Tietoturva ja -suoja

Samasta asiasta piti tulla kirjoittelemaan. Oli itseasiassa mukava lukea sähköpostiin saapuneesta viestistä, että he olivat automaattisesti resetoineet salasanat. Miksi näin ei tehdä useammin? Toki muualle kannattaa vaihtaa salasanat, mutta en muista tuota salasanan resetointia monen yhtiön käyttäneen tai sitten en ole vain huomannut niitä.

Ei muuten ollut minun salasanani resetoitunut yhtään mihinkään, vaikka sain sähköpostiin tuon, varmaankin saman, viestin.

Sama vika. Ehkä Ticketmasterin salasanageneraattori antoi meille sattumalta samat salasanat kuin ne vanhat olivat.

6 tykkäystä

Tässä taitaa olla ensimmäinen isompi case GDPR:n aikana.
Toivottvasti ovat hoitaneet tiedotuksen ajallaan.

Kysymys kuuluu, jos asia on havaittu viime lauantaina, onko seuraavana torstaina tapahtuva tiedotus “viivytyksettä”?

1 tykkäys

Minun salasana oli resetoitunut. Kauden aikana ostin pari irtolippua… joilla ei resetoitunut niin oliko ostoja?

Ilmoitus kansalaisille kesti siis viisi päivää joka tietysti on kaksi päivää enemmän kuin viranomaisraja. Asetus määrittää että ei tarvitse ilmoittaa reksiteröidylle jos rekistrerinpitäjä on tehnyt toimia joilla korkea riski ei enää todennäköisesti toteudu.
No joo… eikö tuo nyt aikalailla asetuksen määritelmän mukaan mene ja rekisterinpitäjä on reagoinu. Salasanan resetointi oli oikeen hyvä juttu.
Jyrkkää mielipidettä minulla ei ole reksiterinpitäjän toimien riittävyydestä. Omiin hommiin liittyen tätä tulee seurattua ihan gdpr koeponnistuksena.

1 tykkäys

Ticketmasterin mukaan mahdollisesti levinneitä tietoja ovat nimi, osoite, sähköpostiosoite, puhelinnumero, maksutiedot ja Ticketmasterin kirjautumistiedot.

Lainaus uutisesta, mitä boldatulla mahdetaan tarkoittaa? Luotto-/pankkikorttitietoja vai jotain muuta? Jos olen lippuja ostanut, olen varmasti maksanut tilisiirrolla suoraan. Vältän viimeiseen asti korttitietojen syöttämistä. Tungen korttitiedot vain jos on aivan pakko.

2 tykkäystä

Mulla vaan jotenkin särähtää korvaan että asiasta ilmotetaan asianomaisille 5 vuorokautta sen jälkeen kun asia on havaittu.

Toki, haavoittuvuus oli järjestelmissä sen ~vuoden, että 5 päivää voi tuntua lyhyeltä mutta silti minusta toi 5 päivää tuntuu joltain muulta kuin “Aiheeton viivytys”. Varsinkin kun tuossa yllä @Kilo toi ilmi sen mitä tietomurto on koskenut.

Kyseinen quote napattu täältä:

Gmail on jotenki ihmeellisesti arkistoinu Ticketmasterin ilmoitusviestin. Löydän kyllä haulla, että 10 jälkeen tänään on semmonen viesti tullu, mutta ilman hakua viesti ei näy missään. No salasanan unohduspainikkeen avulla pääsin sivuille ja lähetin varmuuden vuoks Jets-Panthers -liput kahteen eri sähköpostiin, jotta varmasti löytyvät marraskuussa.

Big data ja miten meni noin niin kuin omasta mielestä…

Kauppalehti: USA:ssa paljastui kenties maan historian pahin tietomurto - “Näyttää sisältävän osapuilleen jokaisen Yhdysvaltojen kansalaisen tiedot”

Mode-edit: ei sokeita linkkejä

Tuossa vielä Tekniikka&Talouden uutinen, jonka pitäisi aueta kaikilla:

3 tykkäystä

Oli, juurikin sama “pari irtolippua”, eikä siis ollut salasana resetoitunut. Vaihdoin toki uuteen, tosi ovelaan, ja tajusin juuri, että en muuten muista sitä enää.

Käytännössä vanhoiksi laitteiksi lasketaan ainakin Windows XP:tä käyttävät tietokoneet sekä älypuhelimet, joissa ajetaan korkeintaan Androidin versiota 4 tai iOS:n versiota 4. Tekninen syy laitteiden vanhenemiselle on se, että ne eivät tue TLS-suojausprotokollan (Transport Layer Security) versiota 1.1 tai sitä uudempaa versiota.

Noniin.
Nyt kun Windows XP on virallisesti pannassa, niin voin ottaa vastaan yhden XP Pro-läppärin.:grin:

1 tykkäys

Vihdoinkin, Androidin nelosversiolla on muistaakseni vieläkin ihmeellisen suuri markkinaosuus Android-distrojen sisällä.

Lisää tietoa TicketMasterin tapauksesta:

Inbenta valmistaa chattibotteja eri tarkoituksiin. Yhden tällaisen bottiwidgetin kautta syötettiin uhrien tietokoneille haittakoodia, joka keräsi käyttäjän tietoja, kuten nimen, osoitteen, sähköpostiosoitteita, puhelinnumeroita, maksukorttitietoja ja Ticketmasterin käyttäjätunnuksia.

Inbentan mukaan tietomurto tapahtui chattibotin käyttämän javascript-koodin haavoittuvuuden kautta.

Ticketmasterin suhtautuminen tietoturvakysymyksiin on aiemminkin aiheuttanut hämmennystä. Vuoden 2017 alussa uutisoimme, kuinka Ticketmasterin sivuilla oli tietoturva-aukko, jonka kautta käyttäjän tilin saattoi kaapata kokonaisuudessaan. Ticketmaster ei korjannut aukkoa kuukausiin.

Kun kysyimme Ticketmasterin kommenttia asiaan, he vastasivat käsiään kohauttelevaan sävyyn ”internet ei ole 100% turvallinen”.

Mitä maita tietomurto koskee?
Tämän hetken käsityksen mukaan tietomurto koskettaa vain tiettyä osaa Iso-Britannian asiakkaista, jotka ovat ostaneet tai yrittäneet ostaa lippuja. Ilmoitamme kaikille kansainvälisille asiakkaille Iso-Britannian ulkopuolella varotoimenpiteenä, että heidän on syytä vaihtaa salasana seuraavan kirjautumiskerran yhteydessä. Tietomurto ei ole koskettanut Pohjois-Amerikan asiakastietoja.

3 tykkäystä

Elikkä ongelma rajaantuu Iso-Britanniaan edellisen perusteella. Mielenkiinnolla odotan miten viranomaiset käsittelevät tapauksen.
( Pieni huomio: Petteri Järvinen ei tunne GDPR:ää lausuntonsa mukaan :thinking: tai sitten haluaa julkisuutta :rofl: )

1 tykkäys

Petteri Järvinen haluaa aina julkisuutta.

Ticketmasterille kun realisoituisi 4% liikevaihdosta sakoksi tuosta niin voisi loppua tuo perseily.

Seuraavaa oikeustapausta odotellessa.

2 tykkäystä

Hauskaa tossa on se, että kaupallisen toimijoiden sijaan GDPR:ää rikkoi juuri ICANN.

1 tykkäys

WPA3 tekee tuloaan:
http://etn.fi/index.php/13-news/8212-wpa3-salaus-ratkaisee-monta-ongelmaa

1 tykkäys

LibreOfficesta on Microsoftin kaupassa huijausversio jakelussa:

Onneksi kukaan ei taida tuota Microsoftin kauppaa käyttää…

In a bit of frightening news, it has been revealed that Reddit was hacked and important user data was accessed. Because of this, the Reddit team is recommending that everyone move to two-factor authentication (2FA) just in case the hackers attempt to use their login credentials.

Edit. /iceman: Lisätty toimintaohjeet eli suositellaan kaksivaiheista tunnistautumista Redditiin, jos sitä käyttää.

2 tykkäystä