Дайджест Jet CSIRT [14-16.08.2021]

17.08.2021

Критическая уязвимость обнаружена но официальном сайте Ford

 

Специалисты BleepingComputer обнаружили критическую уязвимость на официальном сайте Ford Motor, позволяющую получить конфиденциальные данные клиентов и сотрудников компании. Баг был обнаружен в системе Pega Infinity, предназначенной для привлечения клиентов. Исследователи связались с представителями Ford и начали совместную работу по устранению уязвимости.


Обнаружен новый метод отслеживания телефонных разговоров жертв

 

Специалисты из Бен-Гурионского университета разработали новый метод, направленный на светодиодные индикаторы питания устройств. Его суть состоит в восстановлении звука путем анализа оптических сигналов, полученных с помощью электрооптического датчика, направленного на светодиодный индикатор питания различных устройств. Данный метод получил название Glowworm.


Опубликован традиционный Threat Roundup от Cisco Talos

Команда Cisco Talos опубликовала очередной Threat Roundup по наиболее актуальным угрозам ИБ за период с 6 по 13 августа.

 

JC.jpg


Роскомнадзор и Банк России разъяснили требования к обработке персональных данных граждан финансовыми организациями

Соответствующее информационное письмо о согласии заемщиков на обработку их персональных данных опубликовано на сайте Роскомнадзора.


О единых требованиях о защите информации

ФСТЭК России выступила с инициативой законодательного закрепления единых для государственных органов и коммерческих организаций требований о защите информации, обладателями которой являются государственные органы. Как утверждает ведомство, данная проблема обусловлена снижением уровня защищённости информации, обладателями которой являются государственные органы, при ее размещении в центрах обработки данных, принадлежащих подведомственным организациям таких государственных органов или иным коммерческим организациям.


Новый порядок аттестации объектов информатизации

Официально опубликован Порядок организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну, утверждённый приказом ФСТЭК России от 29 апреля 2021 г. № 77.

Указанный Порядок будет применяться для аттестации объектов информатизации с 1 сентября 2021 г.


Актуальные угрозы безопасности ПДн при их обработке в ИСПДн в сферах науки и высшего образования

Министерство науки и высшего образования Российской Федерации подготовило проект ведомственного нормативного правового акта «Об определении угроз безопасности персональных данных, актуальных при обработке персональных данных в информационных системах персональных данных, эксплуатируемых в сферах деятельности, нормативное-правовые регулирование которых осуществляется Министерством науки и высшего образования Российской Федерации».


Правила использования информационной системы РКН

Официально опубликован приказ Роскомнадзора от 21.06.2021 № 106 «Об утверждении Правил использования информационной системы Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций, в том числе порядка взаимодействия субъекта персональных данных с оператором».