Category: Privacy
Driver fingerprinting
When your driving style is as unique as your signature
Perhaps it doesn’t come as a surprise that we all have unique driving styles. My father is a calm, sometimes even slow driver. My mother is more temperamental in her driving ways – always cutting the line where she can (this was a highly useful skill when we were late to school). When I close my eyes, I can immediately tell whether my mother or father is behind the wheel.
But so can anybody – using in-vehicle logs. Turns out that these driving styles can translate to bits and bytes that our in-vehicle sensors record.
Continue reading Driver fingerprintingGépi Tanulás & Személyes Adatok Védelme
Ez a blogposzt az utolsó egy három részes sorozatból mely a gépi tanulás adatvédelmi kockázatairól kíván közérthető nyelven egy átfogó képet nyújtani. Az első egy bevezető volt a gépi tanulás világába, a második a létező támadásokat ölelte át. Ebben a záró részben a lehetséges védekezéseket mutatjuk be.
Continue reading Gépi Tanulás & Személyes Adatok VédelmeGépi Tanulás & Személyes Adatok Támadása
Gépi Tanulás
Ez a blogposzt az első egy három részes sorozatból mely a gépi tanulás adatvédelmi kockázatairól kíván közérthető nyelven egy átfogó képet nyújtani. Ez az első egy bevezető a gépi tanulás világába. A következő a létező támadásokat fogja átölelni, míg az utolsó záró rész a lehetséges védekezéseket mutatja majd be.
Interdependent privacy in effect: the collateral damage of third-party apps on Facebook
by Iraklis Symeonidis, COSIC, KU Leuven
and Gergely Biczók, CrySyS Lab, BME
Recent technological advancements have enabled the collection of large amounts of personal data at an ever-increasing rate. Data analytics companies such as Cambridge Analytica (CA) and Palantir can collect rich information about individuals’ everyday lives and habits from big data-silos, enabling profiling and micro-targeting of individuals such as in the case of political elections or predictive policing. As it has been reported at several major news outlets already in 2015, approximately 50 million Facebook (FB) profiles have been harvested by Aleksandr Kogan’s app, “thisisyourdigitallife”, through his company Global Science Research (GSR) in collaboration with CA. This data has been used to draw a detailed psychological profile for every person affected, which in turn enabled CA to target them with personalized political ads potentially affecting the outcome of the 2016 US presidential elections. Whether CA used similar techniques at the time of the Brexit vote, elections in Kenya and an undisclosed Eastern European country (and several other countries) is under investigation. Both Kogan and CA deny allegations and say they have complied regulations and acted in good faith.
This blog post does not take sides in this debate, rather, it provides technical insight into the data collection mechanism, namely collateral information collection, that has enabled harvesting the FB profiles of the friends of app users. In this context, the term collateral damage refers to the privacy loss these friends suffer. In a larger nexus, this issue is part of interdependent privacy when your privacy depends unavoidably on the actions of others (in this case, your friends). Continue reading Interdependent privacy in effect: the collateral damage of third-party apps on Facebook
Az aggregált adat és a GDPR
Az előző posztban megnéztük hogyan definiálja a GDPR a személyes adat fogalmát és mi számít személyes adatnak a definíció szerint.
Ebben a posztban egy mérnöki (és talán jogi) szempontból jóval izgalmasabb kérdést vizsgálunk: Személyes adatnak minősülhet-e az aggregált/statisztikai adat?
A személyes adat és a GDPR
Ebben a posztban először áttekintjük a személyes adat fogalmát példákkal illusztrálva, ahogyan azt a 2018. május 25-én érvénybe lépő új európai adatvédelmi rendelet (GDPR) definiálja. A GDPR kötelezettségei bárkire vonatkoznak, aki európai uniós polgár személyes adatát tárolja vagy dolgozza fel (függetlenül ezek helyétől), és a kötelezettségek mulasztása jelentős anyagi és jogi következményekkel járhat. Viszont az adat személyes jellegének megítélése korántsem könnyű, amit különböző példákkal is szemléltetünk. Megmutatjuk, hogy egy Budapest nagyságú városban a tömegközlekedést használó emberek által meglátogatott állomások listája egyedi, és kevesebb mint 5 állomás ismerete elég ahhoz, hogy egy ilyen adatbázisban bárki azonosítson egy utast. Más szavakkal kizárólag az állomások listája utasonként (név, cím, stb. nélkül) jó eséllyel személyes adatnak minősül. A probléma aktualitását a közeljövőben Budapesten is bevezetésre kerülő elektronikus jegyrendszer adja, ami lehetővé teszi az utasok által meglátogatott állomások rögzítését.
Hungarian passwords in the Adobe leaked password list
This article reflects results of joint work with Ukatemi guys.
(A magyar nyelvű változat az angol után található.)
Adobe was compromised this September. Stolen data was first found in September and disclosed in early October by Brian Krebs. Later on, some 10 days ago somebody has leaked a 9GB (uncompressed) authentication database stolen from Adobe.
The database was analyzed recently based on the properties of the encryption scheme.
http://stricture-group.com/files/adobe-top100.txt contains the results of the analysis: the top 100 frequently used encrypted passworts and the most probable guesses for the raw password.
Press write-up is also available on the research: http://www.zdnet.com/just-how-bad-are-the-top-100-passwords-from-the-adobe-hack-hint-think-really-really-bad-7000022782/
We were however curious about the passwords chosen by Hungarians. In the Adobe leak, there are 209 125 email addresses with .hu CCTLD domain name. By the same way how the previous research was carried out, we created a list of most frequent passwords among this 200 thousands of users and tried to pinpoint the most likely cleartext password based on the password hint information and email addresses.
Note, however, that due to the much smaller corpus (200k instead of 154M accounts), we had much lower number of password hints, and thus the confidence of our results is lower.
In the table below, we show the frequency, how many times a password was used in the .hu corpus, and for comparison, we also show the frequency in the full database. If a password is often used in the whole database, then it is most likely not a specific hungarian word, but some internationally known word,phrase or code. In addition to the most likely password, we give secondary ideas in cases where we are not confident enough, and some information about the meaning of the specific word, if it relates to Hungarian language or culture.
Ezév szeptemberében vették észre, hogy valamilyen ismeretlen csoport feltörte a világszerte ismert Adobe szoftvergyártót (többek között az Acrobat Reader, Photoshop és Flash Player gyártóját), és elloptak a cégtől forráskódokat valamint nagyméretű felhasználói adatokat tartalmazó adatbázisokat. Október elején került napvilágra az adatlopás ténye, és október végén hírek kaptak napvilágra arról, hogy a cég 154 millió felhasználójának adatai is napvilágra kerültek. Pár nappal később egyre több helyen volt elérhető ez az ellopott 9GB méretű információhalmaz. Az adatok tartalmazzák a felhasználók e-mail címeit, kódolt jelszavát és ún. jelszó-tanácsát is. A kódolt jelszó egy szimmetrikus rejtjelezővel, egy erősnek számító 3DES algoritmussal van rejtjelezve, a jelszó-tanács egy védelem nélküli szöveg.
A rejtjelezett jelszót kulcs nélkül nem lehet dekódolni, és a kulcs egyelőre nem szivárgott ki. Ezért a jelszavak elvileg nem feltörhetőek. Sajnos azonban az iparági gyakorlattól eltérően a tárolási mód sérülékenységeket rejt magában. A rejtjelezett kulcsok nem salt-oltak és ECB módban “IV” nélkül rejtejelezettek. Ezek a szakkifejezések azt mondják ki: ha két felhasználónak azonos a jelszava, akkor a rejtjelezett párjuk is azonos.
Ez pedig gond. Sok felhasználó esetén sokan használnak azonos jelszót. Ha két felhasználó azonos jelszót használ, akkor a kódolt jelszavuk is azonos lesz. Ha találunk két felhasználót, akiknek azonos a kódolt jelszavuk, és az egyik a jelszó-tanács mezőben az írja, hogy “A jelszó három a betű és az 12 számsor”, akkor nagy valószínűséggel tudjuk, hogy a másik felhasználónak is aaa12 a jelszava. Nincs lehetőségünk a teljes bizonyosság megszerzésére, tehát ez a trükk főleg olyan jelszavakra működik, ahol a jelszavakat sokan használják és sok a jelszó-tanács (password hint) is.
Ennek megfelelően külföldön már pár napja publikáltak egy listát a leggyakoribb 100 rejtelezett jelszóról és annak megfejtett párjairól. A .hu domain névvvel regisztrált email című felhasználók száma meghaladja a 200 000 elemet a listában, közösen az Ukatemi startup cégünk embereivel azt vizsgáltuk meg, hogy mik a magyar jelszóválasztási szokások, és hogyan illeszkednek a nemzetközi környezethez.
Az alábbi listában megtekinthető a magyarok (.hu email) által leggyakrabban használt jelszavak kódolt változata, a darabszám, ahányszor .hu domainről használták, a darabszám, ahányszor nemzetközileg használták (ez is érdekes lehet, hisz vannak magyarok .com cím alatt is, és vannak jelszavak, amik nemzetközi szinten is használatosak). Feltűntettük a legvalósznűbb becslésünket a jelszóra (ami nem biztos, mert nem ellenőrizhető jogszerűen), és a tippjeinket, ha a legbiztosabb ötlet nem igaz. A külföldiek számára kis értelmezést is elhelyeztünk a jelszó jelentéséről.
Összesen csak kb. 3 jelszó esetén nem volt elég adat a nagyjából biztonságos azonosításra, ezeknél valamilyen okból senki, vagy szinte senki nem jelölt meg jelszó-emlékeztetőt.
Érdekességek:
- Sok citromail.hu felhasználó jelszava “citrom” – nem túl kreatív és veszélyes
- Sok jelszó-tanács nagyon egyszerű ” a van ellentéte” “nem narancs” “A tudom ellentéte”
- Sok tanács kiad plusz információt “Ugyanaz, mint az xy@z.hu címemen” – ez külön segítség, hogy mit támadhatunk meg még a jelszóval.
“Mint mindenhol” – ez is egyértelműen gond, nemcsak, hogy ugyanazt a jelszót használja a felhasználó, de még segíti is a támadót, hogy továbbmenjen. - Sok felhasználó “nevem” “barátnő neve” “második nevem” szöveget írt, mondván, esetleg az email címéből ez nem következik. Ugyanakkor, a többi azonos jelszót
használó felhasználónak elég egy szempillantást venni az email címeire, és triviális, hogy ha 20 emberből 10-nek csilla szerepel a címében, akkor a jelszó csilla, vagy annak becézése lesz. És innentől egy vadidegenről azt is tudhatjuk, hogy mi a neve, barátnője neve, második neve stb., ami segítség ún. social engineering támadásokhoz is.
FRISSÍTÉS: Találtunk pár apróbb hibát, ezeket “FIXED” felirattal javítjuk
Mintaként nézzük meg a következő rövidített listát (lecseréltük X-re a nem releváns részeket):
115103118-|--|-XXcsilla@XXX.hu-|-8Nd+cNdQ360=-|-nevem|--
62657676-|--|-nonXX@XXXXX.hu-|-8Nd+cNdQ360=-|-|--
100898317-|--|-Xcsilla2@XXXX.hu-|-8Nd+cNdQ360=-|-name|--
121149457-|--|-XXcsilla@XXXX.hu-|-8Nd+cNdQ360=-|-nevem|--
123756555-|--|-barXXXX@XXXX.hu-|-8Nd+cNdQ360=-|-kind|--
153339366-|--|-slXXX@XXX.hu-|-8Nd+cNdQ360=-|-Asszony|--
114565459-|--|-zsolt.XXXX@XXX.hu-|-8Nd+cNdQ360=-|-kislanyom|--
63691377-|--|-X_csilla@XXXX.hu-|-8Nd+cNdQ360=-|-|--
66609165-|--|-archer.XXX@XXX.hu-|-8Nd+cNdQ360=-|-|--
67272237-|--|-ylvXXX@XXXXX.hu-|-8Nd+cNdQ360=-|-|--
74715082-|--|-lindusXX@XXXXX.hu-|-8Nd+cNdQ360=-|-nevem|--
174992278-|--|-fXXXX.csilla@XXX.hu-|-8Nd+cNdQ360=-|-|--
177821115-|--|-putirXXXX@XXX.hu-|-8Nd+cNdQ360=-|-|--
183285417-|--|-kXXX.csilla@XXX.hu-|-8Nd+cNdQ360=-|-|--
96471297-|--|-csillapXXX@XXX.hu-|-8Nd+cNdQ360=-|-|--
69058043-|--|-csillalXXX@XXX.hu-|-8Nd+cNdQ360=-|-|--
A “nevem” “name” “Asszony” és “kislanyom” alapján egyértelmű, hogy egy női nevet keresünk. Ezután pedig elég ránézni az e-mail címek listájára, hogy észrevegyük mennyire sok “csilla” szerepel rajta. Persze tévedhetünk, hiszen van egy “lindus” email című is, de a “csilla” elsöprő többségben van.
A jelszavak listájából látszik, hogy nagy az átfedés a nemzetközileg is használt jelszavakkal pl. “123456”, de vannak lokálisak is “szerelem”. A legtöbb jelszó továbbra is név vagy becenév, alig van ettől eltérő az első százban. Tanács: Sose használjuk emberek neveit, beceneveit, vagy azok módosításait, mert ezek a leggyakoribbak. Legyünk kreatívabbak, még mindig igaz, hogy a cseresznye151pok sokkalta biztonságosabb, mint a kr1sztinaIloveyou. A legjobb, ha valami generátorral készítünk jelszavakat, ezek sem tudnak csodát tenni, de egy DooYee7goe5EeFa nagyon erős. Összehasonlíthatatlanul erősebb az eddigi vicces példáknál.
Összegezve:
A helyzet tehát az, hogy aki regisztrált az Adobe-nál bármilyen okból, és a jelszavát máshol is használta, azonnal jelszót kell változtatnia a többi helyen.
| Rank | No. in .hu | No. in all | Encrypted PW | Most likely password | Is it in top100/english? | remarks, other guesses |
| 1 | 3191 | 1911938 | EQ7fIpT7i/Q= | 123456 | Y | |
| 2 | 525 | 932 | pbn7wO3zb+8= | jelszo | password in hungarian | |
| 3 | 461 | 43497 | 4V+mGczxDEA= | 12345 | Y | |
| 4 | 394 | 446162 | j9p+HwtWWT86aMjgZFLzYg== | 123456789 | Y | |
| 5 | 348 | 13401 | uQM9dmQq8vE= | qwertz | hungarian keyboard layout has y=z | |
| 6 | 337 | 345834 | L8qbAD3jl3jioxG6CatHBw== | password | Y | |
| 7 | 289 | 201580 | j9p+HwtWWT/ioxG6CatHBw== | 12345678 | Y | |
| 8 | 273 | 31555 | dA8D8OYD55E= | asdfgh | Y | |
| 9 | 248 | 113884 | 7LqYzKVeq8I= | 111111 | Y | |
| 10 | 214 | 76187 | diQ+ie23vAA= | 000000 | Y | |
| 11 | 213 | 44282 | xz6PIeGzr6g= | aaaaaa | Y | |
| 12 | 209 | 54651 | WqflwJFYW3+PszVFZo1Ggg== | macromedia | Y | |
| 13 | 202 | 20961 | WlMTLimQ5b4= | asdasd | Y | |
| 14 | 201 | 61453 | ukxzEcXU6Pw= | 1234 | Y | |
| 15 | 189 | 320 | q1A6iHNzTFg= | valami | something in hungarian | |
| 16 | 186 | 313 | MWv89Ddd99M= | piglet | ||
| 17 | 176 | 1467 | 3zV1jrgwEro= | attila | hungarian male name | |
| 18 | 175 | 284 | MiWs/2HM40w= | lacika | hungarian male name | |
| 19 | 173 | 124253 | dQi0asWPYvQ= | 1234567 | Y | |
| 20 | 153 | 37407 | yp2KLbBiQXs= | 666666 | Y | |
| 21 | 151 | 274 | z5rLiwD12co= | almafa | appletree in hungarian | |
| 22 | 150 | 260 | N4+iUEuZbPw= | cica | cat in hungarian | |
| 23 | 137 | 214 | MAEvnIZOuSk= | peti | peter in short | |
| 24 | 135 | 6662 | uIMAMQyXI/g= | something international, 6600 hits | ||
| 25 | 134 | 239 | dvqulUaGiQg= | zolika | zoltan in short, male name | |
| 26 | 126 | 273 | AhfBRgIzdos= | tamas | maybe tomi tomika, male name | |
| 27 | 125 | 294 | W/jzwDNnaOw= | lofasz | should be censored | |
| 28 | 124 | 367 | MSycWzt2SLPqvJr9l/X59g== | szerelem | love in hungarian | |
| 29 | 123 | 220 | rA3xnflDDXI= | esztike | maybe eszter, hungarian female name | |
| 30 | 119 | 83411 | PMDTbP0LZxu03SwrFUvYGA== | photoshop | Y | |
| 31 | 118 | 13044 | upIXKNY/ZKY= | xxxxxx | ||
| 32 | 116 | 234 | zjrHRH4etC0= | macika | maybe maci, stands for bear or teddy | |
| 33 | 107 | 234 | m0/4nMkmJyM= | gabi | maybe gabika, female or male name in short | |
| 34 | 106 | 15910 | e21tszGBy4k= | matrix | Y | |
| 35 | 104 | 187 | P9f9Bgw46Hk= | nincs | means it does not exist | |
| 36 | 102 | 194 | zwakdT5tFhk= | titok | secret in hungarian | |
| 37 | 100 | 192 | /jNYdvynVr0= | csillag | star in hungarian | |
| 38 | 100 | 1162 | +bZCz+Mm7WHioxG6CatHBw== | budapest | capital of Hungary | |
| 39 | 97 | 235 | iqVZniq2Z6fioxG6CatHBw== | cicamica | like pussycat | |
| 40 | 97 | 443 | bDjmWzVDGMo= | dani | male name in short | |
| 41 | 97 | 17989 | NtCzq/i0Ffc= | abc | Y | |
| 42 | 95 | 9014 | LEdwuvBMkVzioxG6CatHBw== | garfield | ||
| 43 | 92 | 16374 | QSay9kzQVz8= | samsung | Y | |
| 44 | 92 | 155 | FClbZZD1l1A= | FIXED: nemtom | I dunno in short | |
| 45 | 91 | 149 | Xe2T3yCUsCc= | balazs | maybe balu, balika | |
| 46 | 90 | 155 | lwXlGk4RTzc= | mazsola | kind name | |
| 47 | 89 | 247 | D0B1TLHoZoTioxG6CatHBw== | szeretet | love (one version) in hungarian | |
| 48 | 88 | 197 | Yg/0iyYFi+A= | janika | male name in short | |
| 49 | 86 | 12160 | rkyaRFa+eak= | qwe123 | ||
| 50 | 86 | 421 | FvWPZ2OI8V0= | tigris | maybe tigris1 | |
| 51 | 84 | 17176 | oa/GBGqIApo= | killer | Y | |
| 52 | 84 | 4540 | TYrTfuuBGm0= | monika | female name in short | |
| 53 | 83 | 142 | p6kbkduAMhPioxG6CatHBw== | FIXED: macilaci/TD> | Yogi Bear | |
| 54 | 82 | 153 | iolWV4U4baM= | madar | bird in hungarian | |
| 55 | 81 | 131 | TiMyOmRnnYk= | mokus | second guess: manoka mokus is for squirrel | |
| 56 | 80 | 214 | ugYjb/7SO9DioxG6CatHBw== | FIXED: nemtudom | “I don’t know” | |
| 57 | 79 | 11707 | rNhveK0RH5Q= | ferrari | ||
| 58 | 79 | 1267 | ghZhzPTEyrU= | viktor | ||
| 59 | 79 | 6920 | QkLIDf6naxw= | no hint, strange | ||
| 60 | 78 | 27387 | XpDlpOQzTSE= | 121212 | Y | |
| 61 | 78 | 4829 | XWs+3joEULU= | 0123456 | maybe 012345 | |
| 62 | 76 | 18049 | b5LJqTmQmvQ= | 555555 | Y | |
| 63 | 74 | 377 | syBP2PbOprLioxG6CatHBw== | FIXED: freemail | ||
| 64 | 73 | 9787 | C6fdPcrsYlU= | 123asd | or asd123 | |
| 65 | 72 | 20572 | ueE89xIj8RTioxG6CatHBw== | internet | Y | |
| 66 | 72 | 17454 | MEXwK6GOWHk= | andrea | Y | |
| 67 | 72 | 130832 | 5djv7ZCI2ws= | qwerty | Y | |
| 68 | 71 | 7991 | E3P4TkKmrIE= | no hint, strange | ||
| 69 | 70 | 82694 | e6MPXQ5G6a8= | 123123 | Y | |
| 70 | 70 | 43673 | Ypsmk6AXQTk= | 654321 | Y | |
| 71 | 69 | 111 | WHnoclxstks= | some woman’s name, bea, betti, zsuzsa or monika are most likely | ||
| 72 | 69 | 3246 | SSCHXSLigpo= | roland | ||
| 73 | 69 | 2618 | I+sy2I0+oHg= | delfin | ||
| 74 | 69 | 230 | 2e2bx0WPm8o= | andi | ||
| 75 | 68 | 10742 | ewOK16tiXAs= | enimem | ||
| 76 | 68 | 22103 | OrzNCxMfwrw= | fdsa | Y | |
| 77 | 68 | 139 | 8Nd+cNdQ360= | csilla | hungarian female name | |
| 78 | 66 | 959 | remGyraE2+rioxG6CatHBw== | viktoria | hungarian female name | |
| 79 | 66 | 5213 | SVXt5Rlot1U= | clever | or something related to iq, cleverness, and a brand of computer mouse | |
| 80 | 66 | 16177 | F9nqBYx2LhA= | asdfghj | Y | |
| 81 | 66 | 13531 | DuMurYI43dU= | blabla | blahblah in hungarian | |
| 82 | 65 | 737 | vEldih7WrfY= | vivien | female name | |
| 83 | 65 | 129 | o2D+z1QYuHo= | FIXED: nyuszi | bunny in hugarian | |
| 84 | 65 | 7070 | U1yPApWcaOA= | barbara | female name | |
| 85 | 63 | 27856 | pTkQrKZ/JYM= | dragon | Y | |
| 86 | 62 | 128 | vQGGxx87Fyk= | levente | male name | |
| 87 | 62 | 95 | 7DOklOXTFPo= | zsolesz | or other forms of zsolt, like zsolti | |
| 88 | 61 | 70795 | kCcUSCmonEA= | abc123 | Y | |
| 89 | 61 | 81 | gkfBa7HrOnY= | citrom | funny, many “citromail.hu” users chose that, hungarian: lemon | |
| 90 | 61 | 15805 | fbO2Wx232qY= | secret | Y | |
| 91 | 60 | 102 | kiQXbvrKbiA= | robi | or robert, robby, roby, or similar | |
| 92 | 60 | 88 | GsQ/41R7pXw= | FIXED: kriszti | female name | |
| 93 | 60 | 194 | /EoAhM0rWA8= | kata | maybe katalin, kati, female name | |
| 94 | 59 | 179 | mkRrr6/R2oE= | richard | ||
| 95 | 59 | 14159 | PwB5ue3qkgs= | oliver | ||
| 96 | 59 | 181 | Kt3DWt8h3tg= | ildiko | hungarian female name | |
| 97 | 57 | 6734 | u57swGYZlf/ioxG6CatHBw== | juventus | ||
| 98 | 57 | 146 | MoedSZDdCmk= | zsuzsi | or zsuzsanna, hungarian name like suzy | |
| 99 | 56 | 20022 | ziypr2hyamc= | 123qwe | Y | |
| 100 | 56 | 97 | pp3j26xZbvTioxG6CatHBw== | kiskacsa | stands for duck in hungarian. fix: kacsa->kiskacsa “small duck” | |
| 101 | 56 | P2x/N9v5UaM= | melinda | female name in short |
Edited by: Boldizsar Bencsath