A humán interfész szerepe a biztonságban megkerülhetetlen, ahogy ezt a social engineering kapcsán a nemrég elhunyt Kevin Mitnick is találóan megfogalmazta: "Egy vállalat több százezer dollárt költhet tűzfalakra, behatolásjelző rendszerekre, titkosítási és egyéb biztonsági technológiákra, de ha a támadó fel tud hívni valakit a vállalaton belül, aki bediktálja neki a jelszavát, akkor a technológiára költött pénz lényegében elpazarolt."
Emiatt fontos a megelőzés-védekezés tengelyen a rendszeres biztonságtudatossági képzés és annak tesztelése. A véletlen, vétlen hibázás, a PEBKAC jelenségek olyan rétege, amely már komoly károkat okozva egy cégnek, vagy vállalkozásnak.
Az ilyen emberi hiba vagy mulasztás már a múltban is sokféle problémához vezetett, gondoljunk csak a nem megfelelő biztonsági beállításokra, például indokolatlanul nyitva hagyott RDP port miatti ransomware támadásra, OpenRelay okozta spammelésre, jelszólista clear textben való szerveren felejtése, ellopott, elvesztett titkosítás nélküli eszközök illetéktelen kezekbe kerülése, vagy érzékeny adatokat tartalmazó leselejtezett adathordozók felelőtlen értékesítése is mind-mind végzetes következményekkel járhat.
Mai témánk ugyan nem közvetlenül ez, de szorosan kötődik a felhasználók óvatlan, meggondolatlan viselkedéséhez. A sokak által ismert kártékony linkek, webhelyek és állományok ellenőrzésére szakosodott weboldal, a 70 különböző vírusirtó motort futtató Google tulajdonban lévő VirusTotal ugyanis most kénytelen volt elnézést kérni, miután egyik munkatársuk egy 5600 felhasználót tartalmazó érzékeny adatállományt töltött fel véletlenül vizsgálatra.
A .CSV, azaz Comma Separeted Value, magyarul vesszővel elválasztott olvasható szövegalapú fájl feltöltése több ezer prémium ügyfél adatait fedte fel, köztük a US Cyber Command, az FBI és az NSA alkalmazottainak neveit, cégek-szervezetek nevét és e-mail címeket.
A feltöltött állományok a hétköznapi látogatók számára nem, de az előfizetéses partnerek, és vállalati ügyfelek számára emiatt egy ideig elérhetővé vált. A kínos tévedést egy órán belül észlelték, és ezután a kritikus fájlt eltávolították, de a dolog persze ennek ellenére elég kellemetlen közjáték volt.
A híres mondás, miszerint az internet nem felejt, sajnos itt is beigazolódott, és pár napon belül címlapos sztori kerekedett az adatállomány miatt. Ami elromolhat az el is romlik Murphy törvényt adaptálva itt az lehet a mondás, hogy ami kiszivároghat, az előbb-utóbb ki is szivárog.
A Spiegel Magazin cikke arról számolt be, hogy a mindössze 313 kilobyte méretű listában szereplő partnerek számára az incidens roppant kellemetlen. Szerepelnek rajta többek közt a német, holland, brit és tajvani biztonsági ügynökségek, a német szövetségi rendőrség, a katonai kémelhárító szolgálat, valamint például olyan nagy német vállalatok, mint a BMW, a Mercedes-Benz és a Deutsche Telekom.
Nyilván fennáll annak a veszélye, hogy kiszivárgás esetén ezekre a címekre a jövőben testre szabott adathalász és egyéb célzott támadások indulhatnak. A VT közleményében bocsánatot kérnek és azt állítják, hogy az incidens óta új belső folyamatokat és műszaki ellenőrzéseket vezettek be az ügyféladatok biztonságának és védelmének javítása érdekében.
És hogy a közelmúltból még említsünk hasonló kényelmetlen történéseket, nem is kell nagyot visszamenni az időben, hogy az 5 hónap alatt 100 millió felhasználót bezsákoló ChatGPT platformon is történjen incidens.
Az egyik ilyen az volt, amikor 2023. májusában kiderült, hogy a Samsung cég munkatársai a ChatGPT segítségével bizalmas anyagokat itt készítettek, javítgattak, tesztelgettek, és a feltöltések miatt kiszivárogtak belsős értekezleti anyagok és új forráskódok.
De ugyanitt említhetjük azt a tipikus vállalati félelmet is, hogy valaki véletlenül rossz címzettnek ír vagy továbbít valamilyen bizalmas anyagot. Erre is van viszonylag friss és szomorú példa 2021-ből, amikor is a kanadai bevándorlási hivatal (IRCC) tálibok elől menedéket kereső afgán emberjogi aktivisták és menekültek adatait küldtek ki BCC mező helyett mindenki által látható címzett mezőkkel.
Az eset sajnos tragikus végkifejlettel zárult, mert az üzenetekben szereplő, fényképpel is kiegészített többszázas lista alapján a tálibok felkutatták ezeket az embereket és akiket sikerült megtalálniuk, azokat a külföldiekkel való kapcsolattartás miatt megtorlásképpen elrabolták, meggyilkolták. Egy ilyen esetnél aztán már végképp nem ér semmit az utólagos bocsánatkérés.
Head Honcho 2023.07.25. 22:45:50