A LinkedIn, az Adobe, a Target áruházlánc és a többiek 2012. utáni nagy adatvesztései után a világ már nem maradt ugyanaz a hely, ami korábban volt. Ha nem is megszoktuk, de látjuk: valóban elképesztő mennyiségű adatszivárgásról kapunk már azóta rendszeresen hírt, beszámolót.
Amikor illetéktelenek kezébe kerülnek az adatok, és sajnos gyakran, tömegesen szokott ez előfordulni, akkor ennek a közvetlen káron túl komoly következményei lehetnek a további célzott és testre szabott megtévesztésekre, és az identitáslopás, hamis megszemélyesítés veszélyére.
Magyarán könnyen kaphatunk olyan nekünk címzett, hivatalosnak és hitelesnek látszó üzenetet, amelyben a küldő látszólag valamilyen hivatalos szerv, és úgy indít, hogy néven nevez minket, felmutatja hogy minden személyes adatunkat ismeri, és utána kezd bele a mondandójába. Az ilyen megtévesztéseknek sokkal nagyobb százalékban esünk áldozatul, hiszen autentikusnak látszik. Mondjuk ha további személyes adatért, jelszavakért kuncsorognak, akkor azért könnyen lelepleződhetnek.
A mostani incidens arról szólt, hogy 752 ezer születési anyakönyv adata szivárgott ki egy jelszóval NEM védett, helytelenül konfigurált felhőalapú Amazon Web Services (AWS) tárolóból. A cég, amely az adatokat kezelte eredetileg arra szerződött, hogy rajtuk keresztül a felhasználók beszerezhessék a születési és halálozási anyakönyvi dokumentumokat az Egyesült Államok hivatalaitól. Mivel az adathalmaz semmilyen titkosítással, és autentikációval nem rendelkezett, így gyakorlatilag bárki hozzáférhetett az adatokhoz, aki ismerte az adott, egyébként könnyen kitalálható webcímet.
A szivárgást az Egyesült Királyságban működő Fidus Information Security, egy penetrációs tesztelésre szakosodott cég jelentette, választ nem kapott, csak automata e-mailt. A TechCrunch ráadásul a cikkben hivatkozott adatok hitelességét publikus nyilvántartásokkal összevetve is leellenőrizte, valósak.
A személyes adatokkal végzett célzott, testre szabott (spearphising) támadásokat sokkal nagyobb sikerrel húzzák be a támadók, erről szólt például a New York Times szerkesztősége elleni incidens is. Emlékezetes, hogy számítógépesen biztosan valamilyen magasabb szinten képzett szerkesztők kaptak úgy személyes, nekik szóló tájékoztatást egy olyan kutatási témában, ami valóban benne volt az érdeklődési körük, és munkájuk tematikájában.
A kínai támadók akkor a Dropbox tárhelyre helyezett sebezhető PDF állomány segítségével mintegy négy hónapig ki-bejártak a gépeken, utóbb kiderült, hogy egy bizonyos érzékeny híranyag forrását szerették volna felkutatni, és beazonosítani.
Összességében tehát nagy veszélyt okozhatnak a bizalmas személyes adatok, és a másik támadási vektorra, az identitáslopásra is álljon itt egy szemléletes példa az egészségügyi adatokkal való visszaélés területéről, erről a problémakörről pár éve mi is írtunk egy külön posztot. A hivatkozott incidensnél valaki arról kapott egy vaskos TB számlát, hogy állítólag szívátültetésen esett át, pedig neki egyáltalán nem is volt semmilyen szívproblémája, és műtétje sem.
Szóval az a korabeli szócsata, hogy Robert S. Mueller, FBI igazgató szerint "Két féle cég van, akiket már feltörtek, és akiket még nem." kontra John Chambers, Cisco vezérigazgató világlátása, miszerint "Két féle cég van, akik már észrevették, hogy feltörték őket, és akik még nem vették észre." kétségtelenül sajnos ez utóbbit igazolja számunkra sorozatban és futószalagon.