Говорим про сбой платежных терминалов в Германии, неочевидную уязвимость облака и статьи в Wiki, которые почти никто не читает. В предыдущих сериях.
Cash Only
В конце мая такая табличка появилась на кассах 60 тыс. немецких магазинов и автозаправочных станций. Торговые точки перестали принимать банковские карты из-за сбоя в платежном терминале Verifone H5000. Проблему устраняли целую неделю. Специалисты по информационной безопасности предположили, что виноваты хакеры. Другие посчитали, что проблема связана с просроченным сертификатом безопасности для идентификации платежных терминалов. Однако обе теории не подтвердились — произошла ошибка при обновлении ПО.
В целом сбой не вызвал особых неудобств у жителей страны. Несмотря на активную цифровизацию банковской системы, многие немцы по-прежнему предпочитают платить наличкой — купюрами и монетами оплачивают 37% покупок. Для сравнения, доля банковских карт не превышает 29%. В тех государствах, где наличность абсолютно непопулярна, настолько масштабный сбой привел бы к более серьезным последствиям. Например, в Норвегии бумажные деньги использует всего 4% населения. Там в середине мая перестали работать практически все платежные терминалы. Хорошо, что проблему устранили в течение дня, но очереди к банкоматам были.
Если говорить о нашей стране, то в декабре 2021-го безналичный способ оплаты предпочитали 45% россиян. С начала года доля расплачивающихся наличными уже выросла с 25 до 30%.
Туча в облаках
В прошлом году группа инженеров из Wiz Research рассказала, что провайдер облачной инфраструктуры Azure автоматически устанавливал на виртуальные машины клиентов агент Open Management Infrastructure (OMI). Он нужен для управления IT-инфраструктурой, однако пользователей об этом не предупреждали. Все было бы не так плохо, если бы не два момента. Агент имел уязвимости, разрешающие удаленное выполнение кода, плюс — его нельзя было «пропатчить» в автоматическом режиме — агента должны были обновить клиенты облачного провайдера, которые могли не знать о его существовании.
Недавно в рамках мероприятия RSA Conference 2022 ИБ-специалисты заявили, что практике «невидимых агентов» следуют все крупные облачные провайдеры. Это вызывает определённые опасения с точки зрения информационной безопасности, так как открывает новые векторы атак на облачную инфраструктуру, о которых клиенты провайдеров могут и не подозревать. Чтобы как-то повлиять на ситуацию, инженеры оформили тематическую страничку на GitHub, где собрали информацию об известных агентах.
А ты точно брокер данных?
В США работает брокер данных Securus, который собирает геометки абонентов сотовых операторов. Систему используют правоохранительные органы для поимки преступников. На прошлой неделе полицейского из Техаса обвинили в превышении должностных полномочий. Он использовал сервис в личных целях для слежки за знакомыми ему людьми. Более того, он подделал признание пострадавшего, якобы тот сам предоставил доступ к информации.
Вообще, в США брокеров данных регулярно обвиняют в продаже информации о местоположении смартфонов без согласия самих физлиц. Она часто попадает в руки третьей стороне — например, частным детективам, которые не могут получить её официально. Деятельность брокеров находится в серой зоне, и многие телекомы добровольно отказываются с ними сотрудничать. Отдельные штаты принимают законы, обязывающие «сборщиков геолокации» проходить ежегодную сертификацию. Но в начале года вопросом занялись на федеральном уровне. Сенаторы предложили внедрить аналог GDPR и CCPA для брокеров данных. Граждане получат право требовать от брокеров удалить информацию о местоположении и устанавливать запрет на её сбор (будет сформирован своеобразный do not track list). В теории инициатива серьезно затруднит работу брокеров, но отразится и на полиции. Плюс — станет еще одним шагом по отходу запада от общих принципов работы с данными в Европе и не только.
На самом дне Wiki
Программист Колин Моррис решил найти англоязычные материалы «Википедии» с наименьшим числом просмотров. Данные о метриках Wiki-страничек лежат в открытом доступе, но в сыром виде. Это — огромный свод информации, в котором нет простого способа отсортировать публикации по числу просмотров.
Чтобы облегчить задачу, исследователь взял выборку на основе данных за 2021 год. Построив графики, он вычленил материалы, получающие по одному прочтению в месяц. Автор предположил, что это происходит благодаря кнопке «Случайная статья». Значительная часть «глубинных» материалов посвящена различным видам насекомых (erygia sigillata, trichromia phaeocrota, opharus corticea), политикам и географическим объектам (например, вот гора в Баварии), однако они плохо оформлены. В большинстве случаев на них расписаны два-три предложения. Некоторые публикации сделаны в начале нулевых, когда требования к оформлению были не такими строгими. Так, материал о EuroNanoForum 2003 года, выглядит как стена текста.
Исследование Колина Морриса опубликовали на Hacker News, и оно быстро привлекло внимание резидентов площадки. Вероятно, инженеру придется пересмотреть данные, — никому не интересные статьи на Wiki получили дополнительные просмотры. Парадокс интересных чисел воплотился в жизнь. Он гласит, что не существует скучных натуральных чисел, так как сама попытка найти его делает число интересным.
Чтобы поддержать, подписывайтесь в профиле. Что еще у меня есть на хабре и в телеге: