V ďalšom dieli seriálu o počítačovej bezpečnosti, na ktorom spolupracujeme so spoločnosťou Avast, sa budeme venovať krádežiam hesiel a ďalších osobných údajov. Nemáme v pláne vysvetľovať vám, ako kradnúť, ale poradiť, ako predísť možnému nebezpečenstvu
Data breaches
Týmto anglickým výrazom označujeme aj v slovenskom internetovom prostredí porušenie bezpečnosti osobných údajov alebo únik dát. Spočívajú v krádeži, kopírovaní, prenose alebo zobrazovaní citlivých, osobných či tajných dát a ich použitie niekým, kto na to nie je oprávnený. Najčastejšie sa tento pojem používa v súvislosti s únikom informácií z veľkých firiem, ktoré majú obrovskú databázu klientov. Len málokedy ide o prácu nepoctivého zamestnanca firmy, skôr to býva výsledok útoku hackerov. Tí sa snažia získať dáta z rôznych dôvodov: nemajú vždy za cieľ ich priame zneužitie nabúraním do účtov alebo súkromia príslušných osôb, snaží sa ich napríklad predať na internete ľuďom, ktorí ich využijú k inzercii svojho tovaru, a môžu chcieť napríklad aj mediálne poškodiť danú spoločnosť či jej vedenie vydierať. Medzi ukradnutými dátami bývajú telefónne čísla, e-mailové adresy, prístupové údaje k rôznym typom účtov, čísla kariet, preukazov, dokonca informácie o zdravotnom stave a tak ďalej. V prvých prípadoch podobných únikov informácií mohlo ísť zlodejovi tiež len o krádež a následný predaj elektronického zariadenia, pričom dáta v ňom obsiahnuté ho vôbec nezaujímali, dnes už sa ale bohužiaľ dajú veľmi dobre a ľahko predať aj informácie.
"Najbežnejšími útokmi sú tie phishingové, ktoré sa snažia priviesť používateľa na falošnú webovú stránku, najčastejšie z e-mailu, a snažia sa ho presvedčiť k vyplneniu jeho prihlasovacích údajov. Napríklad falošné stránky Facebooku či Googlu. Užívateľ v domnienke, že je na správnej stránke, všetko vyplní, ale v skutočnosti sa prihlasuje na falošnej stránke. V tomto prípade nastáva problém, ak používateľ používa rovnaké heslo pri viacerých službách," dodáva bezpečnostný analytik Avastu Filip Chytrý.
Aby ste mali predstavu, akú povahu mávajú úniky dát a koľko hesiel môže uniknúť počas jednej hackerskej akcie, uvádzame pár príkladov z posledných rokov:
- 2013: Korporátnu databázu softvérovej firmy Adobe Systems sa podarilo napadnúť a získať prihlasovacie údaje k účtom. Únik dát sa dotkol celkovo 38 000 000 aktívnych užívateľov.
- 2014: Hackeri podnikli cielený útok na používateľské mená, heslá a bezpečnostné otázky slávnych ľudí a následne zverejnili takmer 200 súkromných fotografií celebrít.
- 2014: Aukčný server eBay oznámil únik 145 000 000 záznamov o používateľoch. Hackeri sa najprv nabúrali len do niekoľkých zamestnaneckých účtov, cez ne potom prenikli do korporátnej siete.
- 2015: Britský poskytovateľ telefónnych služieb čelil útoku skupiny iba pätnásťročných hackerov, ktorej sa však podarilo ukradnúť informácie o zhruba 4 000 000 zákazníkooch.
- 2016: Skupine hacktivistov sa podarilo vizuálne zmeniť internetové stránky filipínskej volebnej komisie. Iná skupina potom nahrala celú databázu webu na Facebook.
Prehľad o najväčších a najnovších únikov dát ponúka stránka information is beautiful.
Európsky parlament chystá nové nariadenie o ochrane osobných údajov. V účinnosť by malo vojsť v roku 2018. Jeho cieľom je zabezpečiť, aby o prípadných incidentoch spoločnosti svojich klientov informovali. Ohlásiť únik osobných údajov a ochrániť tak bezpečie ľudí, ktorí ich firme alebo inštitúcii s dôverou zverili, už bude povinnosťou nielen v oblasti elektronických komunikácií, ale aj pre banky, zdravotné zariadenia alebo verejnú správu. Vďaka tomu sa pre hackerov stane o to ťažšie s dátami ďalej nakladať, preto "dobrá povesť" toho, kto si dáta nechal ukradnúť, nesmie stáť takémuto opatreniu v ceste.
Ako sa brániť? Preventívne!
Bohužiaľ platí, že hackeri sú vynaliezaví a venujú veľa času snahám prelomiť bezpečnostné opatrenia najrôznejších programov. Neznamená to ale, že sa s data breaches nedá robiť vôbec nič. Diabolské plány zlodejov môžete zhatiť bez toho, aby ste sa dozvedeli, že sa im vaše dáta dostali do pazúrov.
Pokiaľ využívate služby Gmail.com, Hotmail.com, Yahoo Mail alebo Mail.ru, môžete si na adrese haveibeenpwned.com overiť, či v databáze ukradnutých e-mailov a hesiel nie sú aj vaše údaje. Databáza je neustále aktualizovaná, aby držala tempo s hackerskými útokmi. Vznik tejto stránky len potvrdzuje, že data breaches nie sú ojedinelým spôsobom, akým sa hackeri snažia dostať k našim heslám, a preto by sme aspoň pri tých najdôležitejších účtoch mali dodržiavať pravidlá uvedené v grafike vyššie.
Viac o bezpečnosti hesiel píšeme v článku Ste dobre zaheslovaní?