Facebook priznal bezpečnostný incident. Unikli mu dáta 50 miliónov používateľov. Útočníci využili hneď niekoľko zraniteľností a dostali sa aj k prístupovým tokenom, cez ktoré sú k Facebooku linkované ďalšie účty, ako napr. Instagram. Facebook prinútil používateľov postihnutých útokom nanovo sa prihlásiť, opravil zraniteľnosť a zresetoval tokeny tiež ďalším 40 miliónom používateľom ako preventívne opatrenie. Útok oznámili FBI, polícii, zákonodarcom a v neposlednom rade irskemu úradu na ochranu osobných údajov v rámci informačnej povinnosti ustanovenej v GDPR.

Len málo čitateľov týchto stránok nezachytilo incident s WannaCry ransomvérom, ktorý sa prehnal celým svetom a tisícom používateľov zneprístupnil ich dáta a požadoval od nich výkupné. Hoci podobné incidenty sa dejú takmer denne, tomuto incidentu sa podarilo získať široké mediálne pokrytie, lebo zasiahol aj viacero inštitúcií, ktorých fungovanie je pre spoločnosť kritické, ako napr. NHS (prevádzkovateľ eHealthu v UK). K medializácii prispelo aj zábavné zastavenie jeho šírenia mladým výskumníkom, ktorý zaregistroval neexistujúcu doménu, ktorú ransomvér „volal“. Vysvetlivky a prakticky všetko, čo o tomto celosvetovom incidente potrebujete vedieť zosumarizoval ESET.

Update: Aby sme si nemysleli, že toto všetko sa deje v inej galaxii a nám sa nemôže nič podobné stať, tak problémy hlási aj nemocnica v Nitre.

Neuveriteľné štatistiky bezpečnostných incidentov

Digital Forensics Association vydala štúdiu Suzanne Widupovej pod názvom The Leaking Vault 2011, týkajúcu sa bezpečnostných incidentov spojených z únikom osobných údajov za posledných 6 rokov. Zahŕňa až neuveriteľných 3765 zaznamenaných a zverejnených incidentov a je najväčšou štúdiou svojho druhu. Autorka zozbierala informácie od organizácií, ktoré monitorujú bezpečnostné incidenty a tiež z vládnych zdrojov pričom sa jej podarilo okrem USA zmapovať aj ďalších 33 krajín. Štúdia pokrýva incidenty v období rokov 2005 až 2010 v počte 806,2 milióna záznamov, s ktorými bolo neoprávnene nakladané. V priemere prišli organizácie denne o 388 000 záznamov čo znamená únik 15 000 záznamov každú hodinu za uplynulých 6 rokov. Alarmujúce čísla pre ochranu osobných údajov len dopĺňajú náklady organizácií spojené s bezpečnostnými incidentmi vo výške 156 miliárd USD.

Vzhľadom na to, že naša legislatíva neobsahuje povinnosť informovať verejnosť o bezpečnostných incidentoch, nie sú podobné štatistiky pre Slovensko k dispozícii. Prevádzkovateľ nie je totiž povinný ani notifikovať dotknutú osobu, že jej údaje boli skompromitované, a že by bolo vhodné prijať preventívne opatrenia na to, aby neboli zneužité.

Celá štúdia: https://www.infosecisland.com/download/index/id/34.html

Nepoučiteľná armáda – FAIL

Niektorí prevádzkovatelia sú skutočne nepoučiteľní. Nie je tomu tak dávno čo sa médiami prehnala kauza strateného/objaveného USB kľúča s osobnými údajmi profesionálnych vojakov a príbeh sa znovu opakuje. A tak máme nový USB kľúč (našiel ho náhodný chodec a odovzdal TV JOJ, ktorá ho vrátila armáde, viď včerajšie správy na JOJ-ke) a ďalšie údaje v rukách neoprávnených osôb, pričom podobnosť s predchádzajúcim prípadom nebude vôbec náhodná.

Už minulá kauza mala byť podnetom k úprave podmienok spracúvania osobných údajov u prevádzkovateľa s takto závažným bezpečnostným incidentom. Prvým a nie posledným krokom, ktorý musí nasledovať po takto bezprecendentnom úniku dát je úprava bezpečnostného projektu a zavedenie prísnejších opatrení do praxe. V tomto prípade by bol postačujúce šifrovanie (pričom pôvodne USB kľúče zakázali úplne). Pokiaľ by bol USB kľúč šifrovaný tak by jediným rizikom (nehľadiac na rozšifrovanie) bola strata údajov, ak by neexistovala záložná kópia. Chodec by kľúč otvoril, sformátoval a používal pre svoje potreby. Zneužitie údajov by nehrozilo ani v prípade, že sa nálezca nezachoval takto zodpovedne.

Zdá sa, že ani hrozba pokuty zo strany Úradu na ochranu osobných údajov SR a ani vyšetrovanie Vojenskej polície nepopchlo kompetentných v ozbrojených silách, aby urobili čo mali – prijali opatrenia na zabezpečenie spracúvaných osobných údajov. Dúfajme, že tento nový prípad bude pre to konečne dôvodom.