Jakou životnost mají data z uniklých databází?

Na začátku dubna zmiňovala média únik dat z Facebooku, loni v listopadu došlo k úniku databází Spotify a tak bychom mohli pokračovat. Nejde samozřejmě o první, ani největší úniky dat. Bohužel neexistuje způsob, jak zranitelnostem zcela zabránit a ochránit se tak před únikem dat. Stojí za úvahu, jaké riziko takový únik představuje pro uživatele i pro společnosti.

Data útočníci těžili pomocí skriptu

V případě nedávného incidentu Facebooku šlo o data, která unikla už v roce 2019 (ke sběru dat patrně docházelo už v roce 2018). Už tehdy našli bezpečnostní výzkumníci záznamy ze 400 milionů účtů v nechráněné online databázi. Útočníci je získali pomocí tzv. scrapingu, jde o techniku, jak pomocí skriptu získávat automaticky data přímo z webu mimo datové feedy. Zneužili k tomu funkci, která umožnila vyhledávat další přátele na sociální síti podle telefonních čísel.

Útočníci tak získali databázi tvořenou přinejmenším jmény a telefonními čísly. Pokud v období, kdy ke scrapingu docházelo, byl dotčený profil veřejný, mohl útočník získat navíc celou řadu dalších osobních údajů.

Data, která zahrnují hodně osobních a identifikačních informací, jsou pro útočníky zlatý důl. Lze je použít při krádeži identity, cíleném phishingu, sociálním inženýrství, převzetí účtu a dalších podvodech.

Jak dlouho jsou uniklá data cenná?

Snižuje se hodnota uniklých dat v průběhu času? Odpověď je ano i ne. Uniklá data mají hodnotu, dokud jsou aktuální a validní.

Statické informace, jako je datum narození či jméno, na ceně v podstatě neztrácí. Opačným příkladem mohou být hesla, která si lidé čas od času změní, resetují je, protože zapomněli nebo se dozvěděli o úniku dat a podobně.

Data zůstávají delší dobu jen v rukou útočníků a jeho prověřených spolupracovníků.

Jakmile útočník data vystaví veřejně, jejich hodnota značně devalvuje. V první řadě se proto útočníci drží zkrátka. Zpravidla nejprve útočník využije data pro sebe, poté prodá ve své vlastní síti (ano i útočníci sází na networking), až poté na darkwebu.

Řada společností navíc dnes aktivně vyhledává možné uniklé databáze, jako součást preventivních bezpečnostních opatření.

Průměrně trvá 15 měsíců, než je útok ohlášen | Zdroj: Jarrod Overson
Průměrně trvá 15 měsíců, než je útok ohlášen | Zdroj: Jarrod Overson

Jaké riziko představuje únik pro uživatele služby?

Podle dat ze stránek HaveIBeenPwned.com, pouze 2,5 milionu veřejně přístupných, nechráněných záznamů obsahovalo e-mailovou adresu; ve většině záznamů bychom našli jméno, pohlaví, datum narození, detaily o vztahu a zaměstnavatele. I bez e-mailové adresy jde o velmi osobní a zneužitelné informace.

U dat, které obsahovaly e-mailovou adresu, se útočníci mohou pokusit o přihlášení do různých služeb. Při přihlášení mimo Facebook, ze kterého data v tomto případě unikla, využívají útočníci e-mail a brute-force techniky v kombinaci s nejčastěji využívanými hesly.

Pokud oběť používá pouze jednoduchá hesla, navíc do vícero služeb a nikdy je nemění, je riziko odcizení účtu velké.

Jestli se vás některý z aktuálních útoků týká, lze ověřit na webu HaveIBeenPwned.com. Neméně důležité je ověřit také, zda nebylo kompromitováno telefonní číslo, což web umožňuje od začátku dubna letošního roku.

Proč je klíčové vědět, zda je z vašeho čísla věc veřejná? Komunikaci přes telefon používá řada firem – přes SMS vám chodí reklamní nabídky nebo resetované heslo k Netflixu. Útočníci samozřejmě nebudou váhat jméno a telefonní číslo využít k sociálnímu inženýrství a získat tak přístup nebo data, která mohou zpeněžit.

Před únikem dat se lze i chránit

Útočníci často kombinují různě uniklé databáze, což jim umožňuje získat ještě více informací a přesnější představu o potenciálních obětech. Právě informace jsou základem pro provedení psychologické manipulace tak precizní, že ji i znalý uživatel jen stěží prokoukne. Proto doporučujeme pochybovat o každé zprávě, kterou v souvislosti s vašimi účty dostanete.

Jak ochránit svá data před možným únikem?

  • Využívejte výhradně unikátní hesla.
  • Pro tvorbu hesel si můžete vymyslet vlastní algoritmus, aby se vám lépe pamatovala.
  • Začněte používat správce hesel, abyste neměli problém se zapamatováním velkého množství přístupových údajů.
  • Zapněte si 2FA vždy, když je to možné.  

Jak ochránit vaše uživatele?

  • Omezte plochu, přes kterou by se útočníci mohli k datům dostat.
  • Největším rizikem nejsou slabá hesla, ale recyklovaná hesla.
  • Nastavte jednoduchá pravidla pro tvorbu hesel – povolte už 8 znaků i všechny znaky (včetně české diakritiky nebo mezer).
  • Pokud to není opravdu nutné, nevynucujte expiraci hesel. Uživatelé mají tendenci tvořit klony vlastních hesel a recyklovat je.
  • Zakažte často používaná hesla, například qwertz, heslo, 1234 a podobně.
  • Sledujte aktuální informace o únicích dat.
  • Nabídněte uživatelům 2FA.