Az Ashley-Madison ügy margójára

2015. augusztus 24. 15:00 - Csizmazia Darab István [Rambo]

Igen sokféle szempontból lehet értékelni az eseményeket, amiket a ki tudja már hányadik jelentős adatszivárgási botrány kapcsán következtek be. Mi most elsősorban az adatvédelemmel kapcsolatos észrevételeknek engedünk teret, hiszen ezekből is van itt jócskán. Mindenesetre érdekes és mozgalmas utóélete lesz ennek a történetnek, hiszen a támadók 37 millió "ügyfél" adatát, benne neveket, e-mailcimeket, bankkártya számokat, szexuális preferenciákat, a tagság által feltöltött fotókat, illetve az ügyfelek és a belső munkatársak levelezését is megszerezték.

Kezdjük először is azzal, ha egy ideális világban mindenki a "ne tégy mással olyat, amit nem szeretnéd ha veled tennének" jegyében tevékenykedne, akkor ez a házasságtörésből pénzt kereső cég nem is létezne, és nem bukott volna most ekkorát. A kintiek az erkölcsi tanulságokat látszólag lassan elkezdték levonni, például az amerikai hadseregben méltatlannak ítélik az ilyen viselkedést, és a testületből való kizárást kockáztatja, aki ebben a kiszivárogtatásban lebukik. Tegyük gyorsan hozzá, hogy egyrészt az e-mailcímek valódiságát nem ellenőrizték, így bárkinek a levélcímével - pl. barack.obama@whitehouse.gov -  is lehetett regisztrálni.

Másrészt azért az is mutat valamit, hogy a kínos lebukásokat elkerülendő a Daily Mail szerint rekordszámú híresség megkeresését regisztráltak a hírnév védelemmel foglalkozó Reputation Management Consultants cégnél.

A magát Impact Teamnak nevező hackercsoport, amely a fizetős házasságtörő weboldal feltörését végezte, korábban többször is figyelmeztette az üzemeltetőket, hogy szüntessék be a szerintük elítélendő és erkölcstelen tevékenységüket. Ám az ügy ott kezdett érdekes fordulatot venni, mikor végül a 9.7 GB feltört adatot fel is tették az internetre. Idézet az Impact Team interjúból: "A feltöltött fényképek harmada péniszekről készült, ezeket természetesen nem fogjuk publikálni. Ahogy a munkavállalói e-maileket sem. Talán a vezetők levelezését majd igen."

Bár az üzemeltetők a jelszavakat titkosítva (PHP bcrypt) tárolták, a hashek törésére is biztosan lesz majd később valaki, aki rettentően ráér. Emiatt az érintetteknek melegen ajánlott az azonnali jelszócsere, és akár a bankkártya figyelés vagy csere is szükségessé válhat.

A magyar páciensekkel is rendelkező vállalkozás emellett női kamuprofilokkal is igyekezett felsrófolni az állítólag többségében, 90-95%-ban férfi ügyfélkör érdeklődését. Az Independent cikkében szerepel még egy olyan bekezdés is, amelyből az derül ki, hogy egy korábbi Avid Life Media alkalmazottnak olyan sok csábító női kamuprofilt kellett begépelnie, hogy attól ínhüvelygyulladást kapott ;-)

De az a rész is érdekes, amelyből az derül ki, hogy egy magánszemély 5 millió dollár értékű kártérítés miatt indított pert, mert az anonimitást ígérő cég 19 dollár ellenében azt vállalta, hogy a felhasználók adatait törli. Bár ő ezt az összeg befizette ugyan, azonban az adatai a véglegesnek ígért törlés után is megmaradtak.

Sok pereskedés várható tehát még ez ügyben. A felhasználók szempontjából is lehet hosszútávú tanulságot levonni. Bármit ígérjen is egy üzemeltető, a szavuk nem Szentírás, és az oldal vagy szolgáltatás esetleges feltörése után könnyen nem kívánt adatszivárgásoknak nézhetünk elébe. Ebbe beletartozik még az az extrém forgatókönyv is, amikor például a csődbe ment Radioshack üzletlánc a vásárlók személyes adatait kívánta elárverezni - totálisan szembemenve ezzel saját korábbi biztonságos adatkezelésre tett nyilatkozatával.

De ugyanitt említhető az is, amikor bár a Facebook állítólag soha nem adja át a felhasználók nevét és fotóit harmadik reklámozó félnek, de azért 2010-ben "a pénzért mindent jegyében" mégis olyan személyes adatokat osztott meg hirdetőkkel, melyek alapján pontosan beazonosíthatók voltak a felhasználók.

Nem szabad elfelejtkezni arról sem, hogy ha feltörés történik, akkor néha járulékosan is áldozatul eshetünk, ehhez olykor annyi is elég, hogy rosszkor vagyunk rossz helyen. Így járt az Adobe-bal közös szerveren osztozó vétlen Corporate-Car-Online luxus limuzin kölcsönző cég is, ahonnan a nyilvántartási adatbázisukból 850 ezer ügyfél adatát is ellopták.

Köztük olyan VIP ügyfelek, cégvezetők, sztárok, politikusok is voltak, mint Donald Trump, Tom Hanks, stb. A fontos emberek útvonalai, utazási szokásai mellett pedig 241 ezer hitelkártya adata is illetéktelen kezekbe került.

És végül nem maradhat ki egy ilyen összefoglalóból Hancu kolléga két korábbi igen tanulságos oknyomozása, amelyben például utánanézett, hogy "Tényleg megtartja az Iwiw és a Facebook a törölt képeket?", vagy mi történik azokkal a leveleinkkel, amiket látszólag törlünk? "Törölt levelek nyomában a neten" címmel.

Akit érdekel, olvassa el ezeket az igen izgalmas cikkeket, röviden csak annyit mondunk, a törlések sosem történnek meg azonnal, ha meg történnek egyáltalán. Ha valaki ismeri azok korábbi linkjét, még hónapokkal később is meg tudja jeleníteni, illetve volt, ami nem hogy késve, de sosem tűnt el véglegesen. Vagyis megint megmutatta magát "Az internet nem felejt" terhe.

Szólj hozzá!

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr87730574

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.