Новини: дірявий PayPal, рухи очей замість паролів та штраф для поліції

22:43 20.10.2012

За повідомленням www.xakep.ru, PayPal з небажанням виплатив винагороду за серйозний баг.

21 червня 2012 року PayPal приєднався до числа компаній, що платять хакерам за знайдені уразливості. З огляду на характер веб сервісу PayPal - фінансові транзакції - можна було припустити, що вони більш уважно поставляться до знайдених багів, ніж який-небудь Google, і запропонують більшу нагороду за уразливості. На практиці усе виявилося інакше.

Хакер з l8security розповів захоплюючу історію в скріншотах, як він шукав уразливість у PayPal. Він знайшов SQL Injection уразливість, за допомогою якої отримав доступ до акаунта одного користувача. Продемонструвавши цю уразливість PayPal, він спочатку отримав відмову, бо працівник компанії протупив і не зміг повторити атаку відповідно до опису хакера, а потім, затягнувши цей процес, компанія все ж таки підтвердила наявність уразливості, зарахувала її як XSS і оплатила по “дешевому тарифу”.

За повідомленням www.3dnews.ru, рухи очей можуть у майбутньому замінити введення паролів.

Неможливо знайти двох людей, які б дивилися на світ однаково - буквально. Недавнє дослідження показало, що при погляді на картинку різні люди сковзають поглядом по точках інтересу в різній послідовності. Навіть якщо дві людини ведуть очі по тому самому шляху, точний спосіб руху очей відрізняється. Саме тому комп’ютерний дослідник Техаського державного університету міста Сан-Маркос Олег Комогорцев збирається створити систему ідентифікації людей на основі того, як поводяться їхні очні яблука при погляді на екран комп’ютера.

За повідомленням www.xakep.ru, поліцію оштрафували за використання незашифрованих флешек.

Управління по захисту персональної інформації у Великобританії (Information Commissioner’s Office, ІCO) наклало штраф у розмірі 120 тисяч фунтів стерлінгів на поліцію міста Манчестер за хронічне недотримання правил інформаційної безпеки, а саме - запис інформації на USB-флешки в незашифрованому виді. Управління ІCO класифікувало ці дії як навмисне неприйняття належних заходів для захисту приватної інформації, що привело до кількаразових витоків користувацьких даних.

Про закон ЄС стосовно cookies я вже писав. Окрім цього закону, ІCO також опікується витоками персональних даних, за які накладає штрафи. І це є одним з яскравих прикладів використання цього закону на практиці. Наприклад, в Україні влітку стався витік персональних даних на solor.da-kyiv.gov.ua і з 01.07.2012 вступили в дію поправки до АК та КК стосовно таких витоків. І враховуючи, що Державна служба України з питань захисту персональних даних сама не звернула увагу на це, то я її сповістив, щоб вона відреагувала і оштрафувала цей несерйозний державний сайт. Але наша ДСПЗД лише проігнорувала це (як й інформацію про дірки на їхньому сайті).


Leave a Reply

You must be logged in to post a comment.