kısaca Japon otomobil üreticisi Toyota, müşteri verilerini yanlış kullandığını bir kez daha itiraf etti – bu sefer yanlış yapılandırılmış bir bulut ortamı sayesinde son on yılda iki milyondan fazla Japon müşterisinin bilgilerini ifşa ettiğini söyledi.
Toyota Japonca dilinde açıkladı ifade sorunu fark eder etmez güvenli olmayan bulut sistemine dışarıdan erişimi engellemek için önlemler aldığını, ancak bunun anlaşılmasının on yıl sürdüğü gerçeğinin tam olarak güven verici olmadığını söyledi.
Bir Toyota sözcüsü, “Aktif tespit mekanizmaları ve halka açık hale gelen şeylerin varlığını veya yokluğunu tespit edecek faaliyetlerde eksiklik vardı” dedi. söylenmiş Reuters.
Ortaya çıkan veriler, Toyota’nın T-Connect sürücü destek ürününe kaydolan neredeyse tüm Japon müşteri tabanına ve Toyota’nın lüks yan kuruluşu Lexus için benzer bir ürün olan G-Link hizmetinin kullanıcılarına ait.
Otomobil üreticisine göre, araç içi terminal kimlikleri, şasi numaraları, araç konum bilgileri ve zaman damgaları açığa çıkan verilere dahil edildi, ancak Toyota, veri setindeki hiçbir şeyin yalnızca verilere dayanarak müşterileri tanımlamak için kullanılamayacağını söyledi. Toyota ayrıca, bulut hizmetinin ilk ortaya çıktığı Kasım 2013’ten bu yana verilere üçüncü bir tarafça erişildiğine veya kopyalandığına dair herhangi bir belirti bulamadığını söyledi.
Olayı oldukça ciddi bir kaza olarak görmezden gelmek kolay olurdu, ancak Toyota bunu daha önce yaptı: Kabul etti sadece geçen yıl başka bir güvenlik aksiliği sayesinde yaklaşık 300.000 T-Connect müşterisinin verilerinin ifşa edilmesi.
Bu örnekte, T-Connect üzerinde çalışan taşeron bir geliştirici, müşteri verilerini depolayan bir sunucu için bir erişim anahtarı içeren kaynak kodunu GitHub’a yükledi. Bu, 2017’de meydana geldi ve – bir model gibi görünmeye başlayan bir şekilde – şirket bunu Eylül 2022’ye kadar fark etmedi. Bu durumda Toyota, herhangi bir kötü tarafın verilere erişip erişmediğini bile doğrulayamadı.
Bu son olay hakkında daha fazla bilgi edinmek için Toyota’ya ulaştık ancak herhangi bir yanıt alamadık.
sırf sen diye olabilmek 3D baskı ile silah parçaları yapmak, siz olduğunuz anlamına gelmez meli
Mississippi’li bir adam, yarı otomatik silahları otomatik makineli tüfeğe dönüştürmek için tasarlanmış “auto-sears” adı verilen 3D baskı cihazlarını suçunu kabul ettikten sonra 14 yıl hapis cezasına çarptırıldı.
Kent Edward Newhouse mahkum ateşli silah bulundurmak ve ateşli silah imalatçısı olarak iş yapmak için suçlu olmak 20 dolarlık ateşli silah aksesuarları. Küçük klipsli bileşen, çekicin düşmesini önleyerek ve tetiği sıfırlayarak ateşli silahları değiştirir – tek bir çekişle tüm bir şarjörün boşaltılmasına olanak tanır.
Federal yasa, yalnızca değiştirilmiş bir parça olmasına rağmen, otomatik silahları kendi içlerinde otomatik ateşli silahlar olarak sınıflandırır ve kolluk kuvvetlerinin, yasa uygulayıcıların birine sahip olan herhangi birine yasadışı bir makineli tüfek taşıyormuş gibi davranmasına izin verir.
Newhouse, gizli bir muhbire, bir ateşli silah ve birkaç ev yapımı otomatik silah sattığında yakalandı. Daha önce 2009 yılında kontrollü maddelerin satışı suçundan hüküm giymişti.
Kritik güvenlik açıkları: Kağıt baskılarına dikkat edin
Bu bir olmak Yama Salı haftasıkritik güvenlik açıkları listemiz zaten Kayıt – ama hala gözden geçirilmesi gereken birkaç öğe var.
Öncelikle, CISA’nın CVE-2023-27350’yi yinelemesi var. kapalı geçen ay bir siber güvenlik toplantısında. CISA, bir yamaya rağmen hala ortalıkta olduğunu ve hala istismar edildiğini söyledi. Daha önce belirtildiği gibi, PaperCut MF ve NG baskı yönetimi hizmetlerindeki hata, kimliği doğrulanmamış bir saldırganın uzaktan kötü amaçlı kod yürütmesine izin verebilir. Halkı yaklaşık iki kez uyaracak kadar şiddetli olduğu için, okuyucularımıza kurumunuz PaperCut kullanıyorsa uygun yamaları yüklemelerini bir kez daha hatırlatmamız gerektiğini düşündük.
CISA ayrıca, yalnızca biri kritik olan ve 9.8 CVSS puanı kazanan birkaç endüstriyel kontrol sistemi güvenlik açığı yayınladı. Sorun Hitachi Energy MSM ekipmanı sürüm 2.2.5 ve önceki sürümlerde yer alır ve bir saldırgana web arayüzüne erişim kimlik bilgileri sağlayabilecek ve hizmet reddine neden olabilecek çeşitli güvenlik açıkları içerir. Hitachi, MSM’nin doğrudan internete bağlı olmaması gerektiğini ve yama uygulamak yerine müşterileri cihazlarının internete bakan ağlarla bağlantısını kesmeye, kullanıcı erişim yönetimini uygulamaya ve diğer en iyi uygulamaları yapmaya teşvik ettiğini söyledi.
Aralıklı olarak şifrelenmiş mi? Bunun için açık kaynaklı bir araç var
Kimlik yönetimi şirketi CyberArk, belirli durumlarda fidye yazılımı tarafından şifrelenmiş verileri kurtarabileceğini söylediği açık kaynaklı bir araç yayınladı.
White Phoenix olarak adlandırılan bu, yalnızca aralıklı olarak şifrelenen fidye alınmış dosyalardan veri çıkarmak için tasarlanmış basit bir Python betiğidir ve CyberArk’ın söylediğine göre fidye yazılımı dünyasında gelişen bir trenddir – hızı ve bir fidye saldırısını daha az fark edilir hale getirme eğilimi nedeniyle tercih edilmektedir. zarar vermek
Yalnızca bir şifreli dosya yolu ve bir çıktı yolu ile White Phoenix, işlem sonrası kurtarma için her yığın çıktısını ayrı bir dosyada olacak şekilde şifrelenmiş dosyalardan metin ve görüntüleri kurtarabilir. Şu an itibariyle yalnızca PDF, Word, Excel, PowerPoint ve Zip dosyaları destekleniyor ancak CyberArk, video ve ses dosyaları da dahil olmak üzere diğer biçimlerin çalışabileceğini söyledi. Yazılımı geliştirmek için denemeyi teşvik eder.
White Phoenix tarafından desteklenen fidye yazılımı aileleri arasında BlackCat, Play, Qilin/Agenda, BianLian ve Darkbit bulunur. Denemek isteyenler ulaşabilir GitHub’da bulun.
Fransa, Clearview AI’ya ilk cezayı ödemediği için para cezası verdi
Clearview AIBirçok kez veri toplama yasalarıyla ters düşen yüz tanıma platformu, Fransa’nın veri koruma kurumu CNIL tarafından çok daha büyük bir ödeme yapmadığı için 5,2 milyon Euro (5,6 milyon $) para cezasına çarptırıldı. 20 milyon avro para cezası geçen yıl buna karşı tahsil edildi.
CNIL, Clearview AI’nin AB sakinlerine ait sosyal medya ve diğer çevrimiçi platformlarda yayınlanan fotoğrafları kataloglayarak AB’nin Genel Veri Koruma Yönetmeliğini ihlal ettiğini söyledi. Clearview’in her iki cezayı da ödeyip ödemeyeceği belirsiz. Şirket, AB’de iş yapmadığı için GDPR’ye bağlı olmadığını savunuyor. Ancak GDPR, bir kuruluşun kıtada herhangi bir iş yapıp yapmadığına bakılmaksızın AB vatandaşlarına ait verilerin işlenmesini yasaklamaktadır. ®