Într-o lume din ce în ce mai digitală, amenințările cibernetice sunt o realitate constantă.
Săptămâna aceasta, ne confruntăm cu o creștere a atacurilor de phishing, tot mai sofisticate, care vizează cetățenii români. Infractorii cibernetici se dau adesea drept instituții cunoscute, așa că este crucial să fim extrem de precauți.
Au fost descoperite și noi variante de malware, create special pentru a fura datele bancare. Acest lucru subliniază importanța unui software antivirus actualizat și a vigilenței în gestionarea informațiilor financiare.
O veste bună este că o vulnerabilitate critică a fost corectată într-o aplicație software populară. Acest lucru ne amintește că actualizarea software-ului este esențială pentru a ne proteja de exploatări.
Din păcate, un operator economic local a fost victima unei breșe de date semnificative. Acest incident subliniază necesitatea unor măsuri de securitate robuste pentru toate organizațiile, indiferent de dimensiune.
Recent, au fost descoperite multiple vulnerabilități de securitate în aplicația DeepSeek pentru iOS, una dintre cele mai populare din App Store. Aceste probleme sunt mai grave decât cele anterioare, care au expus istoricul conversațiilor și alte informații sensibile într-o bază de date nesecurizată.
Probleme anterioare cu DeepSeek
Deși am menționat anterior aplicația, pentru majoritatea oamenilor, DeepSeek a apărut brusc și a devenit rapid cea mai descărcată aplicație pentru iPhone. Cercetătorii în domeniul inteligenței artificiale au fost surprinși de capabilitățile unei aplicații care necesita resurse hardware semnificativ mai mici decât chatbot-urile de putere similară, iar această veste a dus la scăderea prețului acțiunilor unor companii americane de AI.
Nu a durat mult până când au apărut îngrijorări legate de securitate și confidențialitate. Autoritatea italiană pentru protecția datelor a pus sub semnul întrebării conformitatea aplicației cu legislația europeană privind confidențialitatea, iar Irlanda a ridicat întrebări similare. Oficialii americani investighează, de asemenea, potențialele implicații asupra securității naționale.
Ulterior, s-a descoperit că compania a omis, din neatenție, să securizeze o bază de date care conținea peste un milion de înregistrări de log, inclusiv istoricul conversațiilor și chei secrete.
Noi vulnerabilități de securitate în aplicația DeepSeek pentru iOS
Compania de securitate mobilă NowSecure a identificat multiple vulnerabilități în aplicația pentru iPhone, inclusiv dezactivarea sistemului integrat al Apple, App Transport Security (ATS). ATS este conceput pentru a asigura că datele personale sensibile sunt transmise doar prin canale criptate, însă NowSecure a constatat că DeepSeek a dezactivat această funcție.
Aplicația DeepSeek pentru iOS dezactivează global App Transport Security (ATS), o protecție la nivel de platformă iOS care previne transmiterea datelor sensibile prin canale necriptate. Deoarece această protecție este dezactivată, aplicația poate (și o face) să trimită date necriptate prin internet.
Compania afirmă că, deși datele expuse pot părea inofensive, acestea pot fi combinate cu ușurință pentru a de-anonimiza utilizatorii.
Deși niciuna dintre aceste date, luate separat, nu prezintă un risc ridicat, agregarea multor puncte de date în timp duce rapid la identificarea ușoară a indivizilor. Breșa recentă de date de la Gravy Analytics demonstrează că aceste date sunt colectate activ la scară largă și pot de-anonimiza eficient milioane de persoane.
În cazurile în care datele sunt criptate, compania utilizează o metodă de criptare depășită, cunoscută ca fiind defectuoasă.
Algoritmul de criptare ales pentru această parte a aplicației utilizează un algoritm de criptare cunoscut ca fiind defectuos (3DES), ceea ce îl face o alegere slabă pentru protejarea confidențialității datelor.
În plus, datele colectate de aplicație ar putea fi utilizate pentru a identifica potențiale ținte de spionaj.
Rețineți că nu doar zeci de puncte de date sunt colectate în aplicația DeepSeek pentru iOS, ci și date conexe sunt colectate din milioane de aplicații și pot fi achiziționate cu ușurință, combinate și apoi corelate pentru a de-anonimiza rapid utilizatorii.
Analiza detaliată concluzionează că aplicația DeepSeek pentru iOS nu este sigură de utilizat și notează că versiunea pentru Android este și mai puțin sigură.
Concluzie
Deși aplicația DeepSeek este impresionantă din punct de vedere tehnic și a fost interesant de testat capabilitățile sale, recomandăm ca nimeni să nu o utilizeze pentru sarcini reale care implică divulgarea oricăror date personale. Ar trebui să presupuneți că DeepSeek vă poate identifica și vedea conținutul interacțiunilor dvs.
Suntem încă într-o etapă relativ incipientă a cercetărilor de securitate asupra aplicației, astfel încât este probabil ca probleme suplimentare de securitate și confidențialitate să fie dezvăluite. Personal, am eliminat-o acum de pe iPhone-ul meu și aș sfătui și pe alții să facă la fel.
O decizie recentă a Autorității Italiene pentru Protecția Datelor (DPA) a evidențiat provocările angajatorilor în gestionarea conturilor de e-mail ale angajaților conform legislației italiene. Cazul a intensificat analiza practicilor de monitorizare a e-mailurilor și a subliniat necesitatea conformării întreprinderilor cu cerințele stricte ale GDPR.
Context
La 6 iunie 2024, DPA italiană a emis ghiduri revizuite pentru gestionarea e-mailurilor la locul de muncă (Ghidurile), aducând clarificări importante pentru angajatori. Acestea au limitat cerințele stricte de stocare și prelucrare doar la metadatele e-mailurilor, excluzând conținutul propriu-zis. Această distincție a fost primită favorabil, reducând sarcinile de conformitate pentru companii.
Recent, o nouă decizie a DPA italiene (nr. 472 din 17 iulie 2024) marchează un moment important. Aceasta întărește abordarea strictă a autorității, evidențiind importanța gestionării legale atât a metadatelor, cât și a conținutului e-mailurilor.
Faptele cheie ale cazului
Cazul a început cu plângerea unui fost colaborator (Reclamantul), care a reclamat că firma continua să-i acceseze contul de e-mail profesional după încheierea relației de muncă.
Compania a admis utilizarea instrumentelor forensice pentru accesarea copiilor de rezervă ale e-mailurilor în cadrul unei investigații interne privind presupusa însușire ilegală a secretelor comerciale. E-mailurile au fost apoi folosite ca probe în instanță. Compania și-a justificat acțiunile invocând interesele comerciale legitime și conformitatea cu notificarea de confidențialitate furnizată Reclamantului.
Punctele principale ale Deciziei DPA
DPA italiană a aplicat o sancțiune administrativă de 80.000 €, identificând următoarele încălcări ale GDPR (Regulamentul UE 679/2016):
Reținerea ilegală a datelor: Compania a realizat copii de rezervă sistematice ale e-mailurilor în timpul relației de muncă, păstrându-le până la trei ani după încetare. DPA italiană a considerat această perioadă excesivă și nejustificată, încălcând principiile minimizării datelor și limitării stocării;
Notificare de confidențialitate inadecvată: Notificarea companiei omitea detalii esențiale, precum păstrarea îndelungată a copiilor de rezervă și posibilitatea accesării e-mailurilor după încetarea contractului. Aceasta încălca obligațiile de transparență și informare prevăzute de GDPR;
Utilizarea necorespunzătoare a software-ului forensic: Deși compania a declarat că software-ul servea scopurilor de securitate IT și continuitate operațională, DPA italiană a constatat că utilizarea acestuia depășea aceste scopuri, extinzându-se la disputele juridice. Această deviere indica lipsa proporționalității și necesității în prelucrarea datelor;
Monitorizarea angajaților: Stocarea sistematică și îndelungată a e-mailurilor constituia o formă de supraveghere indirectă a activității angajaților. Această practică încălca legislația italiană privind monitorizarea angajaților, care impune acordul sindical sau autorizația Oficiului Muncii.
Concluzii
Decizia DPA italiene subliniază necesitatea echilibrării intereselor comerciale cu drepturile la confidențialitate ale angajaților. Aceasta are implicații semnificative atât pentru operațiunile zilnice, cât și pentru domeniile sensibile precum investigațiile interne și auditurile, unde analiza e-mailurilor este esențială.
Investigațiile interne vor deveni mai dificile pentru angajatorii italieni, întrucât practicile de revizuire a e-mailurilor angajaților vor face obiectul unei supravegheri intense din partea DPA italiene și a altor autorități, inclusiv instanțele de muncă.
În contextul evoluției cadrului legal privind protecția datelor, marcat de aceste Ghiduri și decizia recentă, angajatorii italieni trebuie să-și reevalueze practicile de gestionare a e-mailurilor. O revizuire proactivă poate reduce riscurile de conformitate și alinia operațiunile la cerințele legale.
