Személyes és üzleti adataink digitális biztonsága

Adatvédelem & Informatikai biztonság

Tehetetlenek vagyunk az adathalászokkal szemben?

2017. május 09. - ITsec

Forrás: 2016. augusztus 21. vasárnap - 18:01 / piacesprofit.hu

http://www.piacesprofit.hu/infokom/a-fogyasztok-tehetetlenek/

Mindannyian vásárolunk a neten, bankkártyáink adatait vállalkozások tucatjai, sőt akár százai is őrzik adatbázisaikban. Ezekre vadásznak a hekkerek. Egy biztonsági szakértő szabadidejében cégek biztonsági hézagjait kutatja: szerint nem az a legnagyobb veszély hogy ellopják az adatainkat.

Az adatlopás furcsa kifejezés. Lopni általában elszoktak valamit, amivel megfosztják előző tulajdonosát a szóban forgó dologtól. Az adat viszont megosztható. Birtoklása tehát szimultán történik, de ha ellopják a vásárló adatát, attól még a vásárló és a cég is, ahol vásárolt, rendelkezni fog az adattal, de, nem kívánatos módon, egy harmadik fél is.

Kibertámadási térkép. Valós időben mutatja. (fotó: flickr)

Kibertámadási térkép. Valós időben mutatja.
(fotó: flickr)

A közelmúlt adatlopási botrányaiból kimagaslott négy:

  • Systema Software: 1,5 millió amerikai fogyasztó adatait tették nyilvánossá. Az esetben az volt különösen kínos, hogy az ügyfelek gyógyszertesztjeiről és peres követeléseiről szóló információkra, orvosaik jegyzeteire és a betegek TB-számaira is fény derült, köztük 200 000 kiskorú adatai is kiszivárogtak.
  • Mexikó: áprilisban 87 millió mexikói szavazó adatait tartalmazó adatbázisról szedték le a titkosítást. Ez is szabadon hozzáférhetővé vált. Júniusban egy “terroristákat és magas kockázatokat hordozó személyeket” tartalmazó adatbázis is hozzáférhető lett. 2,2 millió személy szerepelt benne.
  • Hello Kitty: decemberben az online játékot birtokló japán cég honlapjáról 3,3 millió fogyasztó adatai kerültek nyilvánosságra.
Így törik föl a jelszavait a hackerek
Hogyan működik egy magánember digitális életének, jelszavainak, eszközeinek meghekkelése? Kevin Roose a Las Vegas-i hacker-konferencián felkért 4 hackert, hogy törjenek be hozzá. Meglepően könnyen ment.

Az első két incidenst Chris Vickery fedezte fel. A texasi férfi egy technológiai támogatással foglalkozó cégnél dolgozik, este pedig szimpla hobbiként adatbiztonsági réseket és gikszereket keres a neten. Vickery szerint az internet tele van rosszul őrzött adatbázisokkal, melyek gyakran kényes, bizalmas információkat tartalmaznak ügyfelek millióiról. Vickery a jóindulatú tapogatózók közé tartozik: ha biztonsági réseket tapasztal, elégtelen védelmet, akkor jelzi a problémát a cég felé – míg a hekkerek simán lopnak. Vagy nyilvánossá tesznek nem nyilvános adatokat.

Vickery megérti, hogy a magánszektor szereplői miért érzik úgy, a kormányzatnak nem szabad szabályoznia az üzletvitel eme szegmensét, ő mégis helyesnek tartaná, ha nagyobb bírságokat szabnának ki azokra a cégekre, ahol adatlopások történnek. Máskülönben a vállalatok nem éreznek elég késztetést arra, hogy kellőképpen óvják-őrizzék adatbázisaikat. A másik veszély, hogy a cégek sok esetben elmismásolják, sőt hazudnak az adateltulajdonításokról a nyilvánosság felé. Ritkán vallják be őszintén, milyen nagyságrendű volt az incidens.

Mire rájövünk, hogy megtámadtak, már késő
Az optimális védelemhez nem csak megbízható biztonsági standardokra, hanem folyamatos éberségre és továbbképzésekre van szükség, ugyanis mire a legtöbbször észleljük a támadást, a kár már megtörtént.

A szakember azt is elismeri, hogy a fogyasztók kezdenek érzéketlenné válni a problematika iránt: annyi adatlopási botrányról hallani, olyan rendszeresen, hogy már nem igazán szentelnek nekik figyelmet. “Az átlagemberek nem igazán felelnek az adataikért” – nyilatkozta Vickery a Business Insidernek. “A felelősség a cégen lenne, akiknek átadták az adatokat. A fogyasztó nem tehet semmit annak érdekében, hogy az adatbázis biztonságosabb legyen, de ha a fogyasztók erre nem ügyelnek, akkor a céget erre nem sok minden kényszeríti.”

A szakember eddig néhány száz elégtelenül őrzött adatbázist talált az interneten. Ebből körülbelül 80-90 esetben riasztotta az érintett cégeket, hogy szedjék össze magukat. Az esetek többségében néhány száz személy adatai vannak veszélyben. A szóban forgó 80-90 incidensnél viszont több ezer ember személyes adatainak biztonsága forog kockán. Az szerencsére már nagyon ritka, hogy több millió főt érintő adatbázis legyen ennyire rosszul őrizve.

Vickery zárszava eléggé vészjósló: szerinte nem annyira az adatlopásról fog szólni az adatbiztonság jövője, hanem az adatmódosításról. Hogy különféle adatbázisokban megváltoztatják az adatainkat és ezzel hatnak önkényesen a céges döntéshozatalokra. Főleg, hogy -bár ezt Vickers nem teszi hozzá, de kikövetkeztethető- az algoritmusok és a Big Data, a mesterséges intelligencia fogja egyre inkább uralni a cégek stratégiai döntéseit. Ezeket próbálják majd adatmódosítással befolyásolni.

Biztonsági tippek: Mark Zuckerberg is hibázik
Már a 90-es években is lopták a tévéközvetítések reklámszünetei alatt rögzített szitukat. A műholdakról. Akkor a webkameránkba miért ne másznának bele a hackerek? Sőt Edward Snowden szerint az amerikai kormány is pontosan ezt tette az NSA-n keresztül.