Ez egy QoL feature, annyi történik, hogy a háttérben az előző kérdéseket hozzácsapja az új prompthoz, ezt eddig is meg lehetett tenni, én pl így használtam már a GPT3 sandboxot is. Valószínűleg van valami pre-processing, hogy a kulcsszavakat szedje csak ki, de ha kellően sokáig beszélgetsz vele, akkor el fogja dobni a korábbi kontextust. A mesterképzésem fele machine learning volt, úgyhogy azért foglalkoztam a témával.

Mindig felhorgadok, ha [ilyen]szakmaiatlan f*szság jön szembe...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Szánalmas, ez nem is szakmaiatlan, inkább netto hulyeség

[ Szerkesztve ]

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Juj, itbusinesspro...

https://www.coreinfinity.tech

Úgy néz ki a GoTo-nál is elkezdtek dolgozni végre

Már bocsánat, de a korábbi duma nem az volt, hogy ők nem érintettek?

https://www.coreinfinity.tech

Amig nem bizonyitott, hogy erintettek, addig senki nem mondja ki, hogy erintettek...

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Nem, pont az volt a lényeg, hogy közös infra van/volt, de a GoTo lapított úgyhogy mindenki csak a LastPasst ekézte.

Kísérleteztem az utóbbi időben azzal, hogy megpróbálom a rendes nevem és a felhasználói nevem szétválasztani, de úgy tűnik olyan szinten összefonódott a kettő a digitális térben, hogy esélytelen. Bármit csinálok, ha rákeresek mindig előbukkanik egy oldal, ami összekapcsolja a kettőt. Ha máshol nem, akkor archive.org vagy google cache vagy ilyesmi, esetleg valamilyen programozós oldal, ahova kódot töltöttem fel, és nyersen belekerült az email címem, ami tartalmazza a nevem régi jó szokás szerint. Maximum az jelentene megoldást, ha mindenhol tiszta lappal indulnék és új felhasználói nevet választanék magamnak, aminél sosem adom meg a rendes nevem. Fényképpel egy fokkal szerencsésebb voltam.

[ Szerkesztve ]

Buliban hasznos! =]

Úgy tudom erre találták ki a felejtés jogát. Vagy valami hasonló néven fut.
De ezt szerintem külön kérni kell a szolgáltatótól.

Na bakker, rólam is van egy csomó infó a neten.Még a születési évem is fent van, és azt le se tudom szedetni.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Érdemes rákeresni. Én mindenhol fals adatot adok meg, ahol tudok. Már egy ideje néha előjön a dolog. Most éppen rendőrségi feljelentés kapcsán aggasztó, hogy OSINT-el még mindig egy csomó dolgot meg lehet tudni rólam.

Írtam már több helyre, ahova nem tudtam belépni, hogy töröljék a fiókot, vagy egy bizonyos hozzászólást azzal a szöveggel, hogy ez GDPR szerinti érintetti joggyakorlás, és egy hónapjuk van rá. Ha nem veszik komolyan, akkor elgondolkodok egy NAIH kérelmes eljáráson. Bár kicsit ágyúval verébre, mert nincs most komoly tétje, inkább csak szakmai ártalom.

[ Szerkesztve ]

Buliban hasznos! =]

Én kb 2 éve kerestem rá a nevemre utoljára.Volt több oldal ahonnan sikerrel töröltettem magam. (Valami Belga oldalon még a címem és egy megszűnt telefonszámom is fent volt.)

De most kaptam érdekes találatokat. Esetemben amúgy is oda kell figyelnem, mert nevem alapján egyértelműen beazonosítható vagyok.

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Rólam csak a LinkedIn profilomat dobja ki egy sima keresés, többre meg lusta vagyok.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Erre talán még szolgáltatást is lehetne alapozni, hogy megbízzuk a céget, hogy keressen ránk, és szedessen le minden tartalmat.

Buliban hasznos! =]

Én most megpróbálok megküzdeni a LocateFamily.com oldallal. Nem tudom hogy kerültem fel rá, de legalább az infó ami fent van az is fals. (A cég korábbi címe és telefonszáma jelenik meg a nevemnél. )

A törlés gombnál kértek egy nevet meg egy email címet és ezt küldték kb 1 órával később:

"LocateFamily.com is a FREE service which is intended to bring people together in a positive manner. It is not intended to inconvenience anyone. With this in mind, LocateFamily.com will endeavor to respect your desire to have information removed and will remove a listing if a valid request is made.

Please understand that from our point of view, anyone could have created the e-mail address "céges email címem amivel a törlést elkezdtem". Therefore we really have no way of confirming that you are the person (nevem) for whom you would like information removed.

Consequently, in order to ascertain that you are in fact the individual in question, we require that you provide us with some means of identification.
Identification does not mean official government issued ID, but instead, any legitimate document that contains a name and address which matches the information you would like removed. For example a mailing label from junk mail, a business card, an invoice, etc.

DO NOT SEND GOVERNMENT ISSUED ID. The type of identification we require would be ANY LEGITIMATE DOCUMENT THAT CAN REASONABLY PROVE YOUR IDENTITY. This could include a copy of a bill, mailing label, business card, etc.

(GDPR: If you are a member of the European Union, please see Section 1 article
12 paragraph 6 of the GDPR.)

Please send us a scanned copy or a photograph of the ID to info@LocateFamily.com. Make sure to send it from the e-mail address you would like us to assign to the information in question. Once we have received your message with the attached ID, we will review it and send you a message confirming that the information in question will be removed.

Assigning your e-mail address to the information will allow our system to automatically approve any future removal requests should the information inadvertently re-appear. An e-mail address may only be used for a single individual and his/her dependents at a single address. If you have other circumstances, please let us know so that we may accommodate you appropriately.

Please understand that these measures have been introduced to prevent abuse, as we have no other way of confirming an individual's true identity. These measures have been vetted by our attorneys as a reasonable and lawful means of establishing identity.

Thank you for your kind understanding and anticipated cooperation.

LocateFamily.com

(Do not reply to this message as this message is an automated message"


Tehát adjak meg még több adatot, hogy egyáltalán megtudjam, hogy kerültem be az adatbázisba.
Nagyjából átolvastam az FAQ-t. Nem tudtam rájönni, hogy a GDPR melyik pontja alapján tárolják az adataimat.
Amit kérdésként fel fogok tenni:
- ha küldök azonosító adatot akkor mennyi ideig táolják, mire fogják felhasználni (elvileg elfogadják a névjegykártyát is)
- írják meg a GDPR melyik pontja alapján tárolják az adataimat (ha már pontosan tudják, hogy Magyarországi a cím és az adat)
- honnan a fenéből vették azokat az adatokat

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Ez úgy működik, hogy a cég, amit megkeresel kérheti az ésszerűség keretei között, hogy azonosítsd magad, de nem kérhet be olyan adatot erre a célra, amit nem tárol rólad. Ha a régi email címedről küldtél volna levelet, akkor valószínűleg szó nélkül törölték volna. Ha szerinted nem stimmel a tájékoztatójuk (kik ők, mit tárolnak, mennyi ideig, milyen céllal, milyen jogalappal), és nem tudod milyen forrásból szerezték meg az adatot rólad, akkor tegyél feljelentést a hatóságnál, aki felügyeli őket. Ők már kérhetnek rendes személyit meg ilyesmik, csak valamivel hosszabb a procedúra, de legalább felteszik a szopóálarcot a cégre, ha tényleg jogsértő az adatkezelésük. Én még próbálkoznék a cégnél pár levéllel, aztán mentegetném az elutasító válaszukat mielőtt a hatósághoz fordulok.

Az jogos kérdés, hogy honnan szerezték be, etc., de ha nem tudnak beazonosítani, akkor nem fognak válaszolni rá. Nagyjából ez az ő szempontjuk. El lehet vinni amúgy egészen bíróságig az ügyet, csak akkor meg kb. mindenki is tudni fogja az adataidat, ha hírverés van körülötte.

Buliban hasznos! =]

Én az oldalon soha nem regisztráltam és nem is látszik az email címem, így fogalmam sincs, hogy milyen címről kellett volna a levelet küldenem. Azért küldtem a céges címről, mert weboldalon a cég régi címe van a nevemhez rendelve, így nekem logikusan az következett, hogy akkor a céges email címem van náluk eltárolva.
Ami a fura, hogy a cég régi weboldalán nem szerepltem. (Az idei új weboldalra került fel a nevem és a képem, aminek már semmi köze a régi címhez.)

Még szerencse, hogy van régi névjegykártyám amit be tudok nekik scannelni.

A NAIH kb sz*rni fog az egészre. Amikor a belga oldalról is kb ugyanezt az üzenetet kaptam, akkor több mint 2 hónapra szíveskedett a NAIH válaszolni, kb olyan tartalommal, hogy írjak a szolgáltatónak és oldjam meg.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

Ja úgy tűnik a határon túlra nem igazán ér el a kezük. A határon belülre sem mindig, de mindegy.

[ Szerkesztve ]

Buliban hasznos! =]

Lenne egy nem is olyan teoretikus kérdésem. Addot egy portál, aminek a használata regisztrációhoz kötött. Csak felhasználónév, Név, ímél címet kér, és az ímél címet aktiváló íméllel ellenőrzi is.
A fiók beállításaiban törölni is tudja magát, amiről ímélt küld a rendszer, miszerint minden adatát töröltük a rendszerünkből.
De!
Mi van a mentésekkel? Napi szinten készül a mentés, vagyis a regisztrációtól a törlésig benne lesz minden adata, ténykedése. Ettől még a gdpr és egyéb szempontokból rendben van a dolog?

Plusz mi van ha valami gikszer miatt egy régebbi mentést kell visszatölteni? Abban adott esetben még létező aktív fiókként jöhet vissza.

[ Szerkesztve ]

Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews

Meg kell tudnod indokolni, hogy miért tárolod, és annyi nem elég, hogy nincs időm erre vagy így egy kicsit olcsóbb. Általában egy hónapod van az érintetti kérelmek megválaszolására, nem kötelező, hogy legyen azonnali törlés gomb, megcsinálhatod úgy, hogy nem azonnal törli, csak zárolja, és a következő backupba már nem kerül bele, stb. Pl. most töröltem magam, és azt írták, hogy 14 napon belül mindenhonnan kikerülnek az adataim. Valamit lehet tárolni tovább is, ha nyomós érved van rá, pl. név, lakcím kell a számlákhoz fizetős oldalnál, amiket legalább 8 évig meg kell őrizni törvény szerint. Ha van rá technikai megoldás, akkor használni kell, ha nem irreális összegbe kerül. Pl. lehet olyat, hogy a profilokat egyedi kulccsal titkosítod, aztán ha törlik, akkor eldobod a kulcsot. Bár nem mindenki ért egyet azzal, hogy ez törlésnek minősül, de a semminél biztosan több, amíg kifutnak a biztonsági mentések. Tudni kell bizonyítani, hogy nem állítható helyre az ilyen titkosított profil, ami meg nehéz. Append only rendszerekben úgy tudom nincs rá igazán jó megoldás, főleg ha mágnesszalagra is mentenek. De bizonyos fontosságú rendszereknél biztonsági okokkal akár még indokolható is, hogy addig megőrizzék, amíg kifut a backup. A rendszereket úgy kell tervezni, hogy az adatvédelemre is kell gondolni a fejlesztésnél, nem csak a működésre vagy a biztonságra, hogy ne okozzon ez fennakadást.

[ Szerkesztve ]

Buliban hasznos! =]

Ez az elmelet. A gyakorlat meg az, hogy senki nem fogja egy user torles miatt a backupok integritasat kockaztatni, a per user encryption meg csak komolyabb B2B szoftvereknel merul csak fel, ugyhogy kb mindenki elfogadja a kockazatot, hogy ha emiatt megbirsagoljak oket, akkor igy jartak.

Én meg tudom oldani minimális ráfordítással. Megvan rá a technológia, csak plusz költség. Egyedül akkor irreális összeg, ha egyszer írható adathordozóra megy a backup, de ott meg valószínűleg olyan ügymenetről van szó, ahol számít, hogy ne lehessen módosítani, és ott tudják indokolni, hogy miért így van, illetve szinte biztosan törvény is van, hogy muszáj sok évig megtartani. A gyakorlat tényleg más, a NAIH úgy tudom nem szokott nagyon foglalkozni ezzel, vagy tűri, de valószínűleg függ a személyes adat típusától is. Pl. jelen esetben nem sokat érő adatokról van szó, úgyhogy itt valószínűleg tűrné, hogy a backupban benne vannak, viszont kérdés az, hogy miért kell napi szintű backup, ha egyébként nem keres vele semmit az illető. Illetve, ha olyan szolgáltatás, hogy mégis sokat keres vele, és a szolgáltatás a felhasználói tevékenység adatbányászatára alapul többek között, akkor meg érdemes leválasztani a profilt róla külön adatbázisba, és onnan törölni, és a user id és a tevékenység napló megmaradhat profil nélkül statisztikai célú elemzésekhez, ha egyébként nem lehet megmondani az alapján, hogy ki volt a felhasználó. Biztonsági szempontból is indokolható lehet, pl. az IP címeket viszonylag sokáig meg szokták őrizni. A lényeg annyi, hogy megmaradhat az adat ilyenkor is, ha tudják indokolni valamivel. Legtöbbször vagy törvényi előírás vagy jogos érdek és érdekmérlegelési teszt kell hozzá. Tulképp a lényeg minden adatkezelésnél ugyanez, hogy indokolva legyen, hogy miért kell nekünk kezelni azt a bizonyos személyes adatot. Cél vagy jogalap nélkül betárazni törvényellenes. Ennyi. Ez megy is az összefoglalóba.

[ Szerkesztve ]

Buliban hasznos! =]

Elbeszéltek egymás mellett.
Te vélhetőleg egy kis saját fejlesztésből indulsz ki, a kolléga meg bonyolult, Enterprise kategóriás rendszerekből, mint pl. az SAP.
Semmi (na jó, inkább nem sok) köze van a problémának az adathordozóhoz, sokkal inkább a mentési stratégiához és az adatbázis modellhez, no meg a tárolt adatok sokféleségéhez.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Nem teljesen, event sourcing-ot szoktak használni nagy rendszereknél, ami append only technológia. Annyi a lényege, hogy nem a rendszer aktuális állapotát menti, hanem az oda elvezető eseménysort. Az eseménysor alapján újraépíthető a rendszer aktuális állapota. Amikor egy felhasználót törölsz, akkor úgy lehet kiszedni, hogy újrajátszod az eseménysort egy szűrővel, ami vagy kiszűri vagy anonimizálja a felhasználó tevékenységét. Aztán lemásolod az adatbázist egy új eseménysor tárolóba, illetve előállítod a rendszer új állapotát belőle projectionökkel, amiben már nincs benne a felhasználó. Viszonylag bonyolult, de megoldható, ha az ember ezzel akar szórakozni. Az egyedi kulcsos titkosítás ennél jóval bonyolultabb, mert ott meg a felindexeléssel, kereshetőséggel szokott gond lenni. Az indexbe mindenképp bekerülnek a személyes adatok, ha kereshetővé akarjuk tenni őket, pl. név, email, stb. alapú keresés. Max annyit lehet tenni, hogy csak a teljes nevet, email címet fogadjuk el keresési feltételnek, a részeit nem, hashelve is letároljuk, és a hash-eken keresünk ugyanúgy, mint a jelszónál szokás. De ez is nagyon fapados, és általában nem indokolt. Nagyjából most ezek a technikák, amik jónak tűnnek rá. A gyakorlatban úgy tudom nem szoktak ezzel foglalkozni, és nem bírságolják őket, mert általában széttárják a karjukat, hogy technikailag nem megoldható, bár szerintem az lenne, csak jóval több fejlesztést igényelne, ami már nem fér bele, a hatóságok meg nem szokták kikényszeríteni, mert kevés az olyan forgatókönyv, amikor nagy mennyiségű különleges vagy egészségügyi személyes adatot tárolsz valakiről hozzájárulásos jogalappal. Alapból nem szokás komoly rendszer ilyen jogalapra alapozni, pont emiatt, mert bármikor töröltethető az adat. Inkább jogos érdekre szokták, aztán ott meg csinálnak egyedi érdekmérlegelést, aminek általában az az eredménye, hogy a cég érdekei magasabbak. Ritka, amikor hajlandó elmenni a hatósághoz, bírósághoz a delikvens, pláne, hogy a backupokat nem szokták megemlíteni neki, és nem ért hozzá.

Buliban hasznos! =]

Ez igy korrekt.

Nem kotekedesbol megyek bele amugy a gyakorlati reszebe, hanem mert kb naponta szembesulok vele, hogy a tankonyvi implementaciokat kernek szamon rajtunk, amit rendes uzleti korulmenyek kozott senki sem fog megvalositani mert dragabb lefejleszteni mint kifizetni egy birsagot.

Ja, ez is részben üzleti döntés, hogy meg akarunk e felelni. Ha irreálisan drágább lefejleszteni, mint a bírság, akkor a legtöbb cég inkább megkockáztatja a bírságot, aztán csak akkor fejleszti le, ha ténylegesen betalál a hatóság, vagy talán még akkor se nagyon. Vannak gondolom jogi kiskapuk, hogy létrehoznak direkt külön céget ezekre az adatkezelésekre, aztán utána megszüntetik, hogy ne kelljen fizetni, stb. Nem folytam bele annyira.

[ Szerkesztve ]

Buliban hasznos! =]

Nem kell irreálisan drágábbnak lennie a fejlesztés költségének, ahhoz hogy ne érje meg megcsinálni.

Ha lefejleszted akkor az egy garantált (p=1) költség és amíg ezt fejlesztik a devek addig sem új értékesíthető funkciók készülnek, úgyhogy opportunity cost is van. A bírságnak kisebb a valószínűsége (p<1) és a költséget diszkontálva kell nézni, ami azonos nominálköltséggel számítva jelen inflációs környezetben már egy év alatt is sokkal (deviza függvényében ~10-22%) kevesebb mint a fejlesztés ára.

Ja, betenném ezeket is az összefoglalóba, de jogellenes magatartásra nem buzdíthatunk senkit, úgyhogy kimarad. :-)

Buliban hasznos! =]

Hát nemtudom. Maradjunk egy alap mezei Wordpress oldalnál. Arról napi szinten készül egy komplett mentés (fájlszinten, és adatbázis szinten is)
Milyen automatizmus készíthető arra, hogy visszamenőleg kicsomagolja a mentést, az adatbázisból kivegye az adott user adatait, aztán szépen visszcsomagolja. Plusz bonyolítja, ha más adatokat is tartalamz a mentés, pl. feltölt magáról egy fotót avatarnak. Elevel nem biztos hogy jó ötlet a mentésekben utólag ilyen módosításokat eszközölni. Kitudja mikor hol siklik félre az automatizmus.
Arról nem is beszélve, hogy a szerver napló fájljaiban is ott marad a nyoma, kitudja meddig. Milyen IP-ről regisztált, milyen oldalakat hívott le.

Ez egy kicsit szürke zónának tűnik, nem egyértelműen fekete fehér. Pro és kontra is lehet érvelni. Szubjektív hogy éppen ki melyik érvet fogadja el nyomósabbnak.

Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews

Normál Wordpress oldalnál beírod, hogy 2 hétig őrizzük a biztonsági mentéseket az oldal rendelkezésre állásának garantálására. Jogos érdek jogalap, érdekmérlegelés, hogy fontosabb, hogyha belecsap a villlám a szerverbe, akkor meglegyen a biztonsági másolat a helyreállítására, mint hogy a user tülkön ül, hogy mikor töröljük már végre az adatait végleg. Általában elég szokott lenni annyi nekik, hogy online nem hozzáférhető a fiókjuk és a hozzá kapcsolódó adatuk, vagy akár még az is, hogy a hozzászólásaik láthatóak, de a felhasználói nevük és profiljuk már nincs meg. A biztonsági döntéseket is ehhez kell igazítani, ezért van némi összeférhetetlenség az EIV és a DPO tisztségek között. Az IP címeknél azt mondod, hogy x hónap, tulképp amíg a naplóelemzés lezajlik. Itt az üzlet komolyságától is függ, hogy meddig őrizzük, mert sokszor van, hogy egy támadást több hónap alatt építenek fel komolyabb helyek ellen, ott akár évekig is őrizhetőek a naplók. Ezeknél a naplókat kötelező titkosítani, szabályozni, hogy ki férhet hozzájuk, stb. Lehetnek bennük más személyes adatok is. Ezek is általában jogos érdek jogalappal mennek. Állami szerveknél esetleg lehet Ibtv-re és rendeleteire hivatkozni és jogszabályi megfelelés jogalap. Lehet még közfeladat ellátása jogalappal is, de azt már vezeti ki a NAIH 1-2 éve, és jobb szeretik helyette a más jogalapokat.

[ Szerkesztve ]

Buliban hasznos! =]

A backupból visszaállás nem mindennapos esemény, az meg, hogy ez pont egybeesik egy user adattörlési kérelmével kifejezetten edge case. Erre automatizálást írni valószínűleg a legtöbb cégnek ágyúval verébre. A legolcsóbb megoldás, hogy ha minden adattörlési kérelmet eltárolsz egy átmeneti adattárban és ha backupból kell visszaállni akkor a BCP folyamat része, hogy kézzel törli a DBA az érintett user(eke)t.

Ja lehet úgy is, nem muszáj automatizálni, és akkor nem függ a biztonsági mentések kifutási idejétől.

Buliban hasznos! =]

Köszi a válaszokat! Ügyvédelve

Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews

Üdv!
Létezhet az, hogy sms-en keresztül kapok vírust? Pédául egy keyloggert.
Nem az adathalász, átverős linkekre gondolok, hanem arra, hogy konkrétan egy beérkezett sms-el instant megfertőzik a telefonom.

Ha igen, akkor hogyan lehet védekezni ellene? Arra gondolok, hogy csak azoktól engedélyezem az sms fogadását, akiket ismerek. De hogyan lehetne letiltani egy számot, hogy arról egyáltalán ne kapjak semmilyen üzenetet.

Volt hogy már tiltottam, de az app csak szimplán elrejtette előlem az üzenetet, a menüjében a tiltott üzenetek között el tudtam olvasni. Viszont valójában megkapta a telefonom. A sim kártyát nem tudom befolyásolni, igaz?

Figyeltél rám? Vagy azt a piros ruhás nőt nézted?

Igen, évek óta léteznek ilyen terjesztési módok. [link]
Megelőzni nem nagyon lehet, hiszen n+1 helyről kaphatsz SMS-t (azonosító kódok, pizzafutár, ismerős/kolléga, aki nincs a címjegyzékedben...)
Ha nagyon ráparázol, a play store-ben nézz ki egy szimpatikus antivírust. Az ismert "nagy" nevek mind adnak valamilyen SMS védelmez is. Pl.Norton, Eset megoldásainak egyik újdonsága az SMS védelem.

Freeware, és akciós programok egy helyen https://www.facebook.com/freewarenews

Létezhet, pl NSO Group Pegasus zero-click exploittal terjedt iOS-en iMessage-en keresztül, de konkrétan SMS-en keresztüli exploitra én még nem találtam példát. Elméletileg persze létezhet ilyen, pár éve olvastam egy cikket ami azt fejtegette, hogy a baseband modemek tele lehetnek sérülékenységekkel, de az SMS szerintem viszonylag primitív protokoll, úgyhogy korlátozottak a lehetőségek. Arra, hogy sima magánszemélyként ilyet kapj viszonylag alacsony (kb nulla) a valószínüség, ilyen exploitok nation stateknél szoktak lenni és ök meg nem fognak elégetni egy ilyen értékes zero dayt Gipsz Jakab magyar állampolgárra. Annyit lehet tenni, hogy olyan gyártó készülékét veszed aki komolyan veszi a biztonsági frissítéseket és idöben releaseli öket minden készülékre, pl. Google vagy Apple.

cigam: Az általad linkelt malware nem ezen az elven működik. Ahhoz, hogy kompromittálódjon az eszköz user interakció kell.

Tisztelt ügyfelünk tájékoztatjuk, hogy általános szerződési feltételeink módosultak . Üdvözlettel Telekom Pegasus
Évek óta havi szinten szórják ezeket az sms-eket. Ugyan mi változhat benne ilyen gyakran? (Más szolgáltatónál is ez van?) Egyszer komolyan rá kéne venni magam, hogy elolvassam és kövessem a változásokat.
Ha itthon használják a Pegasust (márpedig ez kiderült) szerintem így terjedhet. Lehet hogy nem pont hozzám kerül, de nekem már 5 évvel ezelőtt is gyanús volt ez az állandó ÁSZF módosítás, aztán ezzel a Pegasus botránnyal könnyű volt összekapcsolni.

Ráadásul a kelethez való hajlásunk is ezt támasztja alá. Oroszok mindig is így tartották sakkban egymást is, meg minket is (besúgók, ÁVH stb) meg ott a kínai arcfelismerő pontozásos rendszer. A 30 éve demokratiusan megválasztott fehérorosz elnökkel való párhuzamunk. Teljesen ebbe az irányba tartunk. Durva orwelli világ jön ránk.

Figyeltél rám? Vagy azt a piros ruhás nőt nézted?

Nekem a Yettelnél is elég gyakori az hogy sms-t kapok arról hogy ASZF változás történik, viszont amikor rányomok a linkre ami az sms-ben van, kéri hogy írjam be a telefonszámom és sms-ben küld egy kódot amit vissza kell írni.

Egyébként meg mostanában én is kaptam netflixes meg csomagküldő-s adathalász sms-t, eddig mindet tiltó listára tettem.

[ Szerkesztve ]

De mi a magyarázat erre az évek óta tartó, állandó ÁSZF módosításnak?

Figyeltél rám? Vagy azt a piros ruhás nőt nézted?

Ha jól sejtem ez olyan jogi menstvár is a szolgáltatóknak, ők mindig mindenről ki küldik a tájékoztatást, így ha esetleg jogi vitád lesz velük ők tudják kezeiket mosni.
Lehetséges hogy régebben is volt ennyire Gyakori az ÁSZF módosítás, csak lehet nem volt kötelező róla sms-t küldeni.

Kizártnak tartom. Egyreszt a Pegasus licensz méregdrága (115 000 USD per fo exploittal) nem fog senki se ennyi penzt kidobni random allampolgarok megfigyelesere, meg akkor sem ha kozpenzbol megy. Masreszt minel tobb ilyet kuldesz ki annal nagyobb a valoszinusege, hogy eljut a payload egy security researcherhez aki visszafejti, tovabbkuldi a gyartonak, kihoznak egy patchet es ezzel "elegetik" az exploitot. Harmadreszt ezek celzottan mentek ki olyan tartalommal amire nagy valoszinuseggel rakattint az aldozat, egy ASZF valtozasra szerintem borzasztoan alacsony a clickthrough rate.

LOL.
Halvány fogalmatok sincs róla, hogy ez hogy működik. Nekem van valamennyi, de nyilván nem fogok ilyen információkat megosztani.
Talán annyi hintet adhatok, hogy kiindulásképp érdemes felcsapni a 2003. évi C. törvény 159/A. paragrafusát...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Ja pont emiatt nincs értelme, mert senki sem cseszi el ÁSZF olvasgatásra az idejét.

Buliban hasznos! =]

Ti csináltatok már phising tesztet? Én most próbálok egy okosságot, kíváncsi vagyok hány kolléga fog kattintani.
IT biztonsági tudatossági oktatást fogunk tartani az ügyfeleinknél és a későbbi felmérésre készülök fel.

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

ha 30%-nal kevesebb kattint elsore, akkor az kesz csoda lesz
voltak olyan jol megtervezett tesztjeink, ahol a celkozonseg 60%-a kattintott.

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Ha csak 60% akkor az nem olyan jól megszervezett... :)
Majd ha mindenki...

Még soha nem csináltam ilyet. Kb 1,5 óra volt a terv + kivitelezés, és szerintem nem is sikerült jól a dolog, szerintem nem jó küldőt választottam, nem elég figyelemfelkeltő (vagy csak a kollégák tojnak a felhívásra, esetleg túl biztonság tudatosak elvégre ezzel is foglalkozunk a cégnél). De még várok vele. Inkább csak arra jó ez a mostani a teszt, hogy a kiválasztott eszköz alkalmas-e a feladatra. (Mindenki azt mondta, hogy nem lehet benne ilyet megcsinálni, de szerintem sikerült megoldani.)

[ Szerkesztve ]

Most kezdődjék a tánc! - mondta a papagáj és berepült a ventilátorba.

A célzott adathalászatnál 90% feletti az arány emlékeim szerint, a tömegesnél is általában 50% felett szokott lenni. Érdemes úgy csinálni, hogy felmérés, oktatás, felmérés, így váltogatva, aztán egy idő után beépül. Általában vannak renitens felhasználók, akik nem hajlandóak tanulni, vagy feladják. Olyan 5%.

Buliban hasznos! =]

2018-ban csináltunk ilyet utoljára, célzott adathalászat képében, cca 10. résztvevővel, az egyik nagy energetikai cég megbízásából. 100%-os találati arány volt.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Amúgy a célzott támadás az mindig úgy zajlik hogy előzetes információ gyűjtés történik a delikvensről, pl nyílt forrásból?