В последние месяцы 2020 года на каждые 10 тысяч просмотров на YouTube приходилось до 18 видеороликов, которые нарушают политику компании и должны были быть удалены, прежде чем кто-то их увидел. Тем не менее, это гораздо меньше, чем 72 таких видео на каждые 10 тысяч просмотров в четвёртом квартале 2017 года, когда YouTube начала отслеживать эту статистику. Стоит отметить, что хоть эти цифры и говорят о том, насколько хорошо у YouTube получается бороться с неподобающим контентом, компания сама решает, какие ролики она считает неуместными. К примеру, платформа вполне спокойно относится к роликам, содержащим расистские высказывания, если в них не содержится прямой призыв к совершению насилия.

Цифра, указывающая на то, сколько просмотров приходится на неподобающие ролики до их удаления, в ежеквартальных отчётах о соблюдении принципов сообщества YouTube называется Violative View Rate (VVR). Компания составила диаграмму, показывающую, как эта цифра упала с тех пор, как ей начали уделять внимание. Резкий спад в 2018 году произошёл благодаря тому, что YouTube начала полагаться на машинное обучение для поиска неподобающих видео. Компания заявляет, что в её планы входит максимально приблизить этот показатель к нулю. Команда YouTube утверждает, что её главный приоритет состоит в обеспечении безопасности пользователей платформы.

По словам представителя комиссии, ряд органов Евросоюза «столкнулись с инцидентом в области IT-безопасности в своей IT-инфраструктуре». При этом собеседник агентства отметил, что анализ инцидента находится на начальной стадии, давать окончательную информацию о характере атаки на данный момент преждевременно.

«На данный момент серьезных утечек информации не обнаружено», – заявили в Еврокомиссии.

Как рассказал агентству информированный источник, атака была достаточно серьезной, о ней были проинформированы высокопоставленные чиновники ЕК. Другой источник сообщил, что персонал комиссии недавно был предупрежден о потенциальных попытках фишинга.

Подробности

После того, как пользователи получают сообщения с шестизначным кодом, мошенники отправляют им сообщения от имени их друзей и просят назвать этот код. Далее они используют его для восстановления доступна к учётной записи в WhatsApp.

Несмотря на то, что в сообщении от мессенджера указано, что сообщать код никому нельзя, бдительность пользователей притупляется, поскольку аферисты просят назвать от имени друзей. После получения кода аферистам открывается полный доступ к учётной записи, включая историю переписки и личные данные, если они залиты в облако.

Отметим, что если вы получили такой код, но сами не выполняли процедуру восстановления доступа к аккаунту, то паниковать не стоит. Аферисты не смогут войти в вашу учётную записи, если вы не отправите им полученный код. Также мы можем порекомендовать использовать двухфакторную аутентификацию, что существенно повышает безопасности вашего аккаунта.

Технические проблемы не мешают цене токена демонстрировать рост на 6,4% за последние сутки на момент написания, согласно CoinGecko. По динамике в топ-15 находящийся на 13 месте по капитализации актив уступает только XRP (+34%), Cardano (+6,6%) и Litecoin (+9%).

2 марта разработчики Stellar активировали обновление Horizon 2.0, которое добавило гибкости и удобства для пользователя в работе в этой экосистеме.

В конце марта издание, освещающие события украинского ИТ-рынка, получило анонимное сообщение о том, что репозитории сайта, анонсировавшего презентацию приложения "Дія City", находились в открытом доступе. Проверив информацию, айтишники убедились, что это именно так, а после уведомили Министерство цифровой трансформации Украины о баге. В итоге, уязвимость устранили. Однако вопросы к диджитализаторам государства остались. Фокус разбирался вместе с экспертами, как так вышло, что двери в хранилище данных в были распахнуты настежь в течение нескольких дней, как могли бы воспользоваться хакеры данной уязвимостью и возможно ли повторение аналогичной ситуации?


Обычная безалаберность

Уязвимость подобного рода — явление довольно частое. Как объяснил Фокусу эксперт по кибербезопасности Андрей Баранович, такое случается сплошь и рядом. Программисты, работающие над сайтом dc.diia.gov.ua, просто забыли закрыть доступ к так называемой .git папке. (Тут следует пояснить: Git — система контроля версий, с помощью которой программисты отслеживают все изменения, внесенные в программу. Это самая обычная и распространенная практика.) Также программисты, создавая новую версию сайта, забыли скрыть логин и пароль к каталогу со служебной информацией, в котором, кроме прочего, указано состояние репозитория (хранилища данных). Именно это и обнаружил "добрый самаритянин", о чем уведомил СМИ и Минцифры.

"Я не знаю, каков уровень экспертизы программистов, нанимаемых Минцифрой, потому что нет в открытом доступе технической документации, нет доступа к исходному коду приложения "Дія", хотя они и созданы за бюджетные средства… Но что можно сказать определенно: администраторы и безопасники не обладают достаточными знаниями и достаточным опытом. А если и обладают, тогда была допущена вопиющая халатность, из-за чего служебные файлы попали в онлайн", — прокомментировал Андрей.


Последствия бага — теория и практика

Оценить степень рисков в случае с утечкой логина и пароля от .git папки сайта dc.diia.gov.ua довольно сложно, ведь возможность взлома зависит от многих факторов. И в рассматриваемом случае существенных проблем не возникло, но только потому, что люди, обнаружившие баг, не воспользовались паролем от .git папки и не открывали ее. Ведь одно дело обнаружить слитый пароль, а другое дело — им воспользоваться. Это уже статья уголовного кодекса.

Однако, теоретически, нанести вред даже посредством взлома одностраничного dc.diia.gov.ua можно. Сайт анонсировал презентацию "Дія City", и данное событие привлекло внимание многих людей. Запустив троян, можно было бы заражать вирусом всех, кто заходил на данную страничку. А можно было бы и покопаться в .git папке, чтобы понять, как устроена архитектура проекта и взломать всю систему — такое случалось с другими продуктами, уверяет эксперт. Но могло бы случиться так, что взломщик остался бы с носом — это тоже реально. Например, как это было с e-construction.gov.ua. Фокус сообщал, что несколько недель назад там была обнаружена подобная ошибка — "потек" пароль от файлового сервера. Однако благодаря тому, что к серверу нельзя было подключиться из Интернета, кража данных была бы невозможной.

"И все же само наличие таких ошибок говорит о том, что кибербезопасность продукта находится на очень низком уровне. Чтобы устранить ошибку такого рода, не нужно нанимать команду экспертов, даже автоматический сканер уязвимостей, предупредил бы о проблеме программистов. Но и этого не было сделано", — комментирует ситуацию Андрей Баранович.


Скорость реакции на нуле

В данной ситуации есть и еще один немаловажный промах — скорость реакции секьюрити-службы на сообщение об опасности. О баге стало известно 30 марта 2021 года, в этот же день о нем уведомили секьюрити-службу. Но баг был устранен только 2 апреля, а официальный комментарий правительственной команды реагирования на компьютерные чрезвычайные события Украины CERT UA были опубликована вечером 5 апреля. То есть, если бы утечку обнаружили злоумышленники, они имели бы достаточно времени, чтобы воспользоваться паролем, лежащим в открытом доступе, и непонятно чем бы вообще дело кончилось.

"Мне кажется, что господин Федоров по-прежнему считает роль кибербезопасности слегка преувеличенной. Я считаю, что для багбаунти "Дія", которое проводилось в декабре 2020 года, использовалась урезанная версия, а не копия реальной работающей системы. Потому что если бы проверяли работающую систему, то все эти "потекшие" файлы моментально бы нашлись еще тогда", — рассуждает Баранович.

Однако в Минцифры считают, что "ни о каком взломе речи не идет". На официальный запрос Фокуса о том, как в министерстве оценивают данную уязвимость, были ли обнаружены и исправлены подобные ошибки в других проектах, поступил ответ:

"Информация, которая была в открытом доступе, не является тайной и не содержит конфиденциальных составляющих. Это не информация из приложения "Дія", а только лендинг-пейдж мероприятия касательно презентации особого правового режима для IT-отрасли, "Дія City", который состоялся 5 апреля. Подчеркиваем: "Дія City" и "Дія" — это совершенно разные проекты. "Дія City" — это не программный продукт, а специальный правовой режим.

То есть, речь не идет о каких-либо закрытых или критических данных. Впрочем, ошибки действительно случаются и в рабочем режиме исправляются. Даже если это небольшие ошибки, мы очень благодарны активистам, которые находят их и сообщают об этом министерству. Конечно, с сотрудниками, которые допускают даже незначительные ошибки, проводится отдельная работа, и этот случай не был исключением".


Иностранный опыт

Как мы уже говорили ранее, подобного рода ошибки — не редкость. Андрей Баранович рассказал о крупном волонтерском проекте, в ходе которого эксперты по кибербезопасности провели масштабную проверку в Сети и отследили массу потекших .git файлов, что могло бы привести к взлому проектов. Однако волонтеры успели вовремя предупредить всех владельцев продуктов о данной уязвимости.

Вполне возможно, что благодаря подобному багу был взломан SolarWinds. Известно, что в исходном коде программисты забыли убрать логин и пароль от файлового сервера. Однако пока точно не установлено, является ли именно эта уязвимость причиной взлома.

В чем проблема с кибербезопасностью?

В интервью Фокусу министр цифровой трансформации Михаил Федоров заявлял, что вопросами кибербезопасности будет заниматься непосредственно министерство. Ранее это было в компетенции Госспецсвязи. На вопрос о том, почему произведена такая перестановка сил, министр ответил, что Госспецсвязи должна заниматься связью. Логично. Однако эксперты полагают, что Минцифры и другим госорганам не хватает организованности и структурности.

"Я общался с представителями разных служб. И я считаю, что ни киберполиция, ни Госспецсвязь, ни СБУ, ни СНБО не имеют четкого понимания, какого результата в сфере обеспечения кибербезопасности они хотят достичь и каким образом они собираются его достигать. Я вижу, что ведется какая-то деятельность — иногда полезная, иногда не очень, но системной ее не назовешь", — констатирует Андрей Баранович.

Прежде чем заниматься кибербезопасностью "государства в смартфоне", министерству стоило бы создать команду из экспертов для аудита его собственных продуктов, чтобы быть уверенными в их защищенности и чтобы убедить в этом граждан. Также не мешало бы разработать политику поиска и разглашения уязвимостей на точных копиях работающих систем, а не на урезанном кусочке, как было в ходе багбаунти.

Кларк подчеркнул, что злоумышленники собрали базу данных путём использования уязвимости в системе импортирования контактов Фacebook и специализированного программного обеспечения ещё до сентября 2019 года, когда данная «дыра» была закрыта.

«Хотя мы решили проблему, обнаруженную в 2019 году, всегда полезно проверить собственные настройки конфиденциальности, чтобы убедиться в правильном размещении публичной информации. В этом пользователям может помочь инструмент «Как люди находят вас и связываются с вами». Мы также рекомендуем регулярно проверять соответствующие настройки и включить двухфакторную аутентификацию», — отметил представитель компании.

Информация об утечке 533 миллионов записей с данными пользователей появилась в начале апреля. В базе данных содержались сведения о дате рождения, номера телефонов, адреса электронной почты и многое другое. Всего пострадали жители 106 стран, включая 10 миллионов россиян.

В базе данных даже содержались персональные данные Марка Цукерберга (Mark Zuckerberg). Специалист по кибербезопасности Дэйв Уолкер (Dave Walker) пошутил, что если журналисты не смогут получить комментарий Цукерберга по официальным каналам, то они могут ему позвонить.

Группа исследователей запустила сайт на котором люди могут опробовать системы распознавания эмоций сами. Одна игра сосредоточена на том, чтобы обмануть технологию. Пользователям предлагается изобразить имитацию эмоций и посмотреть, обманут ли они систему. Другая изучает, с каким трудом такие системы могут распознавать выражения лиц в контексте. На сайте отмечается, что «никакие личные данные не собираются, и все изображения хранятся на вашем устройстве».

Система считывает движения лица, а затем объединяет данные с предполагаемыми эмоциями — например, улыбка означает, что человек счастлив. Идея состоит в том, чтобы ИИ мог понять, симулируете ли вы свои эмоции.

«Игра состоит в том, чтобы показать, что вы не меняли своё внутреннее состояние шесть раз подряд, вы просто изменили то, как выглядит ваше лицо», — уточнила доктор Алекса Хагерти (Alexa Hagerty), руководитель проекта и исследователь Леверхалмского центра изучения будущего интеллекта (Leverhulme Centre for the Future of Intelligence) в Кембриджском университете и Центра изучения рисков для существования (The Centre for the Study of Existencial Risk).

По словам исследователей, они надеются повысить осведомлённость о технологии и способствовать обсуждению её использования.

Технология распознавания лиц, часто используемая для идентификации людей, в последние годы стала предметом пристального внимания. В прошлом году британская Комиссия по вопросам равноправия и прав человека (Equality and Human Rights Commission) заявила, что следует прекратить использование технологии для сканирования лиц в общественных местах, отметив, что это может усилить дискриминацию со стороны полиции и нанести ущерб свободе выражения мнений.

Но системы распознавания лиц могут быть задействованы в самых разных ситуациях: от найма сотрудника до работы с клиентами, безопасности в аэропортах и ​​даже обучения, чтобы узнать, заняты ли студенты или делают ли они домашнее задание.

Ранее Taigusys, компания, которая специализируется на системах распознавания эмоций (главный офис находится в Шэньчжэне, Китай), заявила, что использовала их в различных условиях, от домов престарелых до тюрем. Индийский город Лакхнау тоже планирует использовать эту технологию, чтобы выявить женщин, до которых домогаются или домогались недавно. Эта инновация встретила критику, в том числе со стороны организаций, занимающихся цифровыми правами.

В то же время старший программный директор правозащитной организации Article 19 Видуши Марда (Vidushi Marda) считает, что крайне важно нажать на «паузу» на растущем рынке систем распознавания эмоций.

«Использование технологий распознавания эмоций вызывает глубокую озабоченность, поскольку эти системы не только основаны на дискриминационной и дискредитированной науке, но и в корне несовместимы с правами человека, — сказала она. — Важным уроком, извлечённым из траектории развития систем распознавания лиц по всему миру, стало то, что мы часто и на раннем этапе ставили под сомнение обоснованность и потребность в технологиях, и проекты, которые подчёркивают ограничения и опасности распознавания эмоций, являются важным шагом в этом направлении».

Как отметил заместитель председателя правительства РФ Дмитрий Чернышенко, цифровизация ключевых отраслей экономики является приоритетной задачей, стоящей перед правительством. По его словам, объединение усилий «Сбера» и «Ростелекома» будет способствовать ускоренному развитию этого направления. «Деятельность нового совместного предприятия нацелена на решения, от которых зависит разработка и внедрение технологий идентификации в различных отраслях экономики, в том числе в части перевода сервисов и услуг в электронный вид. Основная миссия этих компаний, опираясь на экспертизу и обширный опыт, обеспечить безопасность и защищённость для граждан России на пути решения этих задач», — подчеркнул Чернышенко.

Глава «Ростелекома» Михаил Осеевский заявил, что у компании с крупнейшей в стране цифровой инфраструктурой и у крупнейшего банка России есть всё необходимое для развития технологий цифровой идентификации в интересах всех участников рынка. В свою очередь председатель правления Сбербанка Герман Греф отметил, что компания высоко ценит экспертизу и разработки «Ростелекома» в области работы с данными и цифровой идентификацией. «„Сбер“ также обладает широким накопленным опытом и экспертизой в области защиты данных, компьютерного зрения и работы с биометрической информацией. Я уверен, что, объединив усилия и экспертизу, мы с „Ростелекомом“ способны ускорить развитие сервисов для цифрового общества», — добавил он.

Изначально хакеры запросили выкуп в размере $15 млн. После двух недель переговоров представители округа предложили заплатить вымогателям $500 000, однако последние не согласились и прекратили общение с жертвами.

Как стало известно сейчас, операторы Conti просят выкуп в $40 млн.

Представители округа заявили, что не платили выкуп и не располагают доказательствами, что хакеры получили доступ к каким-либо персональным данным.

Ранее хакерская группировка REvil зашифровала файлы тайваньской компании Acer и потребовала заплатить $50 млн в Monero.

Депутат Днепровского городского совета Вячеслав Мишалов владеет наибольшим количеством биткоинов – 18 000 – на сумму более $1 млрд.

Первый секретарь посольства Украины во Вьетнаме Петр Ленский и его супруга задекларировали 6 528 биткоинов.

Также в топ-10 чиновников по количеству биткоинов входят: заместитель главы Одесского облсовета Александр Урбанский (5328), его брат, народный депутат Анатолий Урбанский (4256), депутаты Одесского горсовета Владимир Кривошея (3493) и Дмитрий Пеструев (1318), депутат Ужгородского горсовета Михаил Чурило (826), депутат Киевского горсовета Дмитрий Белоцерковец (398), заместитель главы Госгеонедр Роман Сарамага (380) и глава Валковской районной администрации Юрий Аксенов.

"Криптовалюта в Украине не имеют правового статуса, исследовать их происхождение невозможно. В теории возможно задекларировать любую сумму в биткоинах, не приводя никаких доказательств ее фактического существования. Это увеличивает риск финансовых злоупотреблений" – отмечают в Opendatabot.

Что произошло

Президент США Джо Байден представил план, предусматривающий выделение 100 миллиардов долларов на финансирование программы модернизации сетей широкополосного доступа, целью которой должно стать обеспечение к 2030 году 100% покрытия таких сетей. План является частью глобального пакета программ, предусматривающего выделение 2 триллионов долларов на развитие инфраструктуры США.

Что предусматривает план

Среди прочего, в законопроекте предлагается уделять первоочередное внимание строительству инфраструктуры широкополосной связи, соответствующей требованиям завтрашнего дня, а также сетей, принадлежащих «провайдерам услуг, не делающим упор на получении прибыли», в том числе местным органам власти, некоммерческим организациям и кооперативам.

Предлагается также требовать от интернет-провайдеров «чёткого раскрытия» ценовой политики в рамках мер, направленных на устранение препятствий, мешающих муниципальным провайдерам и кооперативам «конкурировать на равных условиях» с частными компаниями. Наконец, реализация проекта должна помочь снизить стоимость широкополосной связи, чтобы стимулировать подключение как в сельских, так и в городских районах.

В пресс-релизе, выпущенном Белым домом, отмечается, что более 35% жителей сельских районов страны не имеют возможности доступа к услугам широкополосного доступа, предлагающим «минимально приемлемую скорость», которую правительство определяет как 25 Мбит/сек для скачивания и 3 Мбит/сек для отправки.

Во время беседы с представителями СМИ высокопоставленный чиновник администрации президента назвал интернет «электричеством 21 века», добавив, что план Байдена направлен на достижение «всеобщего доступа к доступной широкополосной связи в этом десятилетии».

Реакция рынка

Предложение Байдена было встречено с одобрением в Ассоциации провайдеров услуг беспроводного интернета (WISPA), которая в своем заявлении отметила, что президент сосредоточил свои усилия «на вопросах достижения правильных целей».

Однако аналитик Блэр Левин из New ...... Research отметил, что многое будет зависеть от того, каким образом окончательный текст закона будет раскрывать такие термины, как «соответствие требованиям завтрашнего дня» и «доступность».

В частности, Блэр Левин указал на то, что если, к примеру, «соответствующими требованиям завтрашнего дня» будут признаны лишь оптико-волоконные сети, то беспроводные технологии – такие как 5G и спутник – окажутся за бортом программы инвестиций. Также, отметил он, реализация проекта будет зависеть и от того, что будет вкладываться в понятие «доступный»: пакеты широкополосного доступа средней ценовой категории или базовые пакеты по минимальной цене.

Чтобы вступить в силу, данный законопроект должен быть принят Конгрессом и подписан Президентом.