IT saugumo ekspertas: nutekėjo ne tik „CityBee“ duomenys

Per keletą pastarųjų metų tikriausiai nebuvo savaitės, kai vienur ar kitur Lietuvos žiniasklaidoje nebūtų publikuojamas straipsnis apie tai, kaip būtina pasirūpinti savo asmens duomenų ir ypač – slaptažodžių saugumu, kaip blogai dešimtims savo skirtingų internetinių paskyrų naudoti tą patį „123456“ kodą. Ir kelis kartus per metus pasirodydavo straipsniai apie tai, kad vis dar nėra slaptažodžio, kuris populiarumu prilygtų „123456“. Panašu, kad po „CityBee“ duomenų nutekėjimo skandalo viskas pasikeis. Bet ar ilgam?
„CityBee“ avarija
„CityBee“ avarija / 15min skaitytojo nuotr.

Na, gerai, sužinojome, kad „CityBee“, galimai dėl IT specialistų neatsargumo ir netinkamos kibernetinio saugumo praktikos prarado duomenų bazę su 114 tūkst. vartotojų asmens duomenimis – vardais, pavardėmis, lengvai iššifruojamais slaptažodžiais, asmens kodais, vairuotojo pažymėjimo numeriais. Pats duomenis suradęs ir pardavinėjantis asmuo interneto forumuose nurodo, kad tai nebuvo kažkokia duomenų vagystė su įsilaužimu – tai buvo tik viešai prieinamų duomenų paėmimas. Kitaip tariant, anot asmens, kuris prisistato „CityBee“ duomenų pardavėju, tie duomenys be jokios apsaugos buvo padėti mažai žinomoje ir ne kiekvienam lengvai randamoje, tačiau nesaugomoje vietoje ir jų paėmimas nebuvo nusikaltimas, nes niekur laužtasi nebuvo. O kas iš to?

Iš to galima daryti ganėtinai daug išvadų.

Pirma – daugybė žmonių, kurie savo privatumą labai akylai saugojo, bet dėl paslaugų teikimo sąlygų patikėjo savo duomenis „CityBee“, dabar tą privatumą prarado ir tapo potencialiais programišių taikiniais.

„Negeriečiai kaupia duomenis apie žmones naudodamiesi įvairiais duomenų šaltiniais, naudodamiesi OSINT ir kitais jiems prieinamais įrankiais. Surinkti duomenis į profilius, kurie gali būti panaudoti atakoms, nukreiptoms būtent į konkrečius asmenis, yra daug laiko ir pastangų reikalaujantis darbas, o čia yra išbaigti profiliai, gryni ir tikri (kad ir šiek tiek pasenę) duomenys.

Dar blogesnė yra situacija su slaptažodžiais. Jie nebuvo tinkamai apsaugoti nuo dešifravimo, todėl pasitelkus nemokamai ar mokamai prieinamas hash'ų bibliotekas galima atsikapstyti daugumą tų slaptažodžių. Pagaliau jei bibliotekos ir nėra prieinamos, su galinga žaidimams tinkama vaizdo plokšte galima generuoti dešimtis ar net šimtus milijonų hash'ų per sekundę ir juos lyginti su tuo, kas yra duomenų bazėje. Dalis tokių slaptažodžių greičiausiai bus panaudoti ir kitose sistemose, o tai nusikaltėliams suteiks galimybę atakuoti ir kitas, su „CityBee“ nesusijusias naudotojų paskyras.

Be to, su šia duomenų baze nutekėjęs slaptažodis gali išduoti principus, kuriais remiantis žmogus galvoja skirtingus slaptažodžius. Tikėtina, kad tie, kurie „CityBee“ sistemoje naudoja slaptažodį „citybee123“, greičiausiai ir kitur naudos tą pačią taisyklę, tarkim „Paypal“ sistemoje naudos „paypal123“. Taigi, mes iš tokio duomenų rinkinio gauname pakankamai informacijos apie žmogų, kad būtų galima bandyti jį vienaip ar kitaip atakuoti. Tai yra galas mano ir kitų žmonių, patekusių į tą duomenų rinkinį, privatumui“, – apibrėžė su 15min bendravęs kibernetinio saugumo specialistas Darius Šveikauskas.

O tai reiškia, kad patekus į šią „CityBee“ duomenų praradimo mėsmalę keisti reikia ne tik tą slaptažodį, kuris lygiai tokiu pačiu pavidalu, kaip ir prisijungimui prie „CityBee“ yra naudojamas kitose paslaugose (kas būtų labai prasta slaptažodžių naudojimo praktika). Net ir tiems gudresniems vartotojams kurie buvo susigalvoję slaptažodžių sistemą, teks ją keisti ir atsisakyti lengvai nuspėjamos slaptažodžių generavimo strategijos.

Reikėtų vengti pasikartojančių skaičių kaip gimimo datos, "laimingi skaičiai", primityvios skaičių sekos kaip 12345 ir panašiai. Tas pats galioja ir žodžiams: nesaugu slaptažodyje naudoti sistemos, į kurią jungiatės, pavadinimą. Tą patį galima pasakyti ir apie įprotį naudoti antros pusės vardą, augintinio vardą, vaikų vardus ir panašiai – tokius duomenis galima pakankamai lengvai susirinkti iš socialinių tinklų profilių. Slaptažodžių kūrimo sistema turėtų būti sunkiai nuspėjama, tam, kad tokiais atvejais kaip šis, apie kurį šnekame, nebūtų galimybės atspėti kitų sistemų / paskyrų slaptažodžių.

Antra – tai, kad mums žinoma, jog nukentėjo „CityBee“, toli gražu nereiškia, kad jie yra vieninteliai, kurie patyrė tokį kibernetinio saugumo fiasko.

Pranešti klaidą

Sėkmingai išsiųsta

Dėkojame už praneštą klaidą
Reklama
Išmanesnis apšvietimas namuose su JUNG DALI-2
Reklama
„Assorti“ asortimento vadovė G.Azguridienė: ieškantiems, kuo nustebinti Kalėdoms, turime ir dovanų, ir idėjų
Reklama
Išskirtinės „Lidl“ ir „Maisto banko“ kalėdinės akcijos metu buvo paaukota produktų už daugiau nei 75 tūkst. eurų
Akiratyje – žiniasklaida: tradicinės žiniasklaidos ateitis