Podcast: Dating App Privacy en NASA Cyberattack

Podcast: Dating App Privacy en NASA Cyberattack

juni 27, 2019 0 Door admin

 

Het Threatpost-team bespreekt het topnieuws van de week – van een cyberincident van de NASA tot privacy-problemen met dating-apps.

Afgezien van de gebruikelijke trommelbeat van beveiligingskwetsbaarheden en patches deze week, omvatten een hoop verhalen verschillende onderwerpen, variërend van NASA tot Tinder. Het Threatpost-team heeft de interessantste verhalen van de week verbroken, waaronder:

Voor directe download klik hier . Nieuw bij de Threatpost-podcast? Abonneer je vandaag nog .

Hieronder is een licht-bewerkt transcript van de Threatpost nieuws wrap podcast.

Lindsey O’Donnell : Welkom bij de Threatpost News Wrap voor de week die eindigde op 21 juni. Dit is Lindsey O’Donnell en ik ben hier vandaag met Tara-zeehonden en Tom Spring om het beste beveiligingsnieuws van de week te doorbreken. Tara en, Tom, het was een drukke week. Hoe gaat het met jullie?

Tara-zegels : goed.

Tom Spring : goed.

Lindsey : Dus ik bedoel, we hebben alles gehad, van ransomware, tot NASA tot dating-apps die we deze week hebben geschreven. En het was niet alleen het schrijven van verhalen voor jou, Tara, toch? Je hebt woensdag een geweldig webinar over ransomware gehost, waar ik een deel van kon luisteren, hoe is dat verlopen?

Tara : Oh, het ging heel goed. Ik was erg enthousiast om het te doen. We hadden experts van Recorded Future, Malwarebytes en Moss Adams, een adviesbureau aan de westkust. En alle drie van die jongens gaven gewoon killer presentaties, gewoon een soort van afbreken van de staat van ransomware voor bedrijven, om duidelijk te zijn, niet voor consumenten, maar allerlei interessante kleine weetjes daar. Dus het was geweldig.

Tom : Een brandende vraag die ik heb over ransomware en het is een beetje een voorgevoel van mij is waarom we een piek zien in het aantal ransomware-aanvallen. Is er een directe correlatie tussen je weet wel, cryptocurrencies doen het goed en ransomware-aanvallen? Ik vraag me af of jullie het hadden over waarom we dit zien en wat er zich nu in de ruimte zou kunnen voordoen?

Tara : Nou, wat mijn panelleden zeiden, is dat het niet zozeer gebonden is aan de waarde van cryptocurrency, maar dat het voor ransomware meer lijkt op iets wat met een crypto-mijnwerker te maken heeft dan dat het de gemiddelde consument die bijna gevallen is, heeft aangevallen. van de kaarten af ​​- maar ze gaan na wat ze zien is kwetsbaar, zo een soort grote vis. Dus veel gemeenten, ziekenhuizen, weet je, een soort van verticale gebouwen die van oudsher achterblijven in de beveiliging of over legacy beveiligingsmechanismen beschikken. En zijn berucht om dat. Het is dus bijna een gerichte speer-phishing-expeditie, waarbij ze zich richten op iemand die ze kennen, misschien geen goede bescherming hebben en waarschijnlijk ook het losgeld zouden betalen. Dus we zien meer intelligente aanvallen in plaats van aanvallen te werven.

Tom : Ik hoor meer en meer over bedrijven die het losgeld betalen, of dat nu wel of niet een groter bulls-eye op hun rug zet, zoals, oke, ze betalen de losgeld. Dus laten we achter hen aan gaan.

Tara : Nou, en het is interessant, Lindsay, je hebt eigenlijk dat verhaal gelezen over die stad in Florida die het losgeld betaalde, en je praatte daar met een paar mensen over, toch?

Lindsey : Het is absoluut een interessante vraag. Omdat ik het gevoel heb dat de algemene aanbeveling natuurlijk niet is om het losgeld te betalen. Omdat je in de eerste plaats niet eens weet of de aanvallers trouw blijven aan hun woord en de systemen ontgrendelen of gewoon met dit geld wegkomen. En dan zeggen mensen ook dat het andere aanvallers promoot en hen soort van inspiratie geeft om hun eigen ransomwareaanvallen te lanceren, zoals: ‘O, ze hebben het geld eigenlijk wel. Dus, weet je, dit is een geweldig idee om hetzelfde te doen. ‘ Maar in het geval van de stad waarover ik deze week schreef, namelijk dat het een Florida-stad was die drie weken geleden werd getroffen door een ransomware-aanval: dus stemde de gemeenteraad deze dag om de aanvallers het losgeld te betalen, wat 65 Bitcoin was. , wat ongeveer $ 600.000 waard is, een behoorlijk grote som daar.

Tara : Speciaal voor een klein stadje. Ik bedoel, dit was niet waar we het hier niet over Miami hadden. Rechts? Ik bedoel, het is een vrij kleine pensioen gemeenschap.

Lindsey : Juist. Ja. Dus ik, weet je, ik sprak met een paar experts. En weet je, ze zeiden dat, ja, het is de algemene aanbeveling om het losgeld niet te betalen. Maar een expert die ik vanuit Carbon Black met je sprak had echt een goed punt, namelijk dat het antwoord om te betalen om niet of niet te betalen echt nooit zo zwart en wit is als we zouden willen denken. Je hebt bijvoorbeeld een zorgorganisatie die geen toegang heeft tot patiëntgegevens die nodig is om in het moment echt voor patiënten te zorgen, en dat brengt levens in gevaar, ik denk dat ze misschien meer geneigd zijn om het losgeld te betalen en probeer, weet u, een snellere toegang tot gegevens te krijgen. Of dat werkt of niet, is een andere vraag. Maar het zijn absoluut verschillende factoren die dergelijke situaties ingaan. En in het geval van Riviera Beach, de stad in Florida, had de ransomware-aanval invloed op systemen die hun waterhuishouding, overheidse-mail en telefoonlijnen controleerden, maar 911 oproepen konden geen computerrecords invoeren. Dus ik bedoel, er waren een heleboel behoorlijk kritische processen die beïnvloed werden door de aanval.

Tara : Ja, wel, en het is interessant, want, weet je, wanneer je praat over het betalen of niet betalen, hadden jij en ik vorige week aan een functie gewerkt, ongeveer op dit punt, en je hebt gelijk, Ik bedoel, soms is de klassensanering eigenlijk meer dan wat het losgeld zou zijn, weet je, veel gevallen, de handen van mensen zijn vastgebonden en ze hebben niet echt veel goede opties. De bezigheid is dus echt back-ups maken, of zorgen dat je alles, ergens, gerepliceerd hebt, zodat je net zo goed je systemen kunt herstellen.

Lindsey : Als je kijkt naar de kwestie van betalen versus niet betalen, heb ik het gevoel dat de vraag is: hoe voorkom je dat dit gebeurt vanaf het begin, in plaats van, je weet wel, een beetje ruzie maken over hoe je moet handelen ermee nadat het gebeurde, moest er proactief zijn. Maar toen ik aan het doen was, deed ik wat achtergrondonderzoek voor dat ransomware-artikel waarover we vorige week schreven, Tara, en het is gewoon gek. En ik weet het, je noemde eerder het aantal gemeenten dat werd getroffen en het doelwit was van ransomwareaanvallen. Maar zelfs buiten de grote zoals Atlanta of Baltimore, zijn er veel kleinere steden die hierdoor zijn getroffen en enkele die hier in Boston zelfs lokaal zijn, zoals Lynn, MA, Portsmouth, New Hampshire. Dus, ik bedoel, dit klinkt als een vrij grootschalig probleem, zelfs op lokaal niveau.

Tom : Ik vraag me af, weet je, voor iedereen waar we over horen, zijn er waarschijnlijk 10 anderen die het gewoon stil houden om het je te laten weten.

Lindsey : Juist.

Tom : Ik denk dat het praktische advies van het hebben van back-ups en het kunnen, weet je, gewoon in staat zijn om op de resetknop te drukken zo’n goed, fundamenteel advies is. Maar het is zo’n goed fundamenteel advies dat ik heb gehoord, ik heb dat advies tien jaar lang gehoord als het gaat om disaster recovery. En toch doet niemand het. Ik bedoel, weet je, gewoon proberen mensen wijs te maken in termen van het hebben van een back-upstrategie en het kunnen herstellen na een losgeldaanval of een hardwarestoring of een soort gegevensverlies.

Lindsey : Precies, want op een compleet andere toon. Nog een heel cool verhaal dat Tara, waar je deze week over schreef, ging over dating-apps. Dus het schakelen van ransomware naar dating-apps hier, maar je had een heel gaaf verhaal over de gevolgen van privacy voor dating-apps zoals Match.com of Tinder. Wat was daar de achtergrond van het schrijven van dit soort verhalen? Ik bedoel, wat inspireerde je om dat te schrijven? En wat waren enkele van de belangrijkste bevindingen daar?

Tara : Dus er is een privacybelangengroep genaamd ProPrivacy. En ze deden een enquête onder mensen die dating-apps gebruiken om te achterhalen welke soort informatie ze delen. En ze ontdekten dat mensen heel graag hun hele intieme wezen online willen zetten voor veel van deze apps, en ze beantwoorden heel wat heel persoonlijke vragen.

En tegelijkertijd zijn ze zich helemaal niet bewust, in termen van wat het privacybeleid is, en wat deze bedrijven de rechten voorbehouden om met die gegevens te bepalen hoe ze omgaan met die gegevens, wie ze delen dat data met, etc. Dus, weet je, er is een kloof daar, wat best interessant is. En tegelijkertijd wees de enquête er echter op dat mensen zich er bewust van zijn dat ze zich zorgen moeten maken over privacy, dat ze er een beetje bezorgd over zijn, maar niet genoeg om het privacybeleid zelf te gaan lezen. Daarom nam ProPrivacy ook een kijkje in de Match Group, waar zij ook Tinder en OkCupid, Plenty of Fish en een aantal andere concurrerende dating-apps voor bezitten, vallen allemaal onder deze paraplu. De holdingmaatschappij is iets genaamd InterActiveCorp, IAC. Kijkend naar hun eigenlijke privacybeleid, zijn ze vrij vaag. En ze hebben een heleboel soort van juridische mazen, in termen van hun gebrek aan specificiteit. En toen ging ik kijken naar het privacybeleid van Tinder en Match en raakte uiteindelijk een beetje geschokt door al de verschillende dingen die ze verzamelden, zij namen op en bewaarden het recht om te delen met derden. Weet je, alles van je chats die je hebt met mensen op het platform, enige persoonlijke informatie die er is in termen van je datingsituaties, je likes, je antipathieën, zelfs dingen, zoals gebruik je drugs? Ben je ooit in de gevangenis geweest? Dit soort dingen, al die informatie, ze bewaren een bestand en delen zo nodig met mensen.

Tom : En als je dan nadenkt over het rechtmatige privacybeleid en wat ze mogen doen met die gegevens, is dat op zich ook alarmerend, in termen van het kunnen proberen om erachter te komen hoe je dat geld kunt verdienen. poolgegevens die ze hebben.

Tara : Ja, en het is interessant, omdat sommige informatie, het is niet eens noodzakelijk waar gebruikers vrijwillig in typen om het profiel te maken. Ik bedoel, er is natuurlijk veel intieme informatie. Maar ze behouden ook het recht om te monitoren wat u aan het klikken bent, de andere gebruikers waarmee u in interactie bent, de tijd en datum waarop u normaal online bent, al deze dingen die echt een vrij gedetailleerd profiel creëren van wie je bent als persoon. En sommige van die informatie, ze randomiseren, dus dingen als geolocatie en je echte naam, en je contactgegevens, ze houden die gecodeerd en gehasht. En weet je, ze delen dat niet.

Tom : Ik denk dat we die claims eerder in het verleden hebben gehoord, is het niet? Ik bedoel, ik wil niet afgemat en sceptisch zijn. Maar weet je, ik ben afgemat en sceptisch.

Tara : Ja, nee, het is waar. En dus weet je, wat voor soort codering is het? We weten het niet. Welk soort hashing-mechanisme gebruiken ze? We weten het niet. En een van de enge dingen over het beveiligingsgedeelte hiervan is, zegt Tinder eigenlijk, zegt puntloos dat gebruikers geen verwachting zouden hebben dat hun gegevens veilig zouden zijn.

Lindsey : Wow.

Tom : Weet je, een van de dingen die ik dacht dat zo interessant was aan het verhaal, en nogmaals, ik denk dat er een gebied is dat – ik weet niet veel over het moederbedrijf van Match.com met je over het rapport heeft gesproken. Maar het enige waar ik echt in geïnteresseerd was, ik weet dat je had gezegd dat deze datingdienst en -diensten je privéberichten tussen gebruikers verzamelden. En ik dacht net aan alle dingen die fout kunnen gaan.

Tara : Oh, mijn god, ja.

Tom : Ik vond het interessant dat ze wel duidelijk maakten dat er zelfs geen afbeeldingen tussen twee mensen konden worden verzonden. Ik zat er net aan te denken, dit is als het posterkind voor wat er mis zou kunnen gaan met het delen van je persoonlijke gegevens met de website in termen van wat er op het spel staat. Het is logisch dat ze geen afbeeldingen toestaan ​​via privéberichten.

Tara : Ja. Ja, ze hebben echt een strikt beeldbeleid in termen van waar mensen kunnen uploaden.

Lindsey : Heb je een idee gekregen van de vraag of de feitelijke gebruikers van de services enig idee hadden van hoeveel gegevens er over hen werden verzameld? En ook, was er een soort opt-outbeleid voor dit soort dingen?

Tara : Over het algemeen hebben gebruikers volgens het onderzoek sowieso geen idee dat ze zoveel informatie delen.

Tom : Creepy.

Tara : Ja.

Lindsey : Gelukkig hoef je daar niet mee om te gaan.

Tara : Ja, ik ben nog nooit op een datingservice geweest. Ik ben lang geleden getrouwd.

Lindsey : Wat was er dit weekend nog meer? We hadden, er was een heel interessant rapport over NASA, waarover Tara, waarover je ook schreef? Je hebt deze week alle interessante verhalen gedaan.

Tara : Nou, ik bedoel, ik weet dat het de Tara-podcast is. Dus begon ik te schrijven waarvan ik dacht dat het een vrij eenvoudig verhaal zou worden over het Amerikaanse kantoor van de inspecteur-generaal, deed een cyberveiligheidsonderzoek van het Jet Propulsion Laboratory bij NASA en ontdekte dat er in wezen een soort gruwelijke cybersecurity-best practices zijn, of slechte praktijken op zijn plaats, geen netwerksegmentatie, geen planning van patches, geen zichtbaarheid van hun inventaris, geen beveiligingsovereenkomsten van derden, weet u, gewoon door en door, alles wat u maar kunt bedenken, is iets wat u niet hoeft te doen , JPL doet het, deed het. Maar toen was ik, ik kwam door het rapport en ze begonnen te praten over de cyberaanval die afgelopen april gebeurde. En dat is een direct gevolg van deze slechte beveiligingspraktijken. Ik had zoiets van, was dat ooit gemeld? En ik deed wat Googelen en het leek er niet op dat iemand er eerder over had gesproken. Zo een beetje erin gedoken een beetje. En ja, dus hackers konden op JPL’s systeem komen en vervolgens verder in het netwerk draaien. En eigenlijk compromissystemen en netwerken die gegevens bevatten over menselijke missies, zoals voor het internationale ruimtestation en dergelijke.

Tom : Wat was het eerste rapport, alweer?

Tara : Wanneer was het eerste rapport?

Tom : Nee, wat was de naam van het rapport? Hoe kwam dit op? Wat was slechts een openbaarmaking of een jaarverslag?

Tara : Ja, het leek een van die gewone beveiligingsevaluaties te zijn die regelmatig bij verschillende overheidsinstanties wordt gedaan, het maakt deel uit van het mandaat, van de cyber security-uitvoeringsbevel die naar beneden kwam. En dit was er een van.

Lindsey : Dus dit is niet de eerste keer dat NASA ook een veiligheidsincident heeft gehad, toch? Omdat ze in december iets hadden om gelijk te maken?

Tara : Ja, dat was eigenlijk een database, en we hebben niet zoveel details, maar sommigen hadden hun HR-database gehackt en hadden veel informatie over hun werknemers verzameld. Maar dat is één dimensie van beveiliging, een andere dimensie is om daadwerkelijk in staat te zijn om deel te nemen aan missiesystemen. En mogelijk is het niet gebeurd, maar in wezen konden ze de verkeerde informatie naar het Johnson Space Center sturen, midden in een missie en allerlei daadwerkelijke fysieke rampen in de echte wereld veroorzaken. En dus is het niveau van soort ernst anders in die twee gevallen. Maar ja allebei tonen aan dat hun netwerken niet bijzonder veilig zijn.

Lindsey : Juist. En wat mij verontrustte over het verhaal was alleen dat deze er waren – en ik weet niet of dat zo blijft – maar er waren zwakke punten in de IT-beveiligingscontrole, net als, het probleem van netwerksegmentatie, kom op, dit zijn gewoon dingen die je moet overwegen als je zulke missiekritieke systemen en netwerken hebt.

Tara : Absoluut. Welnu, en het Johnson Space Center in Houston hebben de verbinding verbroken – ze gebruiken JPL-gegevens van hun verschillende systemen om te helpen met Mission Control. En ze hebben de verbinding met JPL verbroken, omdat ze denken dat jullie een groot veiligheidsrisico lopen. Dus we zijn in principe hier weg.

Lindsey : Nou, we kunnen hier maar beter afronden. Hiermee is onze nieuwsprogramma-podcast afgelopen. Tara en Tom, bedankt dat je vandaag bent gekomen.

Tom : Whoo.

Tara : Bedankt dat je ons hebt, Lindsey.

Lindsey : Heel erg interessante verhalen die we konden bespreken.

Tara : Ja, dus iedereen die ernaar luistert, moet al onze verhalen op onze site gaan lezen.

Lindsey : Ja, alles, van dating-apps tot NASA. Nou vang ons volgende week op de Threatpost-nieuwsfolder. Nogmaals bedankt, Tom en Tara.

Lees Meer