dloc_kcm
Members-
Posts
11 -
Joined
-
Last visited
-
Days Won
6
dloc_kcm last won the day on September 22 2023
dloc_kcm had the most liked content!
dloc_kcm's Achievements
-
Như tóm tắt ở trên, việc trả tiền chuộc là không khuyến khích và chưa chắc nạn nhân có thể lấy lại được dữ liệu và hacker có thể thực hiện đúng cam kết là không để rò rỉ dữ liệu ra ngoài. Ngoài ra việc trả tiền sẽ làm cho các tổ chức tội phạm sẽ góp phần vỗ béo và làm cho chúng lớn mạnh hơn. Chưa kể là với một số quốc gia chẳng hạn như Bắc Hàn hacker là nhóm tội phạm có tổ chức được quản lý bởi nhà nước, ngoài việc tấn công vào các cơ sở quân sự, làm tệ liệt hạ tầng (giao thông, điện, nước,...) còn tấn công vào các tập đoàn để kiếm tiền hỗ trợ cho hoạt động quân sự (báo đài nói thế). Việc trả tiền chuộc cho hacker còn làm xấu đi hình ảnh của nạn nhân (ở đây là Caesar Entertainment). Vì vậy thông thường với các tập đoàn lớn khi bị tấn công ngoài việc tiến hành quy trình điều tra, khắc phục sự cố khẩn cấp họ sẽ tiến hành các thủ tục sau: - Làm việc với các cơ quan chức năng để thông báo, phối hợp điều tra - Không hợp tác với hacker để trả tiền chuộc - Công bố thông tin về việc bị tấn công - Thông báo cho khách hàng về việc dữ liệu bị rò rỉ hoặc đánh cắp - Áp dụng các quy trình, công nghệ,... nhằm cải thiện khả năng bảo mật - Thủ tục bảo hiểm (nếu có)
-
Las Vegas hospitality and entertainment giants , MGM and Caesar's, were breached, compromising everything from slot machines to ATMs, physical security of hotel door keys, to food service payments, on top of a sizable quantity of data being stolen. The ransom payment made by Caesar's was $15 million. The attack was likely carried out by the Scattered Spider group, a younger, less experienced crew. This group is recognized for using social engineering techniques to collect login information or one-time pass codes to get access to a company's network, data, etc. Prior to making that call to the support desk, they typically have the majority of the information they want. In the case of Caesar's, the hackers initially acquired access to an external IT provider before breaking into the networks. Chi tiết: https://www.nationalreview.com/news/casino-giant-caesars-pays-15-million-ransom-to-cyber-hackers-after-breach/ https://saigonnhonews.com/thoi-su/hoa-ky/las-vegas-hon-loan-vi-bi-tin-tac-tan-cong/ Thông tin thêm: - Social engineering: là kỹ thuật tấn công giả mạo thông qua tin nhắn, email, điện thoại,... để lừa nạn nhân cung cấp thông tin như mật khẩu, mã xác thực. - Việc trả tiền chuộc là không được khuyến khích: Không Đảm Bảo Khôi Phục Dữ Liệu: Trả tiền chuộc không đảm bảo bạn sẽ khôi phục lại quyền truy cập vào dữ liệu của mình hoặc rằng các tội phạm mạng sẽ cung cấp các chìa khóa giải mã. Hỗ Trợ Hoạt Động Tội Phạm: Trả tiền chuộc tài chính hỗ trợ hoạt động tội phạm, bao gồm tội phạm mạng, điều này là vi phạm luật pháp. Nguy Cơ Tấn Công Lặp Lại: Trả tiền chuộc có thể khiến tổ chức của bạn trở thành mục tiêu của các cuộc tấn công trong tương lai, vì các tội phạm mạng có thể xem bạn là một nguồn thu nhập dễ dàng. Vi Phạm Sự Cấm Vận: Trong một số trường hợp, trả tiền chuộc cho một số tổ chức hoặc quốc gia cụ thể có thể bị coi là vi phạm các biện pháp cấm vận và hạn chế thương mại của Hoa Kỳ. Tuy nhiên, cần lưu ý rằng quyết định trả tiền chuộc hay không là một quyết định phức tạp và có thể phụ thuộc vào nhiều yếu tố, bao gồm giá trị của dữ liệu, tác động tiềm năng của việc mất dữ liệu, yêu cầu pháp lý và quy định, và chính sách an ninh mạng của tổ chức. Rất nên được khuyến nghị rằng tổ chức nên tham khảo với cơ quan thực thi pháp luật, các chuyên gia an ninh mạng và luật sư trước khi quyết định có trả tiền chuộc trong trường hợp bị tấn công bởi ransomware. Hơn nữa, tổ chức nên tập trung vào việc triển khai các biện pháp an ninh mạng mạnh mẽ để ngăn chặn các cuộc tấn công ransomware từ ban đầu. (chatGPT) Cuối cùng, chúc mừng team IT + Cyber của Caesars Entertainment, trong cái rủi có cái may.
-
Khi mà nghị định 13 còn chưa rõ ràng về chế tài áp dụng cho việc vi phạm, nhân lực theo dõi giám sát việc thực hiện, cũng như hướng dẫn thực hiện dành cho công chức/người dân thì còn lâu mới có thể được thực thi một cách triệt để được. Nói cách khác số phận của nó cũng sẽ giống quy định cấm hút thuốc lá nơi công cộng.
-
Anh nào đi KIA xác nhận giùm nhé "Chính sách quyền riêng tư của Kia cho phép công ty quyền giám sát "đời sống tình dục" của tài xế" lol. Đồng ý/không đồng ý với việc truy cập và lưu trữ thông tin cá nhân là quyền của khách hàng. Các quốc gia/châu lục đều có chính sách bảo vệ dữ liệu cá nhân, chẳng hạn EU có GDPR, Việt Nam có nghị định 13,... trong đó quy định rất rõ rằng các tổ chức không được tùy tiện thu thập và xử lý dữ liệu cá nhân mà không có sự đồng ý của cá nhân đó, thông tin cá nhân chỉ được phép thu thập một cách hạn chế chứ không được nhiều hơn mức cần thiết. Việc cung cấp thông tin cho 1 bên thứ 3 cũng phải có sự đồng ý của cá nhân đó. Với GDPR thì việc vi phạm có thể dẫn đến hình phạt về tài chính khá nặng nề (nặng nhất 20 triệu euro hoặc 4% tổng doanh thu của 1 năm, tùy cái nào nhiều hơn).
-
Các ôtô có khả năng kết nối Internet sẽ thu thập dữ liệu như địa điểm, chủng tộc, cân nặng, sức khỏe và nhiều thông tin khác. Theo những phát hiện mới nhất từ dự án "Privacy Not Included" của tổ chức phi lợi nhuận Mozilla, các thương hiệu ôtô lớn không tuân thủ các tiêu chuẩn bảo mật và quyền riêng tư cơ bản nhất, đối với các mẫu xe có khả năng kết nối Internet được sản xuất gần đây. Ôtô mới kết nối với internet có khả năng thu thập một số lượng lớn dữ liệu của người dùng. Ảnh: Arstechnica Cụ thể, toàn bộ 25 thương hiệu trong nghiên cứu của Mozilla đều vi phạm lỗi này, bao gồm cả BMW, Ford, Toyota, Tesla và Subaru thu thập dữ liệu về người lái xe bao gồm địa điểm, chủng tộc, cử chỉ nét mặt, cân nặng, thông tin sức khỏe. Thậm chí có những thương hiệu thu thập các dữ liệu khác như hoạt động tình dục, tình trạng nhập cư. Các thương hiệu này bao gồm Dacia, Tesla, Renault, BMW, Cadillac, Mercedes, Chrysler, Ford, Jeep, Acura, Volkswagen, GMC, Audi, Lexus, Subaru, Toyota, Honda, Fiat, Lincoln, Dodge, Chevrolet, Hyundai, Kia, Buick, Nissan. 84% thương hiệu cho biết họ có quyền chia sẻ dữ liệu của người dùng, 76% có thể bán những dữ liệu đó. Hơn một nửa cho biết họ sẽ chia sẻ dữ liệu với chính phủ và cơ quan thực thi pháp luật theo yêu cầu. Các ôtô hiện nay sử dụng nhiều cách thức để thu thập thông tin người dùng, ví dụ như microphone, máy ảnh, ứng dụng kết nối trên điện thoại. Ngoài ra, các nhà sản xuất cũng có thể thu thập dữ liệu thông qua các ứng dụng khác, hoặc trực tiếp trên website. Mozilla cho biết Nissan là nhà sản xuất xe thu thập dữ liệu "tồi tệ nhất". Chính sách quyền riêng tư của Nissan cho phép nhà sản xuất thu thập những thông tin bao gồm hoạt động tình dục, dữ liệu chẩn đoán sức khỏe và dữ liệu di truyền, mặc dù không có thông tin chi tiết về cách thu thập những dữ liệu đó một cách chính xác. Nissan còn có quyền chia sẻ và bán thông tin về "sở thích, đặc điểm, xu hướng tâm lý, khuynh hướng, hành vi, thái độ, trí thông minh, khả năng và năng khiếu" cho các nhà môi giới dữ liệu, cơ quan thực thi pháp luật và các bên thứ ba khác. Lloryn Love-Carter, người phát ngôn của Nissan cho rằng "Khi chúng tôi thu thập hoặc chia sẻ dữ liệu cá nhân, chúng tôi tuân thủ tất cả các luật hiện hành và cung cấp sự minh bạch tối đa". Ngoài ra, Volkswagen thu thập các hành vi lái xe như thói quen thắt dây an toàn và phanh xe, đồng thời ghép nối những hành vi đó với các chi tiết như tuổi tác, giới tính, cho quảng cáo được nhắm mục tiêu. Chính sách quyền riêng tư của Kia cho phép công ty quyền giám sát "đời sống tình dục" của tài xế, Mercedes xuất xưởng ôtô được cài đặt sẵn TikTok trên hệ thống thông tin giải trí, một ứng dụng có các vấn đề về quyền riêng tư trong nhiều năm gần đây tại các quốc gia trên thế giới. Người phát ngôn của Mercedes từ chối bình luận những thông tin trên vì chưa xem xét nghiên cứu, nhưng cho biết ứng dụng "Mercedes me connect" cung cấp cho người dùng cài đặt quyền riêng tư, cho phép họ từ chối một số dịch vụ nhất định. Các công ty khác cũng chưa đưa ra bình luận gì về nghiên cứu trên của Mozilla. Không những thế, việc đồng ý hay không đồng ý chia sẻ thông tin từ người dùng cũng là một vấn đề lớn. Ví dụ như Subaru cho rằng chỉ cần là hành khách ngồi trên xe đồng nghĩa với việc được coi là "người dùng", và đồng ý cho phép công ty thu thập thông tin cá nhân. Nguồn: VnExpress
-
Windows Update đi vào huyền thoại
-
google drive Google Photos ngốn sạch dung lượng Google Drive, phải làm sao?
dloc_kcm replied to RED's question in Ask Me Anything
- 6 replies
-
- 2
-
- google photos
- capacity
-
(and 1 more)
Tagged with:
-
Đào tạo nhận thức về an ninh mạng cho người dùng máy tính
dloc_kcm replied to dloc_kcm's topic in Cyber Security
Hệ thống trang bị đầy đủ đồ chơi nhưng chỉ cần 1 ông user táy máy là đi tong. Cho nên nhờ sếp trên bảo kê cưỡng chế thi hành luôn cho nhanh. -
Đào tạo nhận thức về an ninh mạng cho người dùng máy tính
dloc_kcm replied to dloc_kcm's topic in Cyber Security
Công ty anh có những người học vấn cấp 2, lớn tuổi, trình độ vi tính rất rất thấp mà còn sử dụng được 2FA mà. -
Đào tạo nhận thức về an ninh mạng cho người dùng máy tính
dloc_kcm replied to dloc_kcm's topic in Cyber Security
Cái này là phải bắt buộc rồi, 2FA hiện giờ được xem như là yêu cầu tối thiểu vì ngay cả 2FA cũng bị hack 1 cách dễ dàng thông qua kỹ thuật "Man in the middle" (xem thêm tại đây AiTM/ MFA phishing attacks in combination with "new" Microsoft protections (2023 edition) (jeffreyappel.nl)). Để xác thực người dùng thì có 3 loại xác thực chính gồm có: - Something you know: tất cả những cái gì được nhớ lại "trong đầu" của mình gồm có mật khẩu, PIN,... - Something you have: những thứ không thể cất "trong đầu" mình được, như là: token, SMS, ... - Something you are: những thứ thuộc về cơ thể của mình mà dựa vào đó có thể xác định danh tính của 1 người, ví dụ: vân tay, võng mạc, khuôn mặt... Ngoài ra, trong môi trường doanh nghiệp còn có thêm "somewhere you are", tức là anh chỉ được phép đăng nhập khi đang ở khu vực, quốc gia cụ thể nào đó. Sẽ không hợp lý nếu như anh đang ở VN nhưng tài khoản được đăng nhập vào máy tính ở tận Somalia. Chỉ sử dụng 1 trong 3 loại xác thực trên thì sẽ được xem là bảo mật kém, do đó thường là kết hợp ít nhất 2 cái, phổ biến nhất là: mật khẩu + SMS (cái này giờ cũng bị hack nên bị xem là kém bảo mật rồi). Hậu quả của việc sử dụng bảo mật 1 lớp có thể thấy rõ, phổ biến nhất là bị hack email cá nhân hay Facebook, cho nên trong môi trường doanh nghiệp, để đảm bảo an toàn cho tổ chức, đỡ bị nguy cơ xâm nhập trái phép thì 2FA là bắt buộc. Hậu quả của nó nhẹ thì mất mát hay rò rĩ dữ liệu của vài người dùng, nặng thì gây rò rỉ dữ liệu tài chính, thông tin khách hàng, tê liệt hệ thống mạng, thiệt hại tài chính và tên tuổi của tổ chức có thể sẽ rất nặng nề. Người đứng đầu (giám đốc) là người hiểu rõ về các rủi ro này nhất, cho nên để đảm bảo chính sách 2FA được thực thi thì sẽ rất tốt nếu như có chỉ thị từ những người này. -
Trong các rủi ro về an ninh mạng, yếu tố con người là quan trọng hàng đầu vì nó là mắt xích yếu nhất và dễ bị khai thác bởi kẻ xấu nhất. Vì vậy việc đào tạo nhận thức về an ninh mạng cho người dùng máy tính là rất cần thiết trong thế giới kỹ thuật số ngày nay. Dưới đây là một số lý do vì sao đào tạo này quan trọng: Bảo vệ thông tin cá nhân: Người dùng máy tính lưu trữ nhiều thông tin cá nhân trên các thiết bị và trên internet. Đào tạo về an ninh mạng giúp họ hiểu cách bảo vệ thông tin này tránh khỏi sự xâm nhập và lợi dụng bởi tin tặc. Phòng ngừa việc mất dữ liệu: Hiểu về an ninh mạng giúp người dùng máy tính thực hiện sao lưu dữ liệu quan trọng và tránh mất mát dữ liệu do tấn công hoặc lỗi kỹ thuật. Ngăn chặn lừa đảo trực tuyến: Người dùng máy tính cần biết cách nhận biết và tránh lừa đảo trực tuyến, chẳng hạn như email lừa đảo, trang web giả mạo và các hình thức tấn công xã hội. Bảo vệ mạng gia đình và doanh nghiệp: Đào tạo về an ninh mạng giúp người dùng máy tính bảo vệ mạng gia đình hoặc mạng doanh nghiệp khỏi tấn công, phần mềm độc hại và việc sử dụng sai cơ sở hạ tầng mạng. Đóng góp vào an ninh mạng toàn cầu: Hiểu biết về an ninh mạng không chỉ bảo vệ riêng mình mà còn góp phần vào việc làm cho không gian mạng toàn cầu an toàn hơn. Những người dùng máy tính có kiến thức về an ninh mạng có thể tránh việc trở thành bộ phận của một mạng botnet hoặc phân tán các cuộc tấn công. Thúc đẩy sự hiểu biết và tư duy cảnh giác: Đào tạo về an ninh mạng không chỉ giúp người dùng máy tính biết cách thực hiện các biện pháp bảo mật, mà còn khuyến khích họ suy nghĩ cảnh giác và đề cao vấn đề bảo mật trong mọi hoạt động trực tuyến. Tóm lại, đào tạo nhận thức về an ninh mạng là một phần quan trọng của việc sử dụng máy tính và trải nghiệm kỹ thuật số một cách an toàn và bảo mật. Nó giúp người dùng máy tính tránh các rủi ro an ninh mạng và tham gia vào việc duy trì một không gian mạng an toàn hơn cho mọi người.