Egészen elképesztő állapotokra hívta fel a figyelmet az egyik elsők között kiosztott 20 ezer eurós GDPR bírság. A németországi knuddels.de nevű közösségi oldal komoly adatlopást szenvedett el, és onnan jelentős mennyiségű személyes adatot loptak el, amik aztán később a Mega.nz és Pastebin.com oldalakra is felkerültek.
Elképzelni is nehéz, hogy ennyi év, ennyi esztendő, ennyi címlapon szerepelő temérdek incidens, feltörés, adatlopás, adatszivárgás után ilyen még megtörténhet. A német Knuddels 20 ezer EUR bírságot kapott - emlékezzünk, a maximálisan kiszabható tétel 20 millió EUR, vagy a teljes cég forgalmának (sic!) 4%-a is lehet, nevezzük tehát az összeget jelképesnek, vagy "csekélynek" - azután, hogy bebizonyosodott az adatlopás ténye. Összesen 808 ezer e-mailcím, 1,872,000 felhasználói név és jelszó szivárgott ki, amit a támadók ki is posztoltak, publikusan fel is töltöttek a netre.
Aki még a regisztrációnál megadta a valódi nevét, valamint lakcímét is, az ezeket is bebukta, mert sajnos ezek az információk is a lopott adatok közé kerültek.
Az ügyvezető beszámolója szerint sokkolta őket a támadás, és azóta már komoly lépéseket tettek az adatvédelem javítása érdekében. Lehántva erről a diplomatikus megfogalmazást ez magyarul annyit jelent, eddig nem értették a problémát, és semmilyen szinten nem készültek fel a GDPR személyes adatok kezelésével kapcsolatos teendőik szakszerű ellátására. És akkor most jön a már a címben is emlegetett, Predator 2018-nál is horrorisztikusabb momentum: a jelszavakat egyszerű, olvasható szövegként tárolták. Innentől a blogposzt alcíme akár ez is lehetne: #akiknek_ a_jelek_szerint_nem_fejlődött_ki_a_barázdált_agykérgük.
Tényleg jó ideje már - még jóval a Gartner jelentés előtt - megfogalmazták már, hogy azok a CEO-k, akik nem képesek CIO szerű működésre vagy velük hatékony együttműködésre, hosszútávon elvesztik a csatát a rendszeres kibertámadások miatt, és vagy nem lesznek CEO-k, vagy a cégüknek lesz annyi.
Emlékezhetünk arra, hogy annak idején a nagy 2012-es LinkedIn feltörés esetében, ahol 6.5 millió felhasználó adata került illetéktelen kezekbe, szerencsére ott a fő gyengeség nem ilyen égbekiáltó plain text volt. Hanem hogy magánál az SHA-1 algoritmussal kódolt jelszó hashek tárolásánál nem támaszkodtak olyan megbízható kiegészítő technikákra, mint például a jobban véletlenszerűsítő, ezáltal a feltörésnek jóval ellenállóbb úgynevezett Salted eljárásra, amely eredményesen megnövelte volna a jelszó hash bonyolultságát is.
A LinkedIn-nek egyébként jó két esztendő kellett, amíg az incidenst követően végre üzembe állítottak olyan hiányzó biztonsági elemeket, mint például a távoli kiléptetésre is alkalmas bejelentkezés kontroll, a nevünkben ám esetleg tudtunkon kívül kezdeményezett jelszóváltoztatásról külön e-mailes emlékeztető értesítési lehetőség (ez miért lett kérhető az alapértelmezett mindig jöjjön helyett?), vagy a két faktoros autentikáció.
Hébe-hóba egyébként tényleg futottunk bele a hírek közt hasonlóan elképesztő vétkekbe, cselekedettel és/vagy mulasztással, íme ezek közül egy mutatóba. Igaz, még a britek tényleges EU kilépése és a GDPR hatálybalépése előtt történt, hogy 2017-ben elvesztettek egy olyan USB kulcsot, amelyen a Heathrow repülőtér biztonságával kapcsolatos bizalmas dokumentumok, a védelmi őrjáratok útvonalaival és időbeosztásával, a megfigyelő kamerák pontos koordinátáival, és más, összesen 2.5 GB mennyiségű titkos, minősített információk szerepeltek.
A szóban forgó és a bárki által szabadon olvasható, és tadaaaam: TITKOSÍTATLAN adathordozót egy arra járó munkanélküli találta meg, aki szerencsére leadta azt.
Szóval van még megoldandó feladat világszerte bőségesen, az IT security szakma az előzetes várakozások szerint egyáltalán nem fog unatkozni jövőre sem.
