaan myös asuinhistoriasta, apteekista ostetut reseptilääkkeet, tiedot lapsista jne...

Rekisterin dataa ei ole anonymisoitu vaan pseudoanonymisoitu, jolloin data on liitettävissä luonnolliseen henkilöön. Lisäksi rekisteri sisältää dataa sellaisella tarkkuudelle, että se on liitettävissä luonnolliseen henkilöön ilman pseudoanonymisoitua tunnistetta.

Kansalainen ei voi kieltää tai vaatia tietojaan poistettavaksi rekisteristä, vain ainoastaan kieltää rekisterissä olevan tietotansa luovuttamisen tai käytön tutkimuksiin.

Mitähän aktuaalista v*ttua mä taas luin? Sitä mukaa kun koittaa estää omien tietojensa käyttöä kaikissa epämääräisissä yhteyksissä niin tuntuu että joka paikassa vaan yritetään helpottaa tuota datan vuotamista. Itse en ainakaan pätkääkään luota kaikenlaisiin epämääräisiin ulkopuolisiin "tutkijoihin" sun muihin jotka tuollaista psudomisoitua dataa tutkailevat. Johan olikohan tässä vai jossain muussa ketjussa aikanaan keskusteltiin että sopivia ehtoja käyttäen pystyy melkoisella tarkkuudella tunnistamaan henkilöitä tuosta datasta jos niin haluaa, saati sitten että aina on riski että tiedot vuotavat jostakin.

 

[Gespard]

Undocumented commands found in Bluetooth chip used by a billion devices

The ubiquitous ESP32 microchip made by Chinese manufacturer Espressif and used by over 1 billion units as of 2023 contains undocumented commands that could be leveraged for attacks.

www.bleepingcomputer.com

The ubiquitous ESP32 microchip made by Chinese manufacturer Espressif and used by over 1 billion units as of 2023 contains undocumented commands that could be leveraged for attacks.
"Tarlogic Security has detected a backdoor in the ESP32, a microcontroller that enables WiFi and Bluetooth connection and is present in millions of mass-market IoT devices," reads a Tarlogic announcement shared with BleepingComputer.

Eipä yllätä. Luultavasti muita ei vaan ole löydetty vielä.

 

[Kautium]

Tuo tiedon käyttökiellon tekeminen on tehty tarkoituksella hankalaksi.

Tuo on totta. Ei se loppujen lopuksi hirveän hankalaa ole, mutta selvästi siinä on ajateltu nostaa kynnystä, kun ihan hyvin se voisi olla vain suomi.fi -tunnistuksen takana oleva rasti ruutuun. Itse tein tuon jo viime vuonna, kun asia nousi ensimmäisen kerran esille. Ei todellakaan ole ok, että tällaisia tietoja pääsee käsittelemään pätkääkään liian hövelisti, jos lainkaan.

 

[IcePen]

Undocumented commands found in Bluetooth chip used by a billion devices

The ubiquitous ESP32 microchip made by Chinese manufacturer Espressif and used by over 1 billion units as of 2023 contains undocumented commands that could be leveraged for attacks.

www.bleepingcomputer.com

Eipä yllätä. Luultavasti muita ei vaan ole löydetty vielä.

Kiinalainen takaportti osoittautui uutisankaksi

etn.fi