Selezione di news dal 20 al 26 novembre 2019 - N. 11
Selected news from 20th to 26th November 2019 - N. 11
Ecco il numero 11 di questa newsletter settimanale gratuita.
Sono state selezionate, come di consueto, alcune news reputate di maggior rilievo.
Se ritenete, è possibile inviare commenti o suggerimenti scrivendo a nicfab@substack.com
Arrivederci alla prossima settimana.
Buona lettura!
Here is number 11 of this free weekly newsletter.
We selected, as usual, some of the most important news items.
You can send comments or suggestions by writing to nicfab@substack.com
See you next week.
Enjoy the reading!
Il precedente numero della newsletter
The previous issue of the weekly newsletter
Data Protection Awareness [#10]
https://nicfab.substack.com/p/data-protection-awareness-10
Qualora lo abbiate perso, qui riportiamo il numero precedente della newsletter settimanale.
Here is the previous number of the weekly newsletter, if you missed it.
CALL FOR PAPERS
La call for papers (CFP) "New frontiers of Data Privacy and Protection in a data-driven society 2020 - NFDPP" fa riferimento ad una Invited Session ospitata dalla "The 11th International Multi-Conference on Complexity, Informatics and Cybernetics: IMCIC 2020" che si terrà a Orlando, Florida, USA dal 10 al 13 marzo 2020.
Per partecipare e inviare abstract e paper, nonché per leggere il testo della CFP andate qui: https://easychair.org/cfp/NFDPP2020
Spero di vedervi a Orlando!
The Call For Papers (CFP) "New frontiers of Data Privacy and Protection in a data-driven society 2020 - NFDPP" is related to an "Invited Session" hosted by "The 11th International Multi-Conference on Complexity, Informatics and Cybernetics: IMCIC 2020" that will hold in Orlando, Florida, USA on March 10-13, 2020.
To participate, authors have to submit contributes by EasyChair platform. Any information on the CFP web page, here: https://easychair.org/cfp/NFDPP2020
I hope to meet you in Orlando!
By invitation
Please stop violence against women
http://unidpo.it/index.php/contributi/115-please-stop-endviolence-against-women
La protezione della vittima vulnerabile comporta anche la protezione dei suoi dati personali e il trattamento delle informazioni che la riguardano deve essere effettuato esclusivamente in modo lecito. L’osservanza da parte della stampa del quadro normativo consente di evitare una “vittimizzazione secondaria” che, anche a causa della indicizzazione, potrebbe provocare dei danni gravi e permanenti.
The protection of the vulnerable victim also involves the protection of his/her personal data and the processing of information concerning him/she must be carried out exclusively in a lawful manner. The observance by the press of the regulatory framework allows avoiding a "secondary victimization" which, also due to indexing techniques, could cause serious and permanent damages.
Autorità di controllo
Supervisory Authorities
EDPB Fifteenth Plenary Session: adopted documents
https://edpb.europa.eu/news/news/2019/fifteenth-plenary-session-adopted-documents_en
Durante la sessione plenaria di novembre, l'EDPB ha adottato i seguenti documenti:
During its November Plenary Session, the EDPB adopted the following documents:
a) EU - U.S. Privacy Shield - Third Annual Joint Review report – 12/11/2019
https://edpb.europa.eu/sites/edpb/files/files/file1/edpbprivacyshield3rdannualreport.pdf_en.pdf
L'EDPB accoglie con favore gli sforzi compiuti dalle Autorità statunitensi e dalla Commissione l'attuazione del Privacy Shield; ci sono, tuttavia, alcune preoccupazioni significative che devono essere affrontate. Per quanto riguarda gli aspetti commerciali, l'assenza di controlli sostanziali rimane una preoccupazione dell'EDPB. Altre aree che richiedono ulteriore attenzione sono l'applicazione dei requisiti del Privacy Shield relativi ai trasferimenti successivi, ai dati sulle risorse umane e all'applicazione dei principi in materia di titolari del trattamento, nonché il processo di ricertificazione. Per quanto riguarda la raccolta di dati da parte delle autorità pubbliche, l'EDPB può solo incoraggiare il Privacy and Civil Liberties Oversight Board (PCLOB) a redigere e pubblicare ulteriori rapporti. Per quanto riguarda il meccanismo del difensore civico, l'EDPB non è ancora in grado di concludere che è dotato di poteri sufficienti per accedere alle informazioni e per porre rimedio alla non conformità. Pertanto, non può ancora affermare che il Mediatore possa essere considerato un "rimedio efficace dinanzi a un tribunale".
The EDPB welcomes the efforts made by the U.S. authorities and the Commission to implement the Privacy Shield. However, there are some significant concerns that need to be addressed by both the Commission and the U.S. authorities. As regards the commercial aspects, the absence of substantial checks remains a concern of the EDPB. Other areas that require further attention are the application of the Privacy Shield requirements regarding onward transfers, HR data and the application of the principles when it comes to processors, as well as the recertification process. As regards the collection of data by public authorities, the EDPB can only encourage the Privacy and Civil Liberties Oversight Board (PCLOB) to issue and publish further reports. On the Ombudsperson mechanism, the EDPB is still not in a position to conclude that it is vested with sufficient powers to access information and to remedy non-compliance. Thus, it still cannot state that the Ombudsperson can be considered an “effective remedy before a tribunal”.
b) Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) - version adopted after public consultation
https://edpb.europa.eu/sites/edpb/files/files/file1/edpb_guidelines_3_2018_territorial_scope_after_public_consultation_en.pdf
I punti chiave per titolari e responsabili includono:
- con stabilimento potenziale nell'UE: considerare il grado di stabilità degli accordi con gli stabilimenti e rivedere il livello di controllo esercitato su tali accordi, per determinare se tale controllo equivalga o meno a uno stabilimento ai sensi dell'articolo 3, paragrafo 1.
- con stabilimento definito nell’UE: soddisfare gli obblighi del GDPR in relazione a tutti i dati personali che vengono elaborati nel contesto di questo stabilimento e non semplicemente ai dati personali degli interessati dell'UE.
- senza stabilimento nell'UE: rivedere l’impostazione dell'UE e garantire la capacità di interagire con le autorità di vigilanza in ciascuno degli Stati membri dell'UE in cui sono attivi.
- offerta di beni e servizi: considerare i fattori elencati nella Guida insieme a quelli elencati nel Considerando 23 del GDPR.
- designazione dei rappresentanti dell'UE: quando si stipulano contratti di servizio con rappresentanti, i contratti dovrebbero almeno identificare un "contatto principale" per ciascun titolare/responsabile del trattamento. I contratti di servizio dovrebbero imporre al rappresentante di conservare un registro dei trattamenti che soddisfi l’applicazione del GDPR, cooperare con le autorità di controllo competenti, facilitare gli scambi tra l'autorità di controllo e il titolare/responsabile del trattamento e comunicare con gli interessati.
Key takeaways for controllers and processors include:
- with potential EU establishment: Consider the degree of stability of establishment arrangements and review the level of control exercised over such arrangements, to determine whether or not that control amounts to an establishment within the meaning of Article 3(1).
- with definite EU establishment: Meet GDPR obligations in respect of all personal data that is processed in the context of this establishment, and not simply the personal data of EU data subjects.
- without EU establishment: Review EU footprint and ensure ability to engage with supervisory authorities in each of the EU Member States in which they are active.
- offering goods and services: Consider the factors listed in the Guidance (as noted above) together with those listed in Recital 23 of the GDPR.
- designating EU representatives: When entering into service contracts with representatives, the contracts should at a minimum, identify a “lead contact” for each controller/processor they are representing. The service contracts should mandate that the representative maintain a record of processing that triggers the application of the GDPR, cooperate with competent supervisory authorities, facilitate exchanges with the supervisory authority and controller/ processor, and communicate with data subjects.
c) Guidelines 4/2019 on Article 25 Data Protection by Design and by Default - version for public consultation
https://edpb.europa.eu/sites/edpb/files/consultation/edpb_guidelines_201904_dataprotection_by_design_and_by_default.pdf
In un mondo sempre più digitale, l'adesione ai requisiti della DPbDD svolge un ruolo cruciale nella promozione della privacy e della protezione dei dati nella società. È quindi essenziale che i responsabili del trattamento prendano sul serio questa responsabilità e attuino gli obblighi del GDPR nella progettazione delle operazioni di elaborazione. Sebbene non affrontati direttamente nell'articolo 25, i responsabili e i fornitori di tecnologia sono altresì riconosciuti come fattori-chiave per la DPbDD, in quanto sono in grado di identificare i potenziali rischi che l'uso di un sistema o servizio può comportare e hanno maggiori probabilità di essere aggiornati sugli sviluppi tecnologici. Quando trattano dati per conto dei responsabili del trattamento o forniscono loro soluzioni, i fornitori di tecnologia dovrebbero utilizzare le loro competenze e cogliere l'opportunità di creare fiducia e guidare i propri clienti nella progettazione di soluzioni che incorporano la protezione dei dati nel trattamento. I responsabili e i fornitori di tecnologia dovrebbero anche essere consapevoli del fatto che i titolari del trattamento sono tenuti a elaborare i dati personali solo con sistemi e tecnologie che dispongono di protezione dei dati integrata.
In an increasingly digital world, adherence to DPbDD requirements play a crucial part in promoting privacy and data protection in society. It is therefore essential that controllers take this responsibility seriously and implement the GDPR obligations when designing processing operations. Although not directly addressed in Article 25, processors and technology providers are also recognized as key enablers for DPbDD. They are in a position to identify the potential risks that the use of a system or service may entail and are more likely to be up to date on technological developments. When processing on behalf of controllers, or providing solutions to controllers, technology providers should use their expertise and seize the opportunity to build trust and guide their customers in designing solutions that embed data protection into the processing. Processors and technology providers should also be aware that controllers are required to only process personal data with systems and technologies that have built-in data protection.
d) Opinion 16/2019 on the draft decision of the Belgian Supervisory Authority regarding the Binding Corporate Rules of ExxonMobil Corporation
https://edpb.europa.eu/sites/edpb/files/files/file1/edpbopinionexxonmobilebcr_adopted_en.pdf
L’EDPB ritiene che il progetto di decisione dell'Autorità di controllo belga possa essere adottato così com'è, poiché tali norme assicurano garanzie adeguate a garantire che il livello di protezione delle persone fisiche garantito dal presente regolamento non sia compromesso quando i dati personali saranno trasferiti ed elaborati dai membri del gruppo con sede in paesi terzi. L'EDPB ricorda anche le disposizioni contenute nell'articolo 47(2)(k) del GDPR e WP 256 rev.01 che forniscono le condizioni alle quali il richiedente può modificare o aggiornare le BCR, compresi gli aggiornamenti all'elenco dei membri del gruppo BCR.
The EDPB considers that the draft decision of the Belgian Supervisory Authority may be adopted as it is since those Rules ensure appropriate safeguards to ensure that the level of protection of natural persons guaranteed by this Regulation is not undermined when personal data will be transferred to and processed by the group members based in third countries. The EDPB also recalls the provisions contained within Article 47(2)(k) GDPR and WP 256 rev.01 providing the conditions under which the applicant may modify or update the BCRs, including updates to the list of BCRs group members.
e) EDPB Response to the LIBE Committee on the EU information systems
https://edpb.europa.eu/sites/edpb/files/files/file1/edpbletterlibeoneuinformationsystems_en.pdf
f) EDPB contribution to the consultation on a draft second additional protocol to the Council of Europe Convention on Cybercrime
https://edpb.europa.eu/sites/edpb/files/files/file1/edpbcontributionbudapestconvention_en.pdf
GDPR: pubblicate le Linee guida dell'Edpb sull’ambito sull'ambito di applicazione territoriale - Garante Privacy
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9192480
Le linee-guida forniscono chiarimenti sull'applicazione del Regolamento (UE) 2016/679 in varie situazioni, ad esempio nel caso in cui il titolare o il responsabile del trattamento sia stabilito al di fuori del SEE, anche per quanto riguarda la designazione e il ruolo di un rappresentante ai sensi dell'articolo 27 del Regolamento stesso. Il documento fornisce inoltre una serie di esempi volti a chiarire l’ambito di applicazione della disciplina di protezione dei dati tanto nel caso in cui venga in rilievo l’art. 3.1 (criterio dello stabilimento sul territorio) che l’art. 3.2 (criterio del targeting), oppure l’applicazione dell’art. 3.3 (criterio del luogo soggetto al diritto di uno Stato membro in virtù del diritto internazionale pubblico).
The guidelines provide clarifications on the application of the EU Regulation 2016/679 in various situations, for example in the event that the data controller or processor is established outside the EEA, also with regard to the designation and role of a representative pursuant to Article 27 of the Regulation itself. The document also provides a series of examples aimed at clarifying the scope of application of the data protection framework both in the case in which art. 3.1 (criterion of the establishment in the territory) that the art. 3.2 (targeting criterion), or the application of the art. 3.3 (criterion of the place subject to the law of a Member State under international public law).
ICO submits Age Appropriate Design Code of Practice to government
https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2019/11/ico-submits-age-appropriate-design-code-of-practice-to-government/?utm_source=twitter&utm_medium=iconews&utm_term=aabe1510-db3e-4c1a-a72e-3bb9a964faa4&utm_content=&utm_campaign=
Il Garante privacy inglese ha presentato al Segretario di Stato la versione finale del Codice di condotta per la progettazione adatta all'età in conformità con la scadenza legale. Qui la versione utilizzata per la consultazione pubblica: https://ico.org.uk/media/about-the-ico/consultations/2614762/age-appropriate-design-code-for-public-consultation.pdf
The Information Commissioner has submitted the final version of the Age Appropriate Design Code of Practice to the Secretary of State in accordance with the statutory deadline. Here is the version for public consultation: https://ico.org.uk/media/about-the-ico/consultations/2614762/age-appropriate-design-code-for-public-consultation.pdf
La AEPD impone a La Tribuna de Cartagena una sanción de 50.000 euros por la difusión de datos personales de la víctima de La Manada
https://www.aepd.es/resoluciones/PS-00139-2019_ORI.pdf
L'Agenzia spagnola per la protezione dei dati (AEPD) ha irrogato una sanzione di 50.000 euro alla "Tribuna de Cartagena" per la diffusione di dati personali della vittima nel caso de La Manada, la violenza sessuale di gruppo avvenuta a Pamplona nel luglio 2016 e diventata un caso giudiziario.
The Spanish DPA (AEPD) imposed a fine of 50,000 euros on the "Tribuna de Cartagena" for the dissemination of personal data of the victim in the case of La Manada, the group sexual violence in Pamplona in July 2016 that has become a court case.
Public Bodies
How do we prevent and combat online child sexual exploitation and abuse?
https://www.coe.int/en/web/children/-/how-do-we-prevent-and-combat-online-child-sexual-exploitation-and-abuse-
La mappatura di base delle risposte degli Stati membri per prevenire e combattere lo sfruttamento e l'abuso sessuale dei minori online identifica le prassi promettenti e le sfide comuni affrontate dagli Stati membri, mentre lavorano per conciliare molteplici obiettivi: identificare, salvare e supportare le vittime minorenni; assicurare che i contenuti dannosi vengano rimossi senza indugio dal World Wide Web; preservare e proteggere le prove elettroniche per garantire che gli autori siano arrestati e perseguiti. La revisione comparativa dei meccanismi di azione collettiva per prevenire e combattere lo sfruttamento e gli abusi sessuali su minori online fornisce analisi e raccomandazioni, con particolare attenzione a: meccanismi per la segnalazione di materiale sugli abusi sessuali su minori; rafforzare le strutture di governance e la cooperazione multi-stakeholder; attuare specifici quadri legislativi e politici per criminalizzare lo sfruttamento e gli abusi sessuali online di minori, identificare gli autori e difendere i diritti dei minori vittime.
The Baseline Mapping of Member State Responses to Prevent and Combat Online Child Sexual Exploitation and Abuse identifies promising practices and common challenges faced by member states, as they work to reconcile multiple objectives: to identify, rescue and support the child victims; to ensure that harmful content is removed from the world wide web without delay; to preserve and secure the electronic evidence to ensure that perpetrators are apprehended and prosecuted. The Comparative Review of Mechanisms for Collective Action to Prevent and Combat Online Child Sexual Exploitation and Abuse provides analysis and recommendations, with a particular focus on: mechanisms to report child sexual abuse material (CSAM); strengthening governance structures and multi-stakeholder co-operation; implementing specific legislative and policy frameworks to criminalise online child sexual exploitation and abuse (OCSEA), identify perpetrators and uphold the rights of the child-victim.
Digital life
Ad tech industry questions intentions behind Google’s latest privacy moves
https://digiday.com/media/ad-tech-industry-questions-intentions-behind-googles-latest-privacy-moves/
La scorsa settimana Google ha annunciato che rimuoverà i contenuti contestuali dalle offerte che invia agli acquirenti tramite Google Ad Manager a partire da febbraio, lasciando perplessi alcuni dirigenti in ambito pubblicitario. Google ha definito la modifica come "passaggi aggiuntivi per salvaguardare la privacy degli utenti", ma gli inserzionisti potranno comunque accedere a dati come posizione (a livello di città), URL del sito Web, nomi di app o ID app.
Google announced last week that it will strip contextual content categories from the bid requests it sends to buyers via Google Ad Manager beginning February, which left some online advertising execs scratching their heads. Google billed the change as “additional steps to safeguard user privacy,” but advertisers will still be able to access data like city-level location, website URL, app names or app IDs.
La soluzione al problema stalkerware
https://www.kaspersky.it/blog/coalition-against-stalkerware/18288/
Stalkerware (alias spouseware, alias spyware legale) è un software commerciale venduto senza alcun tipo di restrizione che permette di spiare persone installando questo programma sui loro dispositivi. Ed è un grosso problema, non solo per le vittime degli stalkerware, ma anche per le aziende che si occupano di sicurezza informatica. Gli stalkerware sono legali, almeno in alcuni paesi, e in molti altri si trovano in una sorta di zona grigia, quindi è necessario scavare a fondo nella legislazione per capire la portata del problema. Ed è illegale per una soluzione di sicurezza contrassegnare come dannoso un software distribuito legalmente. C’è dell’altro: se una persona cancella lo stalkerware dal proprio dispositivo, l’operatore (o il cybercriminale) lo saprà immediatamente, e si potrebbe passare da un piccolo conflitto all’estremo della violenza fisica. Così è stata fondata la Coalition Against Stalkerware, i cui obiettivi chiave includono il miglioramento del rilevamento e della mitigazione degli stalkerware, l’educazione delle vittime e delle organizzazioni di difesa sugli aspetti tecnici e, naturalmente, la sensibilizzazione dell’opinione pubblica sul problema stalkerware.
Stalkerware (aka spouseware, aka legal spyware) is a commercial software sold without any kind of restriction that allows people to spy on by installing this program on their devices. And it's a big problem, not only for stalkerware victims but also for computer security companies. Stalkerware is legal, at least in some countries, and in many others, it is in a sort of grey area, so it is necessary to dig deep into the legislation to understand the extent of the problem. And it is illegal for a security solution to mark legally distributed software as malicious. There is the other: if a person deletes the stalkerware from their device, the operator (or cyber-criminal) will know it immediately, and you could move from a small conflict to the extreme of physical violence. Thus the Coalition Against Stalkerware was founded, whose key objectives include improving detection and mitigation of stalkerware, education of victims and defence organizations on technical aspects and, of course, public awareness of the stalkerware problem.
Facebook and Google’s pervasive surveillance of billions of people is a systemic threat to human rights
https://www.amnesty.org/en/latest/news/2019/11/google-facebook-surveillance-privacy/
Amnesty International in un nuovo rapporto ha ammonito come la sorveglianza onnipresente di Facebook e Google su miliardi di persone rappresenti una minaccia sistemica ai diritti umani. "Surveillance Giants" indica come il modello di business basato sulla sorveglianza di Facebook e Google sia intrinsecamente incompatibile con il diritto alla privacy e costituisa una minaccia sistemica a una serie di altri diritti, tra cui la libertà di opinione e di espressione, la libertà di pensiero e il diritto alla parità e alla non discriminazione.
Facebook and Google’s omnipresent surveillance of billions of people poses a systemic threat to human rights, Amnesty International warned in a new report. "Surveillance Giants" lays out how the surveillance-based business model of Facebook and Google is inherently incompatible with the right to privacy and poses a systemic threat to a range of other rights including freedom of opinion and expression, freedom of thought, and the right to equality and non-discrimination.
Google to restrict political adverts worldwide
https://www.bbc.co.uk/news/amp/technology-50498166
Google sta estendendo il divieto di campagne politiche mirate in base alle presunte tendenze politiche delle persone. Questa limitazione è già in vigore nel Regno Unito e nel resto dell'UE, ma sarà imposta in tutto il mondo il 6 gennaio 2020.
Google is extending a ban on political campaigns targeting advertising at people based on their supposed political leanings. This restriction is already in place in the UK and the rest of the EU but will be imposed worldwide on 6 January 2020.
How much of your privacy is at stake after using DNA test kits
https://qz.com/1752407/how-much-of-your-privacy-is-at-stake-after-using-dna-test-kits/
La decisione di consentire a un'azienda orientata al profitto di analizzare i dati di una persona a livello genetico rappresenta un nuovo livello di minaccia alla privacy. In confronto, le categorie tradizionali di dati personali sembrano banali.
The decision to allow a profit-driven company to analyze a person’s data at a genetic level represents a new level of privacy threat. It makes the traditional categories of personal data seem tame by comparison.
Tim Cook: ‘The time is now to have a federal privacy bill’
https://www.theverge.com/2019/11/22/20978140/tim-cook-apple-federal-privacy-bill-facebook-breakup-big-tech
Il Congresso americano ha lottato per anni per approvare una legge federale sulla privacy, ma recentemente i legislatori hanno trovato un alleato inaspettato nel CEO di Apple, Tim Cook. In un'intervista, egli ha affermato che le grandi aziende tecnologiche non hanno corretto i propri errori ed è tempo che il governo intervenga, idealmente con una legge federale sulla privacy.
American Congress has been struggling for years to pass a federal data privacy law, but recently lawmakers gained an unexpected ally in Apple CEO, Tim Cook. In an interview, he said big tech companies haven’t corrected their mistakes, and it’s time for the government to step in — ideally with a federal privacy bill.
Artificial Intelligence
Intelligenza artificiale: al via i lavori del CAHAI del Consiglio d'Europa
https://www.key4biz.it/intelligenza-artificiale-e-diritti-umani-al-via-i-lavori-del-cahai-del-consiglio-deuropa/
Il Comitato ad hoc sull’intelligenza artificiale (CAHAI) definirà i contenuti di uno studio di fattibilità del Consiglio d’Europa sull’Intelligenza artificiale e su un futuro quadro giuridico che sarà condotto con diverse parti interessate del settore privato e della società civile. Lo studio di fattibilità affronterà diverse questioni di rilievo quali la necessità di una definizione comune dell’IA, la mappatura dei rischi e delle opportunità che può generare, in particolare il suo impatto sui diritti umani, lo Stato di diritto e la democrazia, e la possibilità di stabilire un quadro giuridico vincolante.
The ad hoc committee on artificial intelligence (CAHAI) will define the contents of a feasibility study of the Council of Europe on artificial intelligence and on a future legal framework that will be conducted with different stakeholders from the private sector and civil society. The feasibility study will address several important issues such as the need for a common definition of AI, the mapping of risks and opportunities it can generate, in particular, its impact on human rights, the rule of law and democracy, and the possibility of establishing a binding legal framework.
L’intelligenza artificiale di Google che non ha risolto il rebus della privacy
https://www.huffingtonpost.it/entry/lintelligenza-artificiale-di-google-che-non-ha-risolto-il-rebus-della-privacy_it_5ddbaa67e4b00149f71fc68a
Possiamo dire che gli utenti siano sempre consapevoli che i propri dati vengano usati da Google in un modo o in un altro? Sappiamo sempre se, oltre a fornire un servizio, possono essere usati anche per mandare messaggi pubblicitari? Possiamo affermare con certezza che non verranno mai usati dalla Google del futuro per scopi diversi da quelli dichiarati oggi? L’impressione è che Mountain View non neghi il problema, ne sia consapevole, ma non sia in grado di rispondere a molte di queste domande.
Can we say that users are always aware that their data is being used by Google in one way or another? Do we always know if, in addition to providing a service, they can also be used to send advertising messages? Can we say with certainty that they will never be used by Google of the future for purposes other than those declared today? The impression is that Mountain View does not deny the problem, it is aware of it, but it is not able to answer many of these questions.
Cybersecurity
Iran’s APT33 Hackers Are Targeting Industrial Control Systems
https://www.wired.com/story/iran-apt33-industrial-control-systems/
Alla conferenza CyberwarCon un ricercatore di sicurezza Microsoft ha presentato nuove scoperte del gruppo di intelligence della compagnia che mostrano uno spostamento dell'attività del gruppo di hacker iraniano APT33, noto anche con i nomi Holmium, Refined Kitten o Elfin. Negli ultimi anni Microsoft ha osservato che il gruppo ha eseguito attacchi cosiddetti di password-spraying, che provano solo poche password comuni negli account utente in decine di migliaia di organizzazioni. Negli ultimi due mesi, Microsoft afferma che APT33 ha ridotto in modo significativo i suoi attacchi a circa 2000 organizzazioni al mese, aumentando tuttavia il numero di account attaccati per ciascuna di queste organizzazioni di quasi dieci volte in media. La motivazione degli hacker - e quali sistemi di controllo industriale abbiano effettivamente violato - rimane poco chiara.
At the CyberwarCon conference, a Microsoft security researcher presented new findings from the company's threat intelligence group that show a shift in the activity of the Iranian hacker group APT33, also known by the names Holmium, Refined Kitten, or Elfin. Microsoft has watched the group carry out so-called password-spraying attacks over the past year that try just a few common passwords across user accounts at tens of thousands of organizations. Over the last two months, Microsoft says APT33 has significantly narrowed its password spraying to around 2,000 organizations per month while increasing the number of accounts targeted at each of those organizations almost tenfold on average. The hackers' motivation - and which industrial control systems they've actually breached - remains unclear.
1.2 Billion Records Found Exposed Online in a Single Server
https://www.wired.com/story/billion-records-exposed-online/
https://www.dataviper.io/blog/2019/pdl-data-exposure-billion-people/
Ad ottobre Bob Diachenko e Vinny Troia hanno scoperto un server Elasticsearch non protetto, comprendente 4 terabyte di informazioni personali - circa 1,2 miliardi di record in tutto. La raccolta, impressionante in valore assoluto, non include informazioni sensibili come password, numeri di carta di credito o numeri di previdenza sociale. Contiene, tuttavia, profili di centinaia di milioni di persone che includono numeri di casa e di telefoni cellulari, profili di social media come Facebook, Twitter, LinkedIn e Github, quasi 50 milioni di numeri di telefono unici e 622 milioni di indirizzi e-mail unici.
In October Bob Diachenko and Vinny Troia discovered an unprotected Elasticsearch server, comprising 4 terabytes of personal information - about 1.2 billion records in all. The collection, impressive for its sheer volume, does not include sensitive information like passwords, credit card numbers or social security numbers. It contains, however, profiles of hundreds of millions of people that include home and mobile phone numbers, associated social media profiles like Facebook, Twitter, LinkedIn, and Github, almost 50 million unique phone numbers and 622 million unique email addresses.
Furto dati alla Pubblica Amministrazione, arrestato un hacker. Operazione della Polizia postale - Rai News
http://www.rainews.it/dl/rainews/articoli/Furto-dati-alla-Pubblica-Amministrazione-arrestato-un-hacker-Operazione-della-Polizia-postale-060cee92-ceb9-4bd7-9546-463a708004e0.html
La Polizia di Stato ha confermato l’arresto del presunto responsabile del furto di centinaia di credenziali di accesso a dati sensibili, migliaia di informazioni private contenute in archivi informatici della pubblica amministrazione, relativi a posizioni anagrafiche, contributive, di previdenza sociale e dati amministrativi appartenenti a centinaia di cittadini e imprese del nostro Paese. L’Operazione PEOPLE 1, iniziata dal Centro Nazionale Anticrimine Informatico per la Protezione delle Infrastrutture Critiche (CNAIPIC) a maggio 2017 su segnalazione della società di sicurezza TS-WAY, ha fatto emergere le presunte responsabilità dell’hacker in casi di ripetuti attacchi ai sistemi informatici di numerose Amministrazioni centrali e periferiche italiane. Questi avrebbero permesso l’intercettazione illecita di centinaia di credenziali di autenticazione (userID e password).
The Italian Police confirmed the arrest of the person allegedly responsible for the theft of hundreds of credentials for accessing sensitive data, thousands of private information contained in public administration's computer archives, relating to personal, contributory, social security and administrative data belonging to hundreds of citizens and businesses in Italy. Operation PEOPLE 1, initiated by the National Center for Information Crime for the Protection of Critical Infrastructures (CNAIPIC) in May 2017 on the recommendation of the security company TS-WAY, revealed the alleged responsibilities of the hacker in cases of repeated attacks on the systems IT experts of numerous central and peripheral Italian administrations. These would have allowed the illegal interception of hundreds of authentication credentials (userID and password).
L’hacker antisistema che vuole portare la lotta di classe online
https://www.valigiablu.it/phineas-fischer-hacker-antisistema/
Carola Frediani racconta la storia dell’hacker antisistema Phineas Fisher/HackBack che violò un’azienda anglotedesca, GammaGroup (che vendeva a vari governi una suite di spyware), e l’italiana Hacking Team. Chi è davvero Phineas Fisher? C’è chi, come la studiosa Gabriella Coleman, pensa che sia una nuova forma di hacktivismo, chi lo considera solo un cybercriminale che a un certo punto si è dato una patina di attivismo e chi, specie all’inizio, riteneva che fosse l’operazione di una intelligence di qualche Stato.
Carola Frediani tells the story of the anti-system hacker Phineas Fisher / HackBack who violated an Anglo-German company, GammaGroup (which sold a suite of spyware to various governments), and the Italian Hacking Team. Who is really Phineas Fisher? There are those who, like the scholar Gabriella Coleman, think it is a new form of hacktivism, those who consider it only a cybercriminal who at one point gave himself a patina of activism and who, especially at the beginning, believed it to be the operation of some state intelligence.
Brevi dal mondo
Worth Mentioning
How Earnest Research Into Gay Genetics Went Wrong
https://www.wired.com/story/how-earnest-research-into-gay-genetics-went-wrong/
The Peeping Tom Effect Makes Us Worry About the Wrong Threats to Our Privacy
https://onezero.medium.com/the-peeping-tom-effect-646f1c60fb4f
Facebook built internal facial recognition camera app, sources say
https://www.businessinsider.com/facebook-built-internal-facial-recognition-camera-app-2019-11
Much of what's being sold as 'AI' today is snake oil says Princeton professor
https://www.computing.co.uk/ctg/news/3084079/ai-snake-oil
EU countries fail to agree on privacy rules governing WhatsApp, Skype
https://www.reuters.com/article/us-eu-eprivacy-idUSKBN1XW22P
Acquisti sicuri il Black Friday e il CyberMonday
https://www.aepd.es/blog/2019-11-21.html