hirdetés
hirdetés

Big data

Az elmúlt időszak legnagyobb adatlopásai

Egyszerű felhasználók, multinacionális cégek, kormányzati szerverek egyaránt célpontjai a hivatásos adathalászoknak, egy viszonylag új terület, az egészségügyi adatok eltulajdonítása pedig dübörög. Lássuk az elmúlt időszak legnagyobb nyilvánosságra került adatlopásait!

hirdetés

A big data hálózatok elleni támadások és adatlopások világszerte nagy hírt vertek az elmúlt években. Nem ritka, hogy több millió állampolgár érzékeny adatait megszerzik. A legutóbb a Vtech játékgyártó céget érte támadás Hongkongban, amikor szülőkről, gyermekekről készült képeket, neveket, címeket loptak el – az akció összesen 5 millió felnőttet és 200 ezer gyereket érintett.

A cégek mellett a kormányzati szerverek szintén veszélyben vannak. Amerikában például több sikeres támadás érte az Office of Personnel Managment rendszert, amelyek során 22 millió jelenlegi és régi állami alkalmazott – rendvédelemnél, titkosszolgálatnál dolgozók – adatait lopták el, beleértve 5 millió ujjlenyomatot is. Az adatszerzést kereskedelmi vagy titkosszolgálati célokra is használhatják, és akár egy másik nemzet is állhat a támadások mögött.

Erkölcs a gépezetben

Tavaly júliusban a magyar felhasználókat is érintő Ashley Madison társkereső, házasságtörő oldalt törték fel crackerek és tulajdonítottak el közel 37 millió felhasználói adatot: fotókat, jelszavakat – rengeteg problémát okozva ezzel. Egyes források szerint több öngyilkosság is ennek a támadásnak és az adatlopásból származó adatok nyilvánosságra kerülésének a számlájára írható. Az akciót az Impact Team hackercsoport vállalta, amely korábban már többször figyelmeztette az Ashley Madison üzemeltetőit, hogy szüntessék be erkölcstelen szolgáltatásukat. Volt olyan magánszemély, aki 5 millió dollárra perelte be az anonimitást garantáló szolgáltatót, és várhatóan itt nincs vége a történetnek, számos nagy értékű per várható még az ügyben.

De vannak az illegális adatszerzésnek enyhébb verziói is, amelyek szintén jól példázzák, mekkora értékük van akár csak a vásárlói adatoknak is. Amikor a RadioShack amerikai elektronikai áruházlánc a csőd közelébe került, a korábbi felhasználási feltételeivel és adatvédelmi szabályaival szembe menve árverezésre kínálta a több mint 65 millió ügyfelének nevét, lakcímét, vásárlási szokását, valamint 13 millió darab e-mail-címet. Az etikátlan lépést végül menet közben a csődeljárási bíróság akadályozta meg, nekik köszönhető, hogy nem került át több millió érzékeny adat egy harmadik félhez.

Biztonságos?

A Hacking Team olyan szolgáltatásokat értékesít, amelyekkel pont a rosszindulatú támadásokat lehet kivédeni. Hogy megleckéztessék a céget, akik aranyáron kínálták ezeket a védelmi szolgáltatásokat, tavaly nyáron feltörték a biztonsági rendszerüket, és 400 GB-nyi üzleti információt loptak el, amelyekből az is kiderült, hogy milyen cégekkel folytattak tárgyalásokat, mennyiért kínálták a szolgáltatásaikat, és miként zajlott az alkudozás. Hogy jutottak be a rendszerbe? A Hacking Team egy műszaki munkatársának egy igen gyenge jelszavával, amely a „Passw0rd” volt.

Képzelhetjük, hogy milyen sok érzékeny információ kerülhet ki egy olyan alkalmazás feltörésével, mint a Slack. A közismert kollaborációs platform cégek dolgozóinak vagy a különböző cégek képviselőinek együttműködését segíti, akár kritikus projektekben is. Magyarországon az Index munkatársai is ezt használják, épen ezért a rendszerbe való bejutás és az ott történő adatlopás őket is érzékenyen érinthette 2015 márciusában, amikor hozzáfértek a támadók a felhasználók e-mail-címeihez, jelszavaihoz, telefonszámaihoz. Négy teljes napig szívták el az adatokat, mire a Slack üzemeltetői észrevették, és bevezették a kétlépcsős azonosítási rendszert.

Az emberi hiba valószínű

Még közösen használt alkalmazások sem kellenek ahhoz, hogy illetéktelenek hozzáférjenek az adatainkhoz. Az ESET biztonsági szolgáltató idén márciusi közleménye alapján elegendő egy fertőzött USB, és az adataink észrevétlenül kerülnek idegen kezekbe. A legújabb USB-adathordozókon terjedő adatlopási módszerhez ugyanis nem szükséges internetkapcsolat és telepített program sem, csak egy fertőzött adathordozó. Az ESET szakemberi fedezték fel az USB Thief névre keresztelt kártevőt, amelynek működési mechanizmusa jelenleg komoly kihívás elé állítja a hozzáértőket is. Az USB Thief elnevezésű trójai kártevő észrevétlen a fertőzött eszközön, rejtve maradó támadásai miatt képes az elkülönített hálózaton lévő adatok eltulajdonítására, felderítés és visszafejtés ellen is védi magát. Bármekkora is a kíváncsiságunk, a talált USB-kulcsokat sose dugjuk be a számítógépünkbe!

Új iparág a kiberbűnözésben

A Gemalto, a világ vezető digitális felhasználóazonosító, aláíró és kriptográfiai eszközgyártó felmérése megállapította: 2015-ben az összes világszerte elkövetett adatlopási incidens huszonöt százaléka az egészségügyi szektorban történt. A vizsgálatok szerint az egészségügyi adatok akár a bankkártyaszámok tízszeresét is érhetik az online feketepiacon. Ezek az érzékeny személyes adatok – amelyeket egészségügyi rendszerekből szereznek meg csalásokhoz – illegális gyógyszervásárlásokhoz, személyiségbitorláshoz, sőt az érintett páciensek zsarolásához is felhasználhatók. Mivel a bankkártyát általában az elvesztés napján letiltják az emberek, rövidebb ideig lehet hasznosítani, mint az egészségügyi adatokat, mert nehezebben tetten érhető, hogy eltulajdonították azt. 2015 áprilisában egymillió magyar kórházi beteg adatai kerültek fel az internetre, bár a táblázatok neveket nem tartalmaztak. Egy adatkezeléssel foglalkozó cég munkatársa érte el az érzékeny információkat, amelyekbe betegségkódok és kórházi ellátásra vonatkozó információk szerepeltek. Csak ront a helyzeten, hogy a Verizon 2014-es Data Breach Incident Report című tanulmánya szerint az egészségügyben elszenvedett információvesztés közel fele elveszett, ellopott laptopokról, adathordozókról történt. Szerintük az egészségügyi szektorban – szemben a gazdasági és pénzügyi iparágakkal – nem kap elég figyelmet az informatikai biztonság.

Mivel a legtöbb biztonsági támadás elsősorban emberi hibából ered, az adat megbízható tárolása elsősorban jó folyamatmenedzsment, mintsem technológiai felkészültség kérdés. Mindemellett a túlságosan is szofisztikált biztonsági rendszerek arra sarkallhatják a munkavállalókat, hogy megpróbáljanak egyszerűbb megoldásokkal élni, és kikerülni a biztonsági előírásokat. A folyamatos képzés mellett az olyan egyszerű szabályok betartása lehet hatékony védekezés, hogy az érzékeny adatok külső tárolón való hordozását teljesen megtiltják.

Trapp Henci
a szerző cikkei

hirdetés
Ha hozzá kíván szólni, jelentkezzen be!
 
hirdetés
hirdetés
hirdetés

Kiadónk társoldalai

hirdetés