MIRAN VARGA
Globalna kibernetska varnost
ob polletju: nezadostno
Prva polovica letošnjega leta je vsekakor uresničila zaskrbljujoče napovedi varnostnih strokovnjakov, da se bosta intenzivnost in obseg kibernetskih napadov v letu 2019 stopnjevala.
Leto 2019 se vsekakor ni začelo z nasmehom za ameriško podjetje Abine, ki nudi storitev varnejšega ravnanja z gesli in maskiranja plačil s kreditnimi karticami, poimenovano Blur. 2. januarja je podjetje poročalo o vdoru, ob katerem so napadalci iz nezavarovanega (!) strežnika odtujili datoteko, ki je vsebovala 2,4 milijona uporabniških imen, e-poštnih naslovov, namigov za gesla, IP-naslovov in šifriranih gesel. Podjetje, katerega osnovna dejavnost je rešitev za upravljanje z gesli, je uporabnike takoj pozvalo, naj spremenijo svoje podatke za prijavo v storitev Blur in vklopijo dvofaktorsko avtentikacijo.
Dva tedna pozneje je med internetno skupnostjo znova završalo. 16. januarja je napaka v eni najbolj priljubljenih spletnih iger ta hip – Fortnite, igralce izpostavila spletnim napadom. Po podatkih varnostnega podjetja Check Point, ki je odkril ranljivost, bi lahko avtor grožnje prevzel račun katerega koli igralca v igri, si ogledal podatke v njegovem računu, kupil V-dolarje (valuta, ki je uporabljena v igri) in prisluškoval klepetu z drugimi igralci. Mimogrede, Fortnite ima več kot 200 milijonov uporabnikov po vsem svetu, od tega jih je 80 milijonov aktivnih vsak mesec.
Le dan zatem je varnostni raziskovalec Troy Hunt odkril obsežno bazo podatkov na spletnem mestu za oblačno hrambo MEGA, ki je vsebovala 773 milijonov e-poštnih naslovov in 22 milijonov edinstvenih gesel, zbranih iz več tisoč različnih vdorov od leta 2008 naprej. Informacije so bile objavljene na priljubljenem hekerskem forumu. Kako preveriti, ali so se nepridipravi v zadnjem desetletju polastili tudi kakšnega vašega uporabniškega imena in gesla? Obiščite stran Have I Been Pwned? in vanjo vtipkajte svoj(e) e-poštni(e) naslov(e).
Prav tako januarja je ministrstvo za zdravje v Singapurju razkrilo vdor, v katerem so napadalci ukradli osebne podatke 14.200 posameznikov. Številka se morda ne zdi visoka in resna, toda šlo je za ljudi, okužene z virusom HIV. Neznani heker/ ji je/so podatke teh oseb tudi javno objavili na spletu.
Marca so se potili bogataši po svetu. Na splet je pricurljala podatkovna zbirka z identitetami 2,4 milijona posameznikov s prav posebnega seznama. Ameriška borza Dow Jones je namreč sestavila seznam posameznikov, potencialnih kradljivcev in pralcev denarja, prejemnikov podkupnin itd.
Aprila je završalo med uporabniki Facebooka. Varnostni raziskovalci so našli dva strežnika AWS, ki sta »javno« hranila podatke s Facebookom povezanih aplikacij. V zbirki aplikacije Cultura Colectiva je bilo več kot 540 milijonov zapisov, vključno z uporabniškimi imeni, Facebook ID-ji in podatki o interakciji uporabnikov. Aplikacija, poimenovana At the Pool, pa je razkrila gesla uporabnikov, fotografije, dogodke, skupine, prijave itd.
Spomladi so hekerji na piko vzeli tudi proizvajalca vozil Toyota, saj se je ta soočil z vdori v svoje podružnice in pooblaščene prodajalce (8 njih) v Avstraliji, Vietnamu, na Tajskem in Japonskem. V zadnjem primeru je bilo prizadetih kar 3,1 milijona strank in zaposlenih, ki so jim odtujili osebne in kadrovske podatke.
V ZDA pa so hekerji vdrli v več zdravstvenih centrov za zdravljene odvisnosti in zdravljenje po poškodbah. Odnesli so skoraj 5 milijonov kartotek, vključno s podatki o zdravljenju. Prizadetih je bilo 145.000 ljudi.
Na račun majskega poročila urada avstralskega informacijskega pooblaščenca (OAIC), ki je objavilo vdor v svoje sisteme, so se razburjali Avstralci. V OAIC niso razkrili, kakšne podatke so jih odtujili, le da je prizadeti 10 milijonov posameznikov.
O težavah s hekerji je poročalo tudi avstralsko podjetje Canva, ki nudi spletno storitev enostavnega grafičnega oblikovanja. Napadalci so odnesli podatke 139 milijonov uporabnikov in jih že nekaj dni po vdoru ponudili naprodaj v temnem delu spleta.
V še precej večji zadregi je bilo podjetje First America, nepremičninski in zavarovalniški gigant v ZDA, ki je dopustil krajo podatkov kar 885 milijonov evidenc strank. Med njimi so bili najrazličnejši podatki, zbrani od leta 2003, vključno s številkami zavarovanj, slikami vozniških dovoljenj, podatki o bančnih karticah in transakcijah. Kaj je pri vsem tem najhuje? Informacije so bile na voljo na spletni strani podjetja, do njih je imel priložnost priti kdorkoli.
Sredi aprila so opravičila uporabnikom pisali tudi pri Microsoftu. Računalniški gigant je namreč priznal vdor v svoje e-poštne storitve, vključno z msn.com, hotmail.com in outlook.com. Varnostna pomanjkljivost v Microsoftovem portalu za podporo strankam je namreč hekerjem v prvi četrtini leta omogočila dostop do e-poštnih računov uporabnikov.
Maja so grizli nohte v hotelskih verigah. Raziskovalci so namreč našli kar 85,4 gigabajtov veliko datoteko z osebnimi podatki gostov iz kar 96 hotelov.
Za pravcati škandal s področja pomanjkljivega varovanja zasebnosti je sredi maja poskrbela priljubljena komunikacijska aplikacija WhatsApp. Varnostna pomanjkljivost v aplikaciji, ki ima več kot 1,5 milijarde uporabnikov, je izraelski varnostni agenciji omogočila popolno vohunjenje za uporabniki – ne le da so lahko brali sporočila v aplikaciji WhatsApp, uporabljali so lahko tudi kamero in mikrofon mobilne naprave in z WhatsApp povezane aplikacije.
Več kot 49 milijonov vplivnežev na Instagramu, zvezdnikov in blagovnih znamk je v poletje vstopilo v skrbeh, potem ko je indijska marketinška družba, specializirana za trženje prek družbenih medijev, njihove podatke pustila nezaščitene v bazi na Amazonovem oblaku.
Junija so bili slabe volje tudi uporabniki programa Evernote, ki so uporabljali njegovo razširitev Web Clipper za spletni brskalnik Chrome. Ranljivost v le-tej je hekerjem omogočila dostop do spletnih podatkov 4,6 milijona uporabnikov, vključno z uporabniškimi imeni in gesli, finančnimi podatki, zasebno komunikacijo. Podjetje je hitro odpravilo težavo v programski kodi, vendar ni jasno, kako dolgo so bili uporabniški podatki napadalcem na voljo.
Ob koncu slovenskega šolskega leta se je pripetila ogromna nevšečnost ameriškemu mobilnemu operaterju Sprint. Ta je uporabnikom omogočil, da so preko spletne strani Samsung.com enostavno dodali novo naročnino. Funkcionalnost so uspeli zlorabiti hekerji in se dokopali do vrste osebnih podatkov uporabnikov ter podatkov o njihovih napravah.
Zakaj sploh pišemo o kibernetskih napadih, ki se dogajajo po svetu? Zato, ker se, čeprav v manjši, a nič manj nevarni obliki dogajajo tudi v Sloveniji. Statistika kaže, da vsaka tretja žrtev kibernetskega napada, ki je imel za posledico krajo podatkov, pozneje doživi še krajo identitete.