Slabá hesla podkopávají zabezpečení velkých firem

Únik citlivých dat se konkrétně dotkl serveru, který zajišťuje lékařskou asistenci. Podle expertů IT se jednalo o chybu konfigurace při ověřování hesla, která se projevila na hostingovém serveru. Někteří odborníci ale takové zdůvodnění považují za eufemistické a tvrdí, že státem kontrolovaný server užíval buď automaticky přidělovaná hesla nebo hesla, která šlo snadno uhodnout a prolomit. Hackeři proto mohli využít zmíněné chyby konfigurace, aby podryli systém bezpečnostních kontrol nastavených administrátory kvůli ochraně dat. Je přitom jasné, že takové chyby nejsou ničím neobvyklým.

Rozsáhlý audit, jehož výsledky zhruba před měsícem zveřejnil americké ministerstvo energetiky, například ukázal, že jedenáct serverů předního amerického dodavatele elektřiny (společnosti Bonneville Power Administration) je chráněno slabým heslem. Kyberútočníci by tak mohli velmi snadno získat přístup do celého systému. Čtyři servery přitom umožňovaly spravovat vzdáleně přihlášeným uživatelům sdílené soubory. Server, na kterém byl účet administrátora, navíc chránilo pouze výchozí heslo.

Další zajímavý případ (tentokrát ze začátku dubna) se týká firmy Global Payments, která se zabývá bezhotovostním platebním stykem. Kvůli nedostatečně silným heslům unikla ze serverů data o platebních kartách zhruba 1,5 milionů lidí.

Za zmínku stojí rovněž útok čínských hackerů na americkou Obchodní komoru nebo kybernapadení serveru WineHQ database. Podle dostupných informací bylo vždy příčinou prolomení administrátorských účtů.

Je zároveň zřejmé, že velké společnosti spravují stovky až tisíce uživatelských jmen a hesel. Mnoho uživatelů má vysoké úrovně práv, a tedy přednostní přístup k aplikacím, databázím, sítím a operačním systémům. Třebaže mnoho účtů nemá pro celkový chod společností zásadní význam, existuje nemálo těch, u kterých by cizí vniknutí mohlo přinést citelné problémy v provozu.

Odborné studie ukázaly, že počet lidí, kteří požadují administrátorská práva a přístupy do systémů (nejčastěji kvůli obsluze nebo možnosti je upgradovat), je mnohem vyšší, než si jsou manažeři  vědomi. Mnoho firem navíc dovoluje správcům a uživatelům používat pro tyto účty jednoduchá nebo výchozí hesla.

Nepomohou ani rozšířené ochranné prvky. Například pokud je autentizace hesla založena na bezpečnostní otázce (jako je jméno domácího zvířete nebo oblíbeného filmu), lze hovořit o poměrně vysoké pravděpodobnosti prolomení. Tedy alespoň v případě, že si útočník vytipuje server, jehož správci takto zabezpečení nastavili.