Internet Explorer / XML External Entity Injection 0day

Internet Explorer is vulnerable to XML External Entity attack if a user opens a specially crafted .MHT file locally. This can allow remote attackers to potentially exfiltrate Local files and conduct remote reconnaissance on locally installed Program version information. Example, a request for “c:\Python27\NEWS.txt” can return version information for that program.

GDPR – Le prime sanzioni

A distanza di quasi un anno possiamo “finalmente” valutare le prime sanzioni amministrative applicate in funzione del nuovo regolamento europeo per la protezione dei dati.
Quest’affermazione può sembrare di cattivo gusto, ma per chi opera nel settore della protezione dei dati è un passo molto importante perché si iniziano a delineare le modalità di valutazione sugli importi delle sanzioni. Ricordiamo che il regolamento non ha una forbice ben delineata, ma va da zero a dei massimali a differenza di tutte le altre normative, nelle quali siamo abituati ad un importo minimo e un massimo, ed eventualmente delle aggravanti. Quindi è spesso possibile calcolare in Euro il proprio rischio di inadempienza.
Il nuovo Regolamento Europeo viene disciplinato diversamente.

Abbiamo selezionato tre casi, molto interessanti.

Continua a leggere

Sanzioni e GDPR

Il nuovo regolamento per la protezione dei dati, il GDPR 679/2016, ha stabilito sanzioni amministrative particolarmente pesanti in modo da dissuadere eventuali violazioni.

Formalmente possiamo avere due livelli di gravità con relative sanzioni, il primo che individua le sanzioni legate a violazioni di lieve entità che prevedono una sanzione fino a 10 milioni e, nel caso di gruppi societari, fino al 2% del fatturato mondiale annuo;

Continua a leggere

Insider Threat – Minacciati dall’interno

Uno dei fattori principali da ricercare come causa dei data breach, ovvero le fughe o perdite di dati, è l'intervento volontario o intenzionale dei dipendenti stessi dell'azienda.
Il fenomeno è definito minaccia interna o insider Threat.
Possiamo trovarci fronte ad un danno accidentale o intenzionale, come un ex dipendente scontento o uno ancora operativo, capace di agire indisturbato durante l'orario lavorativo.

Continua a leggere

La formazione: ancora mal vista e poco accettata

La formazione è purtroppo a volte percepita come un obbligo, ma soprattutto un costo da parte delle imprese.

In quali casi questo è vero? Generalmente questo accade nei casi in cui il percorso formativo non nasce da esigenze dell’impresa ma semplicemente dal doversi adeguare a novità e obblighi normativi. Ed è qui che casca l’asino.

Continua a leggere

Le violazioni informatiche sono causate dalla cattiva formazione del personale?

Le violazioni informatiche a danno dei dati personali sono da ricercare in una scarsa formazione del personale interno, siano questi tecnici o operatori che dirigenti o responsabili d’area.

Questo non vuol dire che il personale aziendale sia infedele o sia portato a danneggiare l’azienda, ma solamente che molto spesso non si segue il principio di formazione costante dei propri lavoratori.

Continua a leggere

Data Breach: la parola chiave è la formazione

Le violazioni dei dati sono un problema e pericolo reale per le aziende, in quanto mettono a repentaglio i dati degli interessati che avevano dato l’autorizzazione al trattamento.

Tali attività creano danni sia d’immagine che in alcuni casi economici in quanto le sanzioni previste sono alte e in alcuni casi legate al fatturato aziendale. Dopo questa premessa terrificante, vediamo il come e i perché si verifichino i data breach.

Continua a leggere

Data Breach: tutto ciò che devi sapere

Cos’è il Data Breach?

Possiamo definire il Data Breach come un “incidente”, un fatto accidentale e non prevedibile secondo la normativa del Regolamento Europeo.
La prevenzione è insita nella stesura della normativa, ma è stato considerata la possibilità di interventi esterni accidentali che comportano la perdita, la compromissione, la violazione e la divulgazione involontaria dei dati.
La comunicazione del caso di violazione deve essere indirizzata e comunicata al Garante della Privacy entro 72 ore dalla consapevolezza di quanto accaduto.

Continua a leggere
>