Koncem dubna se uživatelé sítí PlayStation Network (PSN) a Sony Online Entertainment provozovaných firmou Sony stali oběťmi série útoků vedených na jejich osobní údaje. Výsledkem těchto útoků bylo získání citlivých informací o více než 100 milionech uživatelů a desítky tisíc čísel kreditních karet. O této události informovala na předních stránkách většina médií, takže by se mohlo na první pohled zdát, že se jedná o naprosto výjimečnou událost. Pravdou však je, že ke krádeži citlivých informací či čísel kreditních karet dochází daleko častěji, než by vás možná napadlo.
V této souvislosti se sluší poznamenat, že šťastný může být člověk, jehož citlivé údaje dosud nebyly nijak zneužity. Jak ale zařídit, abyste dostatečně chránili svá osobní citlivá data a zároveň minimalizovali riziko nepříznivých dopadů jejich zneužití, aniž byste žili jako poustevníci někde v horách? Právě to se dozvíte na následujících řádcích.
Situace na poli nelegálního získávání citlivých údajů
Jen v roce 2011 se nelegální zveřejnění citlivých osobních údajů či jiné riskantní manipulace s těmito daty dotkly desítek milionů uživatelů díky útokům na data spravovaná firmami Epsilon, RSA Security či Ashampoo. Kromě již zmíněných útoků vedených na sítě Sony byl zaznamenám útok i na samotný stát Texas. Útoky na data mohou být vedeny rozličnými způsoby. Tak třeba v příkladu texaského revizního úřadu (Texas Comptroller Office) vedla k zpřístupnění citlivých dat na webu chyba ve veřejně přístupné databázi. U firmy RSA Security umožnil útočníkovi přístup do vnitřní sítě firmy jednoduchý phishingový útok využívající zero-day chyby v povoleném Adobe Flashi.
U některých útoků na data není zkoumání jejich příčin dosud zcela objasněno, popřípadě podrobnosti o nich jsou jen velmi kusé. I přesto je jasné, že prakticky vždy byla na vině určitá míra trestuhodné nedbalosti. Jinými slovy se dá proniknout prakticky do každé sítě, je to víceméně pouze otázka času a míry nadšení útočníka.
Do jaké míry ohrožují útoky na data přímo vás?
Není nebezpečí jako nebezpečí
Důsledky takových útoků jsou dány v podstatě dvěma faktory: v prvé řadě jde o to, jaký druh informací byl zneužit a ve druhé řadě o to, co se zcizenými daty útočníci zamýšlejí provádět. U některých útoků na data jde v podstatě pouze o získání e-mailových adres, jiné útoky zajistí útočníkům daleko hodnotnější a cennější údaje, jako jsou například čísla bankovních karet či bankovních účtů.
Pokud se takovým útokem podaří získat pouze e-mailové adresy, pak skutečným významnějším rizikem jsou potenciální phishingové útoky, což se ostatně přihodilo i při útoku na data firmy Epsilon, kde se útočníkům podařilo ukrást několik milionů e-mailových adres. Povědomí o tom, že nějaká e-mailová adresa je používaná a že souvisí s určitým typem podnikání, umožňuje hackerům útočit prostřednictvím phishingových útoků daleko efektivněji a s daleko větší možností uspět.
Pokud se útokem na data získá daleko více citlivých údajů než jen e-mailová adresa, jako tomu bylo třeba v případě texaského revizního úřadu (Texas Comptroller Office), kdy se útočníkům podařilo získat jména a příjmení, adresy, data narození, čísla pojištění a čísla řidičských průkazů, již krádež identity představuje skutečně velmi závažné riziko. Útočník, popřípadě ten, kdo tyto údaje od útočníka koupí, pak může tyto údaje zneužít třeba tak, že se bude za vás vydávat a kupříkladu vytvářet pod vašimi osobními údaji nové podvodné účty.
Zřejmě nejhorším způsobem útoků je ten, kdy útočník získá čísla bankovního účtu nebo čísla kreditních karet. Útočník pak totiž může toto číslo použít pro nákupy, popřípadě pokud se mu podaří získat k bankovnímu účtu rovněž další přístupové údaje, jako je přihlašovací jméno a heslo, vykrást bankovní účet.
2. díl článku: http://pcworld.cz/internet/ochrante-sva-data-pred-masivnimi-utoky-hackeru-2-dil-20296
Úvodní foto: © Andrea Danti - Fotolia.com