Prije nego krenemo na analizu događanja u protekloj godini (preuzeto i dopunjeno sa nordvpn.com), radi kojih bi se korisnici različitih Internetskih usluga i web stranica trebali zabrinuti – ponoviti ćemo nekoliko točaka (koje bi do sada trebale biti svima jasne i poznate) te za koje smatramo da svaka osoba za sebe mora početi primjenjivati (ukoliko se navedenih još ne drži):
- koristite jake lozinke i nemojte istu lozinku koristiti na različitim sustavima (jake lozinke su relativan pojam, ali u nekakvoj praksi podrazumijevanju alfanumeričku kombinaciju znakova, velika i mala slova, specijalne znakove i duljinu od najmanje 8 znakova)
- budite svjesni prijevare (postoje jednostavni načini kako možete otkriti da li se doista nalazite na web stranici koju ste htjeli učitati, ili ste završili na vjernoj kopiji iste, koja služi sa prikupljanje Vaših osobnih i financijskih podatka)
- nemojte navoditi više podataka o sebi nego što se to od vas traži (ili, slobodno posumnjajte u namjere stranice koja Vas traži npr. “krvnu grupu” i sl.)
- za online plaćanje, koristite kreditnu karticu ili servise poput PayPal-a; nemojte slati novac putem bankovnih transfera, korištenjem Western Union-a na neviđeno i sl.
- razmislite prije nego što objavite neki sadržaj na društvenim mrežama/medijima (sve što podijelite sa širim krugom ljudi, može se upotrijebiti protiv Vas, neovisno o namjeri)
Prethodno navedeni “bonton sigurnosti” na Internetu biti će Vam potreban kako biste lakše shvatili zabilježene slučajeve u prošloj godini, te kako gubitak podataka može utjecati na Vas ukoliko se nalazite među njima. Naša preporuka uključuje i redovito provjeravanje web stranica poput haveibeenpwned.com, jer se na njima objavljuju druge web stranice i web sustavi koji su doživjeli napad hakera ili drugih pojedinaca/skupina, kako biste procijenili rizik svojih podataka. Ako ste spremni – možemo krenuti i vidjeti koliko korisničkih računa je u prošloj godini bilo kompromitirano te na koji način su neki od njih izvedeni.
380.000 korisničkih računa (British Airways)
Poznata britanska aviokompanija doživjela je napad na svoj online sustav za rezervaciju i kupovinu avionskih karata krajem kolovoza. Hakeri su uspjeli ugraditi vlastiti kod u postojeći sustav, koji je kupce/putnike preusmjeravao na vlastitu web stranicu, putem koje su “prodavali” karte za letova, a u stvari, samo su prikupljali podatke koji su se unosili putem obrazaca.
Ti podaci uključivali su ime, prezime, kućne adrese, e-mail adrese, ali i podatke o načinu plaćanja, uključujući brojeve debitnih/kreditnih kartica sa sigurnosnim (CCV) kodom. Korištena tehnika digitalni je ekvivalent skimmeru kartica koji se postavlja na bankomate.
ŠTO SE MOŽE SA DOBIVENIM PODACIMA? Ukoliko nemate dodatni element zaštite, poput online provjere/potvrde transakcije korištenjem token uređaja ili token aplikacije na mobilnom uređaju, sve navedeno je i više nego dovoljno za obavljanje online kupovine na većini internetskih stranica, jedino je ograničenje Vaš dnevni limit ili apsolutni limit (ukoliko nemate uvid u stanje svog bankovnog računa na jednostavan način, mogu proći tjedni prije nego u nešto posumnjate).
KAKO SE ŠTITITI OD TAKVOG POKUŠAJA? Iako postoje brojne tehnike, dobrim dijelom Vas netko mora odvesti na svoj server, koji je na domeni koja nije originalna, a u prethodno spomenutom slučaju, moglo bi se npr. raditi o domeni www.britishairwaays.com (uočite dva slova a), kako bi se korisnika navelo da se radi o “dobroj” web stranici i da se korisnički podaci mogu unijeti na njoj. Ta druga domena teško će dobiti važeći i pouzdani SSL certifikat kao na slici koja slijedi. Ovisno o korištenom internetskom pregledniku, možda će Vas on upozoriti i na potencijalni pokušaj XSS-a (cross-site scripting). Na korisniku je da podigne svoju svijest o tome gdje se nalazi, što unosi, i ukoliko posumnja, da odustane od svake takve transakcije.
500.000 korisničkih računa (Google+)
Google-ov pokušaj društvene mreže/platforme nikada nije doživio uspjeh na razini Facebook-a, Twitter-a i nekih drugih, no ipak, dio korisnika rado ga koristi zbog prirodne integriranosti sa svim Google proizvodima i uslugama koje se nalaze pod istim korisničkim računom.
Prošle godine je otkriven bug, koji je programerima različitih dodatnih aplikacija omogućio pristup računima, što je podrazumijevalo ime i prezime, datume rođenja, spol, profilne slike, zanimanja, čak i prethodna mjesta gdje su osobe živjele. Ovaj bug je bio aktivan oko tri godine, prije nego što je uočen prošle godine, a kada ga je ekipa u Google-u otkrila, nisu obavijestili javnost o tome, kako bi se spriječila histerija poput one koju je izazvao slučaj sa Facebook-om i tvrtkom Cambrige Analytica (o tome više u nastavku).
Više od 400 dodatnih aplikacija imalo je mogućnost pristupa spornim podacima, no Google tvrdi da nemaju informacije da je došlo do zloupotrebe korisničkih podataka. Ova situacija još je više učvrstila stav da Google+ kao društvena platforma nema mogućnost ostvarivanja većeg značaja na tržištu od sadašnjeg, te je ona predviđena za gašenje u bliskoj budućnosti.
ŠTO SE MOŽE SA DOBIVENIM PODACIMA? Na prvi pogled, jako malo. No, u kombinaciji sa drugim internetskim stranicama, koje npr. koriste Vaš datum rođenja ili mjesta gdje ste živjeli kao informacije za promjenu podataka na nekoj stranici, ili obnove lozinke, otvaraju se brojne mogućnosti zloupotrebe.
KAKO SE ŠTITITI OD TAKVOG POKUŠAJA? Jednostavno – nemojte koristiti Vaš pravi datum rođenja, barem da Vas se po njemu direktno ne može identificirati, bez obzira što niste jedina osoba u svijetu rođena na neki konkretan datum. Isto vrijedi i za neke druge podatke, koje ste nerijetko obavezni dati, a sustav neće provjeravati njihovu ispravnost. Primjer: djevojačko prezime Vaše majke – gdje piše da mora biti realno, napišite što god želite – no imajte na umu, ako je taj podatak bitan za npr. obnovu Vaše lozinke u slučaju da je zaboravite, trebate pamtiti i taj namjerno unešeni “krivi” podatak.
7.000.000 korisničkih računa (Facebook)
Narodna poslovica kaže: “Tko radi, taj i griješi”. A Facebook se to trudi dokazati svake godine – ova im je bila najuspješnija do sada. U prosincu su imali “najmanji” problem u godini, koji je utjecao na nešto manje od 10 milijuna korisničkih računa.
Stotine aplikacija neovisnih programera imale su pristup fotografijama korisnika ove popularne društvene mreže – čak i onima koje su samo uploadane, a nisu objavljene (dakle, trebale bi biti nedostupne i obrisane). Nije poznato da li su takve slike ugledale svjetlo dana ili da su iskorištene u zlonamjerne svrhe, no daju prikaz stanja da podaci koje prikuplja Facebook baš i nisu sigurni (za one koji su do sada vjerovali da jesu).
ŠTO SE MOŽE SA DOBIVENIM PODACIMA? Zamislite da ste prilikom uploada odabrali neku spornu fotografiju (koja otkriva malo previše privatnosti)? U redu, prije same objave vidjeli ste svoju pogrešku i odlučili obrisati tu fotografiju. Međutim – ona nije obrisana, čak štoviše – ponekad je i dalje dostupna. Sad zamislite da ta fotografija negdje “ispliva” kada se to najmanje nadate?
KAKO SE ŠTITITI OD TAKVOG POKUŠAJA? Pazite što dijelite sa svijetom (čak i u pokušaju). Nemojte žuriti, budite usredotočeni na ono što radite, neovisno da li ste na računalu ili mobilnom uređaju. Facebook je pojednostavio dijeljenje sadržaja i doveo tu aktivnost na razinu banalnosti, a upravo “u tom grmu leži zec”, da korisnici često nisu svjesni posljedica koje mogu biti dalekosežne po njihovu privatnost (a pogotovo ako se radi o pojedincima koji su javne osobe ili je javnost iz drugih razloga zainteresirana za njih).
27.000.000 korisničkih računa (TicketFly)
Sustav za prodaju karata za različita događanja, doživio je hakerski napad od jednog pojedinca koji je ukrao podatke milijuna korisničkih računa. Početnu stranicu zamijenio je sa slikom iz filma “O za osvetu”, koji prikazuje britanskog anarhistu koji prosvjeduje i sudjeluje u borbi protiv fašističke vlasti.
Prema tvrtki TicketFly uputio je otkupni zahtjev od jednog bitcoin-a (trenutna protuvrijednost iznosi 3.580 američkih dolara) te ih upozorio da im je sigurnosni sustav loš uz prijetnju objave baze podataka nakon svog slijedećeg napada na njihovu web stranicu. Iako je došlo do zastoja u distribuciji karata za događanja u SAD-u, tvrtka je odbila platiti traženu svotu.
Haker nikada javno nije objavio dobivene podatke, ali novinari
Washington Post-a razgovarali su sa njim i potvrdili su da su preuzeti podaci stvarni. Unatoč nastalom kaosu, web stranica je proradila unutar tjedan dana
ŠTO SE MOŽE SA DOBIVENIM PODACIMA? S obzirom da nisu objavljeni detalji oko opsega i vrste podataka, mi ćemo pretpostaviti da se radi o korisničkim imenima i lozinkama, kao i imenima korisnika, adresama i sredstvima plaćanja (najčešće kreditna kartica). Vjerujemo da u ovoj fazi već i sami možete pretpostaviti što je sve sa tim podacima moguće.
KAKO SE ŠTITITI OD TAKVOG POKUŠAJA? Teško. Morate upotrijebiti stvarnu adresu ako želite da Vam se dostave naručene ulaznice. Ukoliko postoji opcija digitalnih ulaznica (koje sami možete isprintati kod kuće ili pokazati na ekranu mobitela), to je dobra alternativa. Za sredstvo plaćanja, probajte imati takvo sredstvo plaćanja koje ima ograničena sredstva na raspolaganju, npr. korištenje drugog tekućeg ili žiro računa na koji prebacite potreban iznos, te nakon plaćanja, čak i da netko dođe do kartice, eventualno može sa računa povući tek par preostalih kuna.
50.000.000 korisničkih računa (Facebook)
Zar opet? Nažalost, da. No ne i posljednji put u 2018. godini. Možda i najpoznatija priča o nelegalnom korištenju osobnih podataka i informacija prošle godine zasigurno je kombinacija britanske analitičke tvrtke Cambrige Analytica, Facebook-a kao društvene platforme te američkih predsjedničkih izbora. Navedena tvrtka dobila je dozvolu od Facebook-a za korištenje podataka od preko 50 milijuna korisnika za “potrebe istraživanja”.
Rezultat tog “istraživanja” bilo je psihografsko profiliranje ljudi, kako bi se utjecalo na američku predsjedničku kampanju još 2016. godine. Izborni stožer aktualnog predsjednika SAD-a Donalda Trumpa iskoristio je (nismo pogriješili sa odabranim glagolom) tvrtku Cambrige Analytica kako bi mu pomogli u oblikovanju izborne kampanje i predviđanja izbornog rezultata.
Sama tvrtka Cambrige Analytica je proglasila insolventnost prošle godine u svibnju, te je, unatoč velikom naporima kako bi povratila povjerenje svojih klijenata, stavila ključ u bravu i ispala – iskorištena.
ŠTO SE MOŽE SA DOBIVENIM PODACIMA? Na Facebook-u svjesno ili nesvjesno ostavljate brojne tragove koji o Vama mogu reći puno više nego što mislite (osim ako namjerno pogrešno lajkate, dijelite, komentirate). Prosječni korisnik u svom profilu ima navedene podatke o tome koju glazbu sluša, koji je film ili seriju zadnje pogledao, koju knjigu trenutno čita, koje osobe iz javnog života prati, koje modne brendove voli itd. Sustavi umjetne inteligencije i ljudski analitičari na temelju tih podataka (ukoliko su oni istiniti, a u velikoj većini slučajeva – jesu) mogu vrlo precizno odrediti profil nekog korisnika i previdjeti njegove buduće radnje i razmišljanja. A to postaje opasan alat u različite svrhe.
KAKO SE ŠTITITI OD TAKVOG POKUŠAJA? Naša preporuka je da proučite naš nedavno objavljen članak “Facebook i Vaša privatnost ne idu zajedno” u kojem smo prikazali način funkcioniranja Facebook-a kao platforme te ukazali na brojne probleme oko pristupa i čuvanja Vaših podataka. Dalje je na Vama.
57.000.000 korisničkih računa (Uber)
Revolucionarna “taksi” tvrtka, koja je u stvari online servis, također nije imuna na hakerske napade. Još krajem 2016. godine hakeri su napali Uberove servere (cloud) i uspjeli preuzeti gotovo 35 milijuna korisničkih profila, uključujući ime i prezime, broj telefona, e-mail adrese kao i lokacije gdje se dogodila prva Uber vožnja (registracija za uslugu).
Razlog zašto se tek nedavno saznalo za taj slučaj, kao i za dodatne upade u sustav i još preko 20 milijuna ugroženih korisničkih računa, leži u činjenici da je tvrtka Uber hakerima platila 100.000 američkih dolara i čekala godinu dana prateći što se događa sa korisničkim računima. U taj broj korisnika uključeno je i nešto manje od 4 milijuna Uber vozača, čiji podaci uključuju i sažetke vožnji, njihove tjedne isplate, brojeve vozačkih dozvola i dr.
Nedostatak komunikacije sa korisnicima i pokušaj zataškavanja ovog slučaja doveli su do toga da je Uber u SAD-u platio kaznu od gotovo 150 milijuna američkih dolara, a u Ujedinjenom Kraljevstvu nešto manje od 400.000 britanskih funti. Navedeni slučaj pokazao je ranjivost sustava za koje se smatralo da su sigurni, ali i nedostatak procedura i nebrigu za podatke klijenata, a umjesto toga brigu za očuvanje vrijednosti brenda i imidža.
ŠTO SE MOŽE SA DOBIVENIM PODACIMA? Ne vjerujemo kako je javni podatak koliko koji od Uberovih vozača zarađuje. Isto kako ne vjerujemo da je javni podatak gdje i kada se određena osoba vozila. Ovo je ozbiljan napad na privatnost pojedinaca i otvaranje rizika da ti podaci dospiju u nečije ruke koje bi to mogle zloupotrijebiti (netko je bio u određeno vrijeme negdje, a trebao je biti negdje drugdje i sl.). Recimo, za profesionalnog vozača u nekoj tvrtki otkrije se da “fuša” preko Ubera. I tako dalje.
KAKO SE ŠTITITI OD TAKVOG POKUŠAJA? Nažalost, ne možete previše utjecati na sigurnost sustava koju bi Vam trebao jamčiti pružatelj usluge (u ovom slučaju – Uber). Vozite se svojim automobilom, koristite bicikl, javni prijevoz ili jednostavno – pješačite. Ovdje se radi o tome da svatko za sebe treba procijeniti koliko je rizično ili nije da usluga (koja postoji godinama, samo što je u ovom slučaju ona modernizirana i digitalizirana) ima pristup podacima bez kojih se ona i dalje može realizirati, npr. korištenjem “običnog” taksi prijevoza.
90.000.000 korisničkih računa (Facebook)
Naša već dobro poznata “mušterija”, imala je i treći problem sa korisničkim podacima u protekloj godini, sa opcijom “Vidi kao”, koja se koristi kada neka osoba putem svog Facebook profila npr. administrira neke druge stranice, pa može biti u ulozi “stranice”, a ne fizičke osobe ili da može vidjeti svoj profil kao netko drugi, npr. kao neprijavljen korisnik, prijatelj i dr. Taj bug je otkriven nedavno, kao i njegov utjecaj na mogućnost preuzimanja korisničkih pristupnih tokena, koji korisnika pamte kao prijavljenog na neku web stranicu ili aplikaciju kako bi se olakšalo korištenje sustava bez prijave.
Ti tokeni ne spremaju korisničku lozinku, te je Facebook odjavio sve povezane korisničke račune sa tim bug-om, međutim, hakeri su ipak uspjeli dobiti pristup korisničkim imenima, spolu korisnika i informacijama o mjestu prebivanja. Facebook tvrdi da do sada nisu zabilježili sumnjive radnje u vezi sa spornim korisničkim računima, međutim, nema jamstva da se nešto sa njima neće dogoditi u nekom budućem razdoblju.
Već smo u prethodnim pričama o Facebook-u objasnili što se sa podacima može i što Vi možete poduzeti, te ovdje nećemo ponavljati već napisano.
92.000.000 korisničkih računa (MyHeritage)
Relativno nepoznata stranica na ovim prostorima, (djelomično) prevedena na hrvatski jezik, u svom opisu između ostalog navodi slijedeće: “Vaša prošlost počinje s Vašim obiteljskim stablom kojeg je jednostavno izraditi ga na stranici MyHeritage. Dodajte imena, datume, fotografije i priče i podijelite sa svojom obitelji.” Zvuči slično kao Facebook, zar ne? Nije ciljano društvena mreža, ali nekome olakšavate posao kako bi Vas dovodio u vezu sa osobama za koje je upitno da li su doista nekakva daljnja rodbina ili predci.
Tvrtka nudi testiranje DNK uzorka kako bi pronašli Vaše pretke i izgradili Vaše rodoslovno/obiteljsko stablo. Promaklo im je da su im pobjegli podaci velikog broja korisnika, uključujući e-mail adrese i hash lozinke, a ti podaci su pronađeni slučajno na jednom vanjskom serveru koji nije direktno povezan sa tvrtkom. Tvrtka tvrdi da najosjetljiviji podaci, poput DNK podataka i obiteljskih stabala, nisu ugroženi jer su ti podaci spremljeni na zasebnim operativnim sustavima te da sigurnost korisnika nije kompromitirana
ŠTO SE MOŽE SA DOBIVENIM PODACIMA? Za podatke koje MyHeritage tvrdi da su bili potencijalno dostupni, e-mail adrese i hash lozinke, određene skupine ljudi spremne su platiti enormne svote novaca, jer je to potencijalni ulaz u druge sustave koji se povezuju sa istom e-mail adresom te (vrlo često) identičnom lozinkom.
KAKO SE ŠTITITI OD TAKVOG POKUŠAJA? Ne koristiti ovakve servise. Postoje profesionalni laboratoriji i službe koje Vam mogu pomoći ukoliko ste baš zainteresirani za takvu avanturu, no uopće ideja da to možete odraditi iz svoje fotelje, pokazuje “ozbiljnost” usluge i gdje je interes – laka zarada i profiliranje ljudi za daljnju komercijalnu eksploataciju a ne opći doprinos ljudskom rodu.
100.000.000 korisničkih računa (Firebase)
Ukoliko niste developer mobilnih aplikacija, ovaj sustav Vam je vjerojatno nepoznat. Radi se o Google-ovom sustavu za brzi razvoj mobilnih aplikacija. Prilikom redovne provjere kreiranih aplikacija, utvrđeno je da preko 3.000 aplikacija ima vezu prema pogrešno konfiguriranoj bazi podataka, kojoj je mogao pristupiti bilo tko.
Takve sporne aplikacije preuzete su sa sustava Google Play više od 600 milijuna puta te su potencijalno mogle izložiti osjetljive podatke, uključujući korisničke identifikatore, nezaštićene lozinke, lokacije korisnika, bankovne informacije, bitcoin transakcije, korisničke račune na društvenim medijima, pa čak i zdravstvene podatke (nalaze).
Google je obaviješten o ovom propustu, a za sad nisu poznati poduzeti koraci s njihove strane.
Već smo u prethodnim pričama o Facebook-u pokušali objasniti što se sa podacima može i što Vi možete poduzeti, te ovdje nećemo ponavljati već napisano. Ali Vas ovim putem pozivamo da proučite naš nedavno objavljen članak “Što sve Google zna o Vama?” kako biste shvatili kompleksnost Google-a kao sustava i sve potencijalne probleme korištenja istog (a nažalost, dobrim dijelom je neizbježan ukoliko želite koristiti bilo koji od njihovih proizvoda ili usluga).
100.000.000 korisničkih računa (Quora)
Online sustav za postavljanje pitanja i davanja odgovora nedavno je doživio hakerski napad i ugrozio mnogobrojne korisnike. Predstavnici Quora-e izjavili su kako su otkrili da određene neovisne i maliciozne aplikacije imaju pristup osjetljivim informacijama iz njihovih baza podataka. Cyber kriminalci došli su u posjed gotovo svega, što između ostalog uključuje korisnička imena i IP adrese, povijest pitanja i odgovora, pristupne tokene i privatne poruke.
Iz Quora-e tvrde kako financijski podaci njihovih partnera, kao i anonimna pitanja i odgovori nisu ugroženi. Ovaj napad je pod istragom i još se ne znaju uzrok ili propust, kao ni potencijalni problemi za korisnike.
ŠTO SE MOŽE SA DOBIVENIM PODACIMA? Prema IP adresi se može utvrditi Vaša lokacija (i to iznenađujuće precizno), a ukoliko je dostupan i pomoćni podatak vremena pristupanja, može se npr. povezati da ste u toku radnog vremena koristili ovu web stranicu i postavljali pitanja ili davali odgovore (umjesto da ste bili posvećeni poslu). Prema Vašim pitanjima i/ili odgovorima može se stvoriti profil Vas kao osobe (nebitno s kojim ciljem). Iz privatnih poruka se može vidjeti s kime ste sve komunicirali, koji je bio sadržaj tih poruka i kada te odakle su one poslane (i pročitane).
KAKO SE ŠTITITI OD TAKVOG POKUŠAJA? Ne koristiti ovakve servise? Naravno, to nije uvijek opcija, ali imajte na umu da sve što napišete na Internetu negdje ostaje zapisano. Ukoliko nije nužno, nemojte koristiti svoje stvarno ime i glavne kontakt podatke – kreirajte alternativni profil i probajte maskirati sebe kao pojedinca na Internetu. Ovim putem ne pozivamo na nešto nelegalno, nego samo navodimo da svaki pojedinac ima pravo na privatnost na Internetu (kako god je on ostvario, ukoliko mu ona samim pristupom toj svjetskoj mreži nije zajamčena).
Kratki predah …
Tako je, to još nije sve … (ali, ne morate naručiti odmah). Do ovog dijela smo već obradili više od pola milijarde korisničkih računa koji su (potencijalno) (bili) ugroženi. Malo, puno? Teško reći, ali s obzirom na velike igrače na ovom popisu, jasno je da doslovce nitko ne može garantirati sigurnost Vaših podataka – na Vama je kako ćete tu činjenicu prihvatiti te da li ćete promijeniti svoje obrasce ponašanja i navike na Internetu. Predah gotov – idemo do kraja.
150.000.000 korisničkih računa (MyFitnessPal)
Početkom prošle godine, aplikacija i web usluga za praćenje prehrane i vježbanja korisnika imala je sigurnosni propust koji je ugrozio milijune korisničkih računa. Za razliku od prethodnih slučajeva, u ovome je vlasnik aplikacije, tvrtka Under Armour, javnost o tome obavijestila u “rekordnom” roku – trebalo im je samo 4 dana.
Tvrtka je potvrdila kako su hakeri došli u posjed korisničkih imena, e-mail adresa i hash lozinki. Tvrde da ostale informacije, poput kreditnih kartica, nisu ugrožene, jer su takve informacije pohranjene odvojeno od osnovnih korisničkih podataka.
Nije poznato kako su hakeri ušli u sustav, no vlasnik aplikacije radi sa tvrtkama koje su specijalizirane za sigurnost na istraživanju i poduzimanju preventivnih mjera kako se ovakve situacije ne bi mogle ponoviti u budućnosti.
ŠTO SE MOŽE SA DOBIVENIM PODACIMA? Prethodno smo objasnili da su korisnički računi i hash lozinke više nego zanimljiv izvor informacija za mnoge koji znaju kako to iskoristiti. Recimo da netko na temelju toga ima pristup Vašem korisničkom profilu na ovoj usluzi – vidi sve što ste unijeli o sebi, kako koristite aplikaciju, kako se hranite, kako vježbate, da li imate intoleranciju na hranu, poznate bolesti ili fizička ograničenja i sl. Farmaceutska i prehrambena industrija vrlo rado bi to znala to o Vama, kako bi Vam mogli ponuditi prilagođene proizvode i/ili usluge. Ako mislite da je to bezazleno, varate se.
KAKO SE ŠTITITI OD TAKVOG POKUŠAJA? Ne koristiti ovakve servise (po drugi puta)? Ne ulazeći u to da je ljudski rod došao (ili spao) na to da za osnovne tjelesne potrebe ne može bez automatiziranih sustava (pa se pitamo kako smo uopće živjeli prije pedesetak ili više godina), nije nužno da koristite svoje realne podatke ili glavnu e-mail adresu. Napravite svoj digitalni “alter ego” i njega koristite za sve što Vam je potrebno, a što nije nužno da bude direktno povezano sa Vama kao konkretnom osobom sa imenom i prezimenom.
330.000.000 korisnički računa (Twitter)
Twitter se do sada rijetko pojavljivao na listama onih koji su imali sigurnosni propust, ali, ove godine su se i oni odlučili priključiti (i pri tome nadmašiti veliku većinu “starosjedioca”). Sigurnosni propust omogućio je pristup lozinkama stotinama milijuna korisničkih računa – u izvornom, nekriptiranom obliku.
Službena objava potvrdila je da se radi o sigurnosnom propustu u korištenom hash sustavu za kriptiranje lozinki. Nije dolazilo do kriptiranja, već je sustav dio lozinki pohranjivao u izvornom obliku (onako kako ste ih napisali). Sigurnosni istražitelji tvrde da nitko nije pristupio tim podacima, ali ukoliko je neki korisnički račun bio izložen, napadači bi vidjeli izvornu lozinku (u praksi: nešto što se nikada ne bi smjelo vidjeti, u najboljem slučaju bi trebali moći promijeniti lozinku, no ne i vidjeti trenutnu).
Twitter je brojnim korisnicima preporučio da pod hitno promijene svoje lozinke kao mjeru predostrožnosti. Bug je u međuvremenu otklonjen.
ŠTO SE MOŽE SA DOBIVENIM PODACIMA? Imate korisničko ime, e-mail adresu i izvornu lozinku? Što Vam više treba. Krenete po redu, i istražujete na kojim sve drugim sustavima ta kombinacija (1) ima kreiran korisnički račun, (2) omogućava pristup tom korisničkom računu sa istom lozinkom. A dalje, samo je nebo granica. Lažno predstavljanje, krađa identiteta, manipulacija sa podacima, brisanje računa …
KAKO SE ŠTITITI OD TAKVOG POKUŠAJA? Nemojte koristiti iste podatke na različitim sustavima. S obzirom da je vrlo česti slučaj da Vam je korisničko ime e-mail adresa (jer je sustav tako definiran), naravno da ćete teško izbjeći da na različitim sustavima imate različito korisničko ime (osim ako imate više e-mail adresa). U takvim situacijama, barem se potrudite da nije lozinka identična. Naš prijedlog, ukoliko koristite isti e-mail kao korisničko ime na različitim sustavima te inzistirate na korištenju “iste” lozinke, pokušajte sa slijedećim konceptom: ista e-mail adresa korisnik@domena.com, lozinka na sustavu A neka glasi sustavA_m0j41ozink4. Lozinka na sustavu B neka glasi m0j41ozink4_sustavB …
500.000.000 korisničkih računa (Marriott)
U najvećem sigurnosnom propustu ove godine (ako ne i uopće do sada), oko pola milijarde korisničkih računa ugroženo je nakon što su hakeri upali u sustav za online rezervaciju smještaja (na našim prostorima vjerojatno je poznatiji booking.com) i imali mogućnost pregleda podataka za razdoblje od zadnjih četiri godine.
Konkretno, ugroženi su smještajni kapaciteti unutar Starwood grupacije: St. Regis, Westin, Sheraton, Aloft, Le Meridien, Four Points i W Hotels (većini hrvata san i nešto nedostupno). Hotelske baze podataka tvrtke Marriott su odvojene i ti podaci nisu kompromitirani.
Cyber kriminalci su došli u posjed informacija o klijentima u vlasništvu Starwood grupacije: imena, adrese, brojevi telefona, podaci o putovnicama, čaki i podaci o tome gdje su (i sa kime) putovali, odnosno – odsjeli. S obzirom da do danas nije zabilježeno da je ova krađa podataka iskorištena za nekakvu komercijalnu svrhu (npr. konkurencije u hotelijerskom biznisu), pojavile su se pretpostavke da iza ovog napada stoji neka država, ili neka državna sigurnosna agencija.
ŠTO SE MOŽE SA DOBIVENIM PODACIMA? Uh, odakle da počnemo? Recimo da netko zna Vaše navike putovanja, potrebe, s kime putujete, kada ste gdje bili, koje dodatne usluge ste naručili, da li ste imali posebne zahtjeve oko prehrane, najma vozila … Ukoliko ste javnosti/službama nezanimljiva osoba, vjerojatno možete spavati mirno. Ukoliko niste (poslovni čovjek, agent tajnih službi, terorist, …), netko vrlo lako može rekonstruirati gdje ste bilo, što se radili, pa čak i na temelju toga predvidjeti Vaše buduće ponašanje i mjesta u kojima ćete odsjesti (ili kada ćete se vratiti na mjesta u kojima ste već bili).
KAKO SE ŠTITITI OD TAKVOG POKUŠAJA? Tanka je granica između komocije i privatnosti. Vjerovali ili ne, moguće je smještaj rezervirati telefonski ili putem e-maila, nije Vam nužno potreban korisnički račun na nekom sustavu. Međutim – taj korisnički račun Vam može osigurati određene koristi, posebne ponude, popuste i slično, radi kojih korisnici takvih sustava njih i dalje koriste, jer očekuju dodatnu uslugu ili dodanu vrijednost (koju neće dobiti, ukoliko nisu prijavljeni). Smještaj u pravilu možete platiti i u gotovini, nije nužno koristiti kreditnu karticu (pogotovo ne za online plaćanje smještaja u ovom kontekstu).
Facebook komentari