Немецкая газета запустила приложение для анонимного приема "утечек информации"

Немецкая газета Die Zeit выпустила специальное приложение для защиты анонимных информаторов, которые присылают документы для публикации в СМИ. Веб-приложение Briefkasten (нем. "почтовый ящик") устанавливается на сервер с SSL и обеспечивает анонимную отправку документов, сообщает ХАКЕР.ру.

Эта разработка является своеобразной альтернативой Wikileaks в качестве платформы для публикации документов, тем более что в Wikileaks долго обещали, но так и не смогли выпустить защищенную платформу подобного уровня.

Главный редактор сайта Die Zeit Online рассказал, что они разработали безопасную платформу приема сообщений, чтобы все желающие могли анонимно присылать документы для использования в журналистских расследованиях: внутренние документы компаний, контракты, базы данных и т.д. — все то, о чем должна знать общественность, по мнению источника.

Вполне возможно, что в будущем похожие "анонимные почтовые ящики" появятся у других изданий и даже, хочется надеяться, станут стандартной частью любого СМИ.

Как это работает

На специальной странице сайта газеты программа Briefkasten принимает сообщения и файлы, потом автоматически очищает принятое от мета-данных, которые могут идентифицировать источник информации. Например, в файлах JPEG стираются заголовки EXIF с GPS-координатами и моделью фотоаппарата, из PDF убирается информация об авторе, из документов Word — история правок и т.д.

Файлы шифруются с помощью GPG и отправляются по заранее установленному списку почтовых адресов. Оригинальные (потенциально "грязные") файлы удаляются с сервера при получении, так что доступ к ним не может получить даже админ, не говоря уже о правоохранительных органах, желающих установить источник информации.

Чтобы злоумышленники не подменили сертификат SSL-сервера, его хэш регулярно публикуется в печатном издании газеты Zeit.

После закачки документов на сервер источник информации получает уникальный URL и токен, по которому он может залогиниться на сайте и посмотреть сообщения, присланные для него с тех адресов, на которые он отправил документы. Эти комментарии — единственная информация, которая постоянно хранится на сервере.

После инцидента с утечкой адресов пользователей Dropbox вводит двухфакторную авторизацию

Компания Dropbox раскрыла подробности кражи паролей "некоторых пользователей" своего сервиса хранения файлов и объявила о введении двухфакторной авторизации использованием мобильных устройств. Новая система входа заработает в течение двух недель, сообщает ХАКЕР.ру.

Кроме двухфакторной аутентификации, внедряются такие меры защиты, как:

— новая страница с указанием активности пользователя, IP-адресами и временем последних случаев входа в аккаунт;

— новые автоматизированные механизмы выявления подозрительной активности;

— принудительная смена пароля пользователя при определенных условиях (например, если он долго не менялся).

Для расследования недавнего инцидента компания привлекла независимых экспертов по информационной безопасности, которые и помогли восстановить полную картину происшедшего, сообщается в блоге Dropbox.

Выяснилось, что имена и пароли пользователей Dropbox были украдены со сторонних сайтов и затем использованы для входа в "небольшое число" аккаунтов файлохранилища. Один из украденных паролей принадлежал сотруднику Dropbox.

Через его учетную запись злоумышленники получили доступ к списку адресов электронной почты пользователей сервиса, после чего от пользователей Dropbox в середине июля начали поступать сообщения о всплеске спам-рассылок.

Компания не сообщает о точном числе аккаунтов, пароли от которых были украдены, однако уверяет, что связалась со всеми пользователями, чьи адреса были украдены, и помогла им защитить учетные записи.