DataSunrise Consegue la Certificazione AWS DevOps Competency per AWS DevSecOps e Monitoraggio, Logging e Performance

Digest di Sicurezza dei Database – Maggio 2018

Si prega di dare un’occhiata alle notizie sulla sicurezza dei database di maggio 2018.

Grande Svolta nella Protezione dei Dati Personali – Introduzione del GDPR

Il Regolamento Generale sulla Protezione dei Dati (GDPR) è stato introdotto il 25 maggio 2018 nell’Unione Europea. Negli ultimi anni si sono verificati enormi violazioni dei dati che hanno colpito centinaia di milioni di persone. Quindi, non c’è da meravigliarsi che i legislatori stiano rendendo i requisiti di protezione dei dati più rigorosi e introducendo nuove normative e requisiti.

La maggior parte delle multinazionali e, ovviamente, anche le aziende dell’UE devono essere conformi al GDPR entro la fine di maggio 2018. Ma supponiamo che tu sia un’azienda statunitense senza operazioni dirette nell’UE. Questa normativa si applicherà a te? Ripensaci se la tua risposta è “no”. Il significato di “dati personali” secondo il GDPR si estende oltre a quello che comprendiamo negli Stati Uniti. Cose come nome, ID, informazioni sulla posizione, ecc. sono considerate “informazioni personali”. Le “informazioni personali” includono persino indirizzi IP, stringhe di cookie, post sui social media, contratti online e ID di dispositivi mobili.

Ora potresti pensare che l’Europa sia lontana e che non hai operazioni dirette lì, giusto? Ok, se sei un’azienda statunitense con una presenza su Internet e vendi o spedisci merci in un paese dell’UE o accetti semplicemente denaro europeo per i tuoi prodotti o servizi, il GDPR si applicherà alla tua azienda.

Ora parliamo della non conformità al GDPR. Il prezzo è alto. Per la non conformità la sanzione può raggiungere fino al 4% del fatturato annuo globale dell’anno finanziario precedente o 20 milioni di Euro (a seconda di quale importo sia maggiore) e il 2% o 10 milioni di Euro (a seconda di quale importo sia maggiore) per infrazioni di minore importanza. Ad esempio, se un’azienda non segnala una violazione a un regolatore dei dati entro 72 ore (come richiesto dall’Articolo 33 del GDPR) potrebbe pagare una multa del 2% del suo fatturato globale o 10 milioni di Euro (a seconda di quale importo sia maggiore).

DataSunrise rende il processo di conformità al GDPR, che a volte è un processo scoraggiante per le aziende, una questione di pochi clic del mouse.

Sud Africa Compromesso

Il crimine informatico non conosce confini. Usando Internet, i criminali informatici possono entrare in quasi qualsiasi database, anche se protetto, se la sicurezza del database è debole.

Le autorità sudafricane sono state avvertite molte volte che il loro paese potrebbe essere il prossimo obiettivo per attacchi informatici. Tra le prossime possibili vittime del crimine informatico ci sono l’India e i paesi dell’America Latina.

Questa violazione dei dati segue un’altra avvenuta meno di un anno fa, che ha portato alla pubblicazione online di circa 60 milioni di numeri ID sudafricani. Questa volta stiamo parlando di 1 milione di sudafricani i cui dati personali sono stati divulgati online. Il database con queste informazioni è stato trovato su un server accessibile pubblicamente. La società sudafricana che gestisce i pagamenti elettronici delle multe nel paese potrebbe essere responsabile di questa finora maggiore fuga di dati nella storia del Sudafrica.

Applicazione PumpUp che Compromette 6 Milioni dei Suoi Utenti

A maggio 2018 un ricercatore di sicurezza ha scoperto un server backend senza password per proteggerlo. Questo server è collegato all’applicazione fitness PumpUp e consente libero accesso alle informazioni sanitarie inserite dagli utenti, nonché alle foto e ai messaggi privati inviati tra gli utenti. In alcuni casi, le informazioni contenevano dati di carte di credito non crittografati: numero di carta, date di scadenza e numeri di verifica delle carte.

Il ricercatore ha quindi contattato l’azienda informandola delle scoperte. L’azienda ha chiuso l’accesso libero al suo server backend.

Non è ancora noto da quanto tempo il server sia stato senza protezioni e quali informazioni potrebbero essere state rubate.

Aggiornamenti di Sicurezza dei Database

Oracle

https://nvd.nist.gov/vuln/detail/CVE-2017-15533
https://nvd.nist.gov/vuln/detail/CVE-2017-18268

MS SQL Server

https://nvd.nist.gov/vuln/detail/CVE-2018-6617
https://nvd.nist.gov/vuln/detail/CVE-2016-10556

PostgreSQL

https://nvd.nist.gov/vuln/detail/CVE-2018-1115

IBM DB2

https://nvd.nist.gov/vuln/detail/CVE-2018-1449
https://nvd.nist.gov/vuln/detail/CVE-2016-10577
https://nvd.nist.gov/vuln/detail/CVE-2018-1565
https://nvd.nist.gov/vuln/detail/CVE-2018-1544
https://nvd.nist.gov/vuln/detail/CVE-2018-1515
https://nvd.nist.gov/vuln/detail/CVE-2018-1488
https://nvd.nist.gov/vuln/detail/CVE-2018-1459
https://nvd.nist.gov/vuln/detail/CVE-2018-1452
https://nvd.nist.gov/vuln/detail/CVE-2018-1451
https://nvd.nist.gov/vuln/detail/CVE-2018-1450

MongoDB

https://nvd.nist.gov/vuln/detail/CVE-2016-10572

Greenplum Database

https://nvd.nist.gov/vuln/detail/CVE-2018-1280

MariaDB

https://nvd.nist.gov/vuln/detail/CVE-2016-10554
https://nvd.nist.gov/vuln/detail/CVE-2016-10553
https://nvd.nist.gov/vuln/detail/CVE-2016-10550
https://nvd.nist.gov/vuln/detail/CVE-2016-10556

Successivo

Riepilogo della Sicurezza del Database – Giugno 2018

Riepilogo della Sicurezza del Database – Giugno 2018

Scopri di più

Ha bisogno del nostro team di supporto?

I nostri esperti saranno lieti di rispondere alle Sue domande.

Informazioni generali:
[email protected]
Servizio clienti e supporto tecnico:
support.datasunrise.com
Richieste di collaborazione e alleanza:
[email protected]