Τεράστια παραβίαση δεδομένων χτυπά τους CalPERS και CalSTRS της Καλιφόρνια: Προσωπικές πληροφορίες 769,000 συνταξιούχων παραβιάστηκαν
Χάκερ έχουν παραβιάσει τα προσωπικά στοιχεία περίπου 769,000 συνταξιούχων και δικαιούχων στο Σύστημα Συνταξιοδότησης Δημόσιων Υπαλλήλων της Καλιφόρνια (CalPERS). Η εισβολή προκλήθηκε από ένα ελάττωμα στο σύστημα κυβερνοασφάλειας ενός πωλητή. Το CalPERS, το μεγαλύτερο συνταξιοδοτικό σύστημα της χώρας, λαμβάνει άμεσα μέτρα για τη διασφάλιση των οικονομικών συμφερόντων των μελών και τη μακροπρόθεσμη ασφάλεια.
Το CalSTRS, το δεύτερο μεγαλύτερο συνταξιοδοτικό σύστημα της χώρας, γνώρισε επίσης συμβιβασμό μέσω του ίδιου προμηθευτή, αλλά δεν έχει δώσει λεπτομέρειες. Και τα δύο συστήματα θα ειδοποιούν τα επηρεαζόμενα άτομα σύμφωνα με τη νομοθεσία. Οι χάκερ ισχυρίζονται ότι στόχευσαν διάφορες επιχειρήσεις και κυβερνητικά ιδρύματα σε όλο τον κόσμο, με περίπου 100 οργανισμούς να παραδέχονται ότι τα προσωπικά τους δεδομένα έχουν κλαπεί.
Η παραβίαση επηρεάζει τους συνταξιούχους από διάφορους κλάδους, συμπεριλαμβανομένου του κρατικού προσωπικού, των κρατικών υπηρεσιών, των σχολικών συστημάτων, των δικαστηρίων και του νομοθετικού σώματος της Καλιφόρνια. Η CalPERS παρέχει στα επηρεαζόμενα μέλη δύο χρόνια δωρεάν υπηρεσίες παρακολούθησης πιστώσεων και αποκατάστασης ταυτότητας μέσω της Experian.
Η αργή ειδοποίηση των προσβεβλημένων ατόμων έχει επικριθεί. Ο πωλητής αποκάλυψε την εισβολή στην CalPERS στις 6 Ιουνίου, προκαλώντας ταχεία δράση για τη διαφύλαξη των λογαριασμών μελών. Οι χάκερ εκμεταλλεύτηκαν ένα ελάττωμα στην εφαρμογή μεταφοράς δεδομένων του προμηθευτή, η οποία χρησιμοποιείται ευρέως στον κλάδο της υγειονομικής περίθαλψης.
Η CalPERS εξηγεί ότι τα δικά της συστήματα είναι ασφαλή και ότι τα χρήματα των συνταξιούχων είναι ασφαλή. Οι συνταξιούχοι θα πρέπει να παρακολουθούν τους λογαριασμούς και τις πιστωτικές τους αναφορές σε τακτική βάση για οποιαδήποτε αμφισβητήσιμη συμπεριφορά. Η κλοπή ταυτότητας και η απάτη θα πρέπει να αναφέρονται στις αρχές.
Δεδομένου αυτού του συμβιβασμού, είναι ζωτικής σημασίας ιδρύματα όπως το CalPERS και το CalSTRS να διερευνήσουν αποτελεσματικές λύσεις για τη βελτίωση των διαδικασιών ασφάλειας δεδομένων τους.
Τα πιστοποιητικά ελέγχου ταυτότητας πελάτη μπορούν να αποτρέψουν παραβιάσεις δεδομένων όπως αυτή, προσθέτοντας ένα επιπλέον επίπεδο ασφάλειας στη διαδικασία ελέγχου ταυτότητας.
Τα πιστοποιητικά ελέγχου ταυτότητας πελάτη χρησιμοποιούνται για τον έλεγχο ταυτότητας ενός πελάτη ή χρήστη που έχει πρόσβαση σε σύστημα ή εφαρμογή. Χρησιμοποιώντας αυτά τα πιστοποιητικά, ο διακομιστής μπορεί να επαληθεύσει ότι ο πελάτης που επιχειρεί να αποκτήσει πρόσβαση στο σύστημα είναι γνήσιος και όχι κακόβουλος εισβολέας. Αυτό αποτρέπει τη μη εξουσιοδοτημένη πρόσβαση και διασφαλίζει ότι μόνο αξιόπιστοι πελάτες μπορούν να επικοινωνούν με τον διακομιστή.
Σε αυτήν την περίπτωση, η παραβίαση συνέβη λόγω ελαττώματος στο σύστημα κυβερνοασφάλειας του πωλητή. Εφαρμόζοντας πιστοποιητικά ελέγχου ταυτότητας πελάτη, ο προμηθευτής θα μπορούσε να έχει επιβάλει αυστηρές απαιτήσεις ελέγχου ταυτότητας στα συστήματά του. Αυτό θα έκανε πιο δύσκολο για τους χάκερ να εκμεταλλευτούν την ευπάθεια και να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση στα δεδομένα.
Ξεκινήστε με τα πιστοποιητικά ελέγχου ταυτότητας πελάτη SSL.com!
Αγοράστε το Πιστοποιητικά ελέγχου ταυτότητας πελάτη SSL.com εδώ
Το Ινστιτούτο Vincera αντιμετωπίζει πιθανή παραβίαση δεδομένων ασθενών σε επίθεση ransomware: Λήφθηκαν επείγοντα μέτρα για τη διασφάλιση των πληροφοριών
Το Ινστιτούτο Vincera, ένα διάσημο κέντρο υγειονομικής περίθαλψης της Φιλαδέλφειας, εξέδωσε μια προειδοποίηση σχετικά με μια πρόσφατη επίθεση ransomware. Αν και δεν έχει βρεθεί καμία ένδειξη παράνομης πρόσβασης ή εκμετάλλευσης δεδομένων ασθενών προς το παρόν, η επίθεση έχει τη δυνατότητα να θέσει σε κίνδυνο προσωπικές και ιατρικές πληροφορίες. Το ινστιτούτο έδρασε γρήγορα, ζητώντας τη βοήθεια ειδικών στον τομέα της κυβερνοασφάλειας για τον περιορισμό και τον μετριασμό του περιστατικού, με έμφαση στην ασφάλεια των συστημάτων τους και στην προστασία των δεδομένων των ασθενών. Μεταξύ των μέτρων περιλαμβάνονται βελτιωμένες διαδικασίες ασφαλείας, αυστηρές προσπάθειες έρευνας και εκκαθάρισης και συνεργασία με τις αρχές. Ζητείται από τα άτομα που έχουν επηρεαστεί να επαληθεύσουν τους οικονομικούς λογαριασμούς και τις ασφαλιστικές τους καταστάσεις για οποιαδήποτε περίεργη δραστηριότητα, να είναι επιφυλακτικοί για τυχόν προσπάθειες ηλεκτρονικού ψαρέματος και να επικοινωνήσουν με την ομάδα υποστήριξης του ινστιτούτου για πρόσθετη βοήθεια.Ιδρύματα υγειονομικής περίθαλψης όπως το Vincera Institute μπορούν να επωφεληθούν από την ανάπτυξη Ασφαλή Πιστοποιητικά Email για τη βελτίωση της ασφάλειας των δεδομένων και την άμυνα έναντι πιθανών επιθέσεων. Γνωστός και ως S/MIME Πιστοποιητικά, ασφαλή πιστοποιητικά ηλεκτρονικού ταχυδρομείου από το SSL.com παρέχουν ισχυρή κρυπτογράφηση και έλεγχο ταυτότητας για επικοινωνίες μέσω email, προστατεύοντας την ασφάλεια και την ακεραιότητα των κρίσιμων δεδομένων ασθενών. Οι επιχειρήσεις υγειονομικής περίθαλψης μπορούν να ενισχύσουν τα κανάλια επικοινωνίας μέσω email και να μειώσουν τον κίνδυνο ανεπιθύμητης πρόσβασης ή υποκλοπής των πληροφοριών ασθενών υιοθετώντας αυτά τα πιστοποιητικά.
Οι εγκαταστάσεις υγειονομικής περίθαλψης μπορούν να χρησιμοποιήσουν ασφαλή πιστοποιητικά ηλεκτρονικού ταχυδρομείου για να δημιουργήσουν ένα ασφαλές και αξιόπιστο πλαίσιο επικοινωνίας, ενώ παράλληλα προστατεύουν το απόρρητο των ασθενών και τηρούν τους κανόνες του κλάδου, όπως το HIPAA. Οι επαγγελματίες υγείας μπορούν να μεταδίδουν με σιγουριά αρχεία ασθενών, αποτελέσματα δοκιμών και άλλες εμπιστευτικές πληροφορίες κρυπτογραφώντας ευαίσθητα μηνύματα ηλεκτρονικού ταχυδρομείου, προστατεύοντας από πιθανές παραβιάσεις και μη εξουσιοδοτημένη πρόσβαση.
Δοκιμάστε τα ασφαλή πιστοποιητικά ηλεκτρονικού ταχυδρομείου του SSL.com για να προστατεύσετε τα κρίσιμα δεδομένα ασθενών, να διατηρήσετε τη συμμόρφωση με το HIPAA και να ενισχύσετε την άμυνα του οργανισμού σας στον κυβερνοχώρο.
Αποκτήστε τα πιστοποιητικά ασφαλούς ηλεκτρονικού ταχυδρομείου SSL.com εδώ
Stealth USB Espionage: WispRider Malware Spearheads Global Cyber Invasion
Η Mustang Panda, μια συμμορία Advanced Persistent Threat (APT) που χρηματοδοτείται από το κινεζικό κράτος, διαδίδει μια νέα έκδοση κακόβουλου λογισμικού που ονομάζεται WispRider μέσω USB stick σε όλο τον κόσμο. Η παγκόσμια εμβέλεια της απειλής αποκαλύφθηκε όταν μια ευρωπαϊκή μονάδα υγειονομικής περίθαλψης εισήγαγε ακούσια μια μολυσμένη μονάδα USB στα συστήματά της, με αποτέλεσμα ένα εκτεταμένο ξέσπασμα. Η ικανότητα του WispRider να αυτοπροβάλλεται μέσω συσκευών USB το καθιστά έναν τρομερό φορέα μόλυνσης ικανό να σπάσει ακόμη και συστήματα με διάκενο αέρα.
Το WispRider, ένα εξαιρετικά προηγμένο ωφέλιμο φορτίο backdoor, είναι τρομακτικά εξελιγμένο. Έχει βελτιωθεί με νέα χαρακτηριστικά που του επιτρέπουν να αποφεύγει τον εντοπισμό από λογισμικό προστασίας από ιούς και να αλλάζει αρχεία όταν μια καλοήθης μονάδα αντίχειρα USB είναι συνδεδεμένη σε ένα μολυσμένο μηχάνημα. Αυτή η τροποποίηση δημιουργεί κρυφούς φακέλους στη μονάδα δίσκου αντίχειρα, καλύπτοντας τη μόλυνση ως ένα κανονικό αρχείο στο οποίο ο χρήστης πιθανότατα θα έκανε κλικ.
Αυτή η εφευρετική και διακριτική τεχνική διανομής κακόβουλου λογισμικού είναι ανησυχητική, ειδικά δεδομένης της ευρείας χρήσης USB sticks. Η ικανότητα αυτού του κακόβουλου λογισμικού να διεισδύει σε υπολογιστές με διάκενο αέρα απλώς προσθέτει στην ανησυχία, υπονοώντας την ικανότητά του να εισέρχεται σε καταστάσεις υψηλής ασφάλειας. Η αποτελεσματική παράκαμψη ορισμένων λύσεων προστασίας από ιούς και η εκμετάλλευση στοιχείων λογισμικού ασφαλείας υπογραμμίζει την κρίσιμη ανάγκη για ισχυρούς και προηγμένους αμυντικούς μηχανισμούς.
Με μια υπηρεσία cloud, οι χρήστες μπορούν να έχουν πρόσβαση στα διαπιστευτήρια και τα αρχεία ελέγχου ταυτότητας από οποιαδήποτε συσκευή με σύνδεση στο διαδίκτυο. Αυτή η ευελιξία επιτρέπει την απρόσκοπτη πρόσβαση και εξαλείφει την ανάγκη μεταφοράς φυσικού USB token.
Οι υπηρεσίες cloud μπορούν επίσης εύκολα να κλιμακωθούν για να φιλοξενήσουν μεγάλο αριθμό χρηστών χωρίς να απαιτούνται πρόσθετα φυσικά διακριτικά. Αυτό είναι ιδιαίτερα επωφελές για οργανισμούς που έχουν μια αυξανόμενη βάση χρηστών ή χρειάζονται να διαχειριστούν την πρόσβαση για ένα κατανεμημένο εργατικό δυναμικό. Η προσθήκη ή η αφαίρεση χρηστών μπορεί να γίνει κεντρικά χωρίς την ανάγκη διανομής ή συλλογής κουπονιών USB.
Τρίτον, οι πάροχοι υπηρεσιών cloud επενδύουν σε μεγάλο βαθμό σε μέτρα ασφαλείας για την προστασία των δεδομένων των χρηστών. Χρησιμοποιούν κρυπτογράφηση και άλλους προηγμένους μηχανισμούς ασφαλείας για την προστασία ευαίσθητων πληροφοριών. Τα διακριτικά USB, από την άλλη πλευρά, μπορεί να είναι ευαίσθητα σε φυσική κλοπή, απώλεια ή μη εξουσιοδοτημένη πρόσβαση, εάν δεν προστατεύονται επαρκώς.
Τα πλεονεκτήματα μιας υπηρεσίας cloud που αναφέρθηκαν παραπάνω βρίσκονται στον πυρήνα της Η υπηρεσία υπογραφής κώδικα cloud eSigner του SSL.com. Το eSigner επιτρέπει στους χρήστες να προσθέτουν εύκολα παγκοσμίως αξιόπιστες ψηφιακές υπογραφές και χρονικές σημάνσεις στον κώδικα λογισμικού από οπουδήποτε, χωρίς να χρειάζονται διακριτικά USB, HSM ή άλλο ειδικό υλικό. Τα πιστοποιητικά υπογραφής κώδικα που είναι εγγεγραμμένα στο eSigner μπορούν να προστατεύσουν από κινδύνους όπως το WispRider, επαληθεύοντας την ταυτότητα του προγραμματιστή και επικυρώνοντας την ακεραιότητα του κώδικα λογισμικού, προσθέτοντας ουσιαστικά ένα επίπεδο εμπιστοσύνης στην εμπειρία του τελικού χρήστη. Οι προγραμματιστές μπορούν να διαβεβαιώσουν τους χρήστες ότι ο κώδικας δεν έχει αλλάξει από τότε που υπογράφηκε, εφαρμόζοντας μια ψηφιακή σφραγίδα στον κώδικά τους. Αυτό θα μπορούσε να βοηθήσει στην πρόληψη επικίνδυνων ωφέλιμων φορτίων που είναι θαμμένα σε φαινομενικά καλοήθεις εφαρμογές, όπως το WispRider.
Μην επιτρέπετε σε κακόβουλους παράγοντες να θέτουν σε κίνδυνο την ασφάλεια των συστημάτων και των δεδομένων σας. Χρησιμοποιώντας τα εγγεγραμμένα στο eSIgner Πιστοποιητικά υπογραφής κώδικα του SSL.com, μπορείτε να διασφαλίσετε την ακεραιότητα του λογισμικού σας.
Αγοράστε το πιστοποιητικό υπογραφής κώδικα SSSL.com εδώ
Κλοπή κρυπτογραφικού κλειδιού βάσει βίντεο: Χάκερ εκμεταλλεύονται τα LED ισχύος από μακριά
Οι ερευνητές ανέπτυξαν μια νέα μέθοδο επίθεσης που χρησιμοποιεί εγγραφές βίντεο με LED ισχύος για να αποκτήσει μυστικά κλειδιά κρυπτογράφησης που περιέχονται σε έξυπνες κάρτες και κινητά τηλέφωνα. Η επίθεση εκμεταλλεύεται τα παράπλευρα κανάλια, τα οποία είναι φυσικά εφέ που διαρρέουν από μια συσκευή κατά την εκτέλεση κρυπτογραφικών λειτουργιών. Οι επιτιθέμενοι μπορούν να λάβουν αρκετές πληροφορίες για να ανακτήσουν μυστικά κλειδιά παρακολουθώντας χαρακτηριστικά όπως η κατανάλωση ενέργειας, ο ήχος, οι ηλεκτρομαγνητικές εκπομπές ή ο χρονισμός λειτουργίας. Η νέα προσέγγιση επίθεσης καταγράφει LED ισχύος που δείχνουν πότε ενεργοποιείται ένας αναγνώστης καρτών ή ένα smartphone χρησιμοποιώντας κάμερες ασφαλείας ή iPhone. Οι επιθέσεις που βασίζονται σε βίντεο είναι μια μη παρεμβατική και απομακρυσμένη μέθοδος εκμετάλλευσης πλευρικών καναλιών, καθώς δεν απαιτούν εξειδικευμένο εξοπλισμό ή φυσική εγγύτητα με τη στοχευμένη συσκευή.Οι συσκευές Διαδικτύου των πραγμάτων (IoT) πρέπει να είναι ασφαλείς για να αποτρέπονται τέτοιες επιθέσεις. SSL /TLS πιστοποιητικά μπορεί να χρησιμοποιηθεί για τη δημιουργία ασφαλών κρυπτογραφημένων συνδέσεων μεταξύ πελατών και διακομιστών. Με την κρυπτογράφηση των δεδομένων που μεταδίδονται μεταξύ μιας έξυπνης κάρτας ή κινητού τηλεφώνου και του διακομιστή, η μέθοδος επίθεσης που βασίζεται στην παρακολούθηση πλευρικών καναλιών, όπως η κατανάλωση ενέργειας ή οι ηλεκτρομαγνητικές εκπομπές, καθίσταται αναποτελεσματική. Η κρυπτογράφηση διασφαλίζει ότι τα δεδομένα προστατεύονται και δεν μπορούν εύκολα να υποκλαπούν ή να αποκρυπτογραφηθούν από τους εισβολείς.
Όταν μια συσκευή πελάτη συνδέεται σε έναν διακομιστή, επαληθεύει την ταυτότητα του διακομιστή ελέγχοντας το SSL/ του διακομιστήTLS πιστοποιητικό. Αυτή η διαδικασία ελέγχου ταυτότητας βοηθά στην αποτροπή επιθέσεων man-in-the-middle, όπου ένας εισβολέας παρεμποδίζει την επικοινωνία μεταξύ του πελάτη και του διακομιστή και παρουσιάζεται ως ο νόμιμος διακομιστής. Διασφαλίζοντας ότι ο διακομιστής είναι γνήσιος και αξιόπιστος, μειώνεται ο κίνδυνος να πέσετε θύμα της προσέγγισης επίθεσης που βασίζεται σε βίντεο.
Χρήση SSL/TLS πιστοποιητικά για την αύξηση της ασφάλειας των συσκευών σας IoT έναντι των αναπτυσσόμενων απειλών.
Ασφαλίστε τις συσκευές IoT σας με SSL/TLS τώρα!
Ανακοινώσεις SSL.com
Αυτοματοποίηση επικύρωσης και έκδοσης πιστοποιητικών υπογραφής και κρυπτογράφησης email για υπαλλήλους
Μαζική εγγραφή είναι πλέον διαθέσιμο για Προσωπική ταυτότητα+Οργανισμός S/MIME Πιστοποιητικά (επίσης γνωστό ως IV+OV S/MIME), Και Πιστοποιητικά NAESB μέσω του Εργαλείου Μαζικής Παραγγελίας SSL.com. Μαζική εγγραφή Personal ID+Organization S/MIME και τα Πιστοποιητικά NAESB έχουν την πρόσθετη απαίτηση ενός Εταιρεία PKI (EPKI) Συμφωνία. Ένα ΕPKI Η συμφωνία επιτρέπει σε έναν μόνο εξουσιοδοτημένο αντιπρόσωπο ενός οργανισμού να παραγγείλει, να επικυρώσει, να εκδώσει και να ανακαλέσει μεγάλο όγκο αυτών των δύο τύπων πιστοποιητικών για άλλα μέλη, επιτρέποντας έτσι ταχύτερη ανάκαμψη στην ασφάλεια των δεδομένων και των συστημάτων επικοινωνίας ενός οργανισμού.
