V Spotify sa rozhodli, že skoncujú so zneužívaním rodinných balíkov ľuďmi, ktorí nie sú príbuznými. To sa dá pochopiť, lebo na takýchto používateľoch prichádzajú o príjmy. Rodinné balíky zvyknú zneužívať kamaráti, susedia či spolužiaci, aby za hudbu platili menej. Napriek tomu, že Spotify je európskou firmou a máme fungujúce GDPR, zvolili pomerne riskantný krok. Je ním overovanie polohy prostredníctvom GPS. Ním sa chcú v Spotify presvedčiť, že ich „rodina“ býva skutočne pod jednou strechou. V prípade debaty s dozorným úradom sa však môžu ocitnúť na tenkom ľade, lebo na jednej strane zasahujú do súkromia používateľov a na strane druhej môžu získať nie celkom presné výsledky. Susedia v rámci bytového domu sa môžu naďalej tváriť ako rodina, kým deti dochádzajúce do školy môžu rozvrátiť rodinné konto. Požadovať lokalizačné údaje, keď mi ich získanie negarantuje sledovaný účel tak už môže byť cez čiaru. Najmä, ak by nebolo jednorazové…

Finančná správa SR predložila do NRSR novelu zákona, ktorý by mal meniť fungovanie a používanie systému eKasa. Podľa návrhu ma byť s bločkom identifikovaný aj zákazník a jeho nákup. Štát si od toho sľubuje zefektívnenie výberu daní v kontexte predchádzaniu daňových podvodov. Podľa právnej analýzy EISi, predkladaná Novela nie je v súlade so o všeobecným nariadením o ochrane osobných údajov (GDPR).

Nezvykneme linkovať bulvár, ale v tomto prípade poukazuje na najklasickejšie zlyhanie oprávnenej osoby. Zamestnanci, ktorí pri svojej práci prichádzajú do styku s osobnými údajmi spravidla vedia, že majú povinnosť mlčanlivosti. Nie všetci si však uvedomujú, že táto mlčanlivosť sa vzťahuje aj na používanie osobných údajov, ktoré je pre súkromné účely mimo práce úplné vylúčené.

Pokuty, pokuty, pokuty…skloňujú sa takmer v každom článku venovanom GDPR. Pokiaľ ste stále nezistili aký je ich rozsah a za čo môžu byť uložené, tak pomoc nájdete aj v článku webu FINREPORT. Netreba však zabúdať na to, že ide o horné sadzby, po ktorých bude dozorný orgán siahať len výnimočne. Doterajšia prax Úradu na ochranu osobných údajov SR nasvedčuje viac tomu, že namiesto ukladania likvidačných pokút, bude siahať po preventívnejších opatreniach a pokutách, ktoré budú viac motivovať ako likvidovať prevádzkovateľa.

UBER má problém s bezpečnostným incidentom z konca minulého roka. CEO tejto spoločnosti oznámil, že im unikli mená a čísla vodičákov asi 600 000 vodičov v USA a mená, emaily a telefóny 57 miliónov zákazníkov po celom svete. Úradníci dozorných orgánov z Holandska, Talianska, Španielska, Francúzska, Nemecka, Británie a Belgicka spustili koordinované vyšetrovanie.

Skutočné riziká recyklovania hesiel (1)

V decembri roku 2016 spoločnosť Yahoo oznámila, že odhalila masívny hackerský útok, ktorý skompromitoval viac ako 1 miliardu užívateľských účtov. A to už v roku 2014 bolo v dôsledku bezpečnostného incidentu ohrozených viac ako 500 miliónov používateľov. Zatiaľ čo používatelia zvyčajne obviňujú prevádzkovateľov postihnutých webových stránok, skutočného vinníka však často nájdu v zrkadle vlastnej kúpeľne.

Mnohé incidenty sú spôsobené jedným zdanlivo nevinným spoločným faktorom: „používatelia počítačov a mobilných zariadení až v alarmujúcom rozsahu používajú svoje heslá na viacerých webových stránkach“.

Sme len ľudia a jedna vec, ktorú máme všetci spoločnú je obťiažnosť spomenúť si na trilión hesiel, ktoré používame každý deň na prihlásenie k e-mailom, bankovým účtom, obchodom s aplikáciami a zoznamkám,…

Mnohí používatelia prichádzajú s tým, čo považujú za vynikajúce riešenie. Prečo nepoužívať rovnaké heslo na všetkých stránkach alebo službách, ku ktorým pristupujú? Problém zapamätania všetkých týchto hesiel je okamžite vyriešený!

Nie tak rýchlo.

Štúdia vykonaná na 500 000 počítačoch sledovaných v priebehu troch mesiacov už v roku 2006 zistila, že každý používateľ má v priemere 25 účtov, ale iba 6,5 ​​hesiel. To znamená, že každý užívateľ použil rovnaké heslo v priemere na 4 miestach. Štúdia tiež ukázala, že sa recykluje veľké percento hesiel, ktoré sú považované za slabé. Znamená to, že ak hacker získa prístup k kombinácii používateľského mena a hesla používanej na jednej webovej stránke, existuje veľká šanca, že rovnaké informácie mu otvoria dvere k iným webovým stránkam a službám.

Hoci hackeri používajú na získanie prístupu k súkromným účtom používateľov nástroje ako keylogger či rôzny iný malware, stále je najjednoduchším spôsobom, ako získať prístup ku ktorejkoľvek skupine účtov práve cesta najmenšieho odporu. Tou sú duplicitné kombinácie prihlasovacieho mena a hesla, ktoré boli zozbierané pri prienikoch do iných webových stránok alebo služieb.

V tejto sérii článkov sa pozrieme na to, prečo je opakované používanie hesla zlý zvyk a aké môžu byť dôsledky tejto praxe. Povieme si aj čo môžu používatelia robiť, aby sa tohto zlozvyku zbavili. A spomenieme si niektoré aplikácie a služby, ktoré pomôžu vytvoriť, zapamätať si a spravovať heslá a ďalšie cenné informácie.

Prečo je teda recyklovanie hesiel zlé?

Zatiaľ čo veľká väčšina používateľov vie, že opätovné používanie hesiel je zlé, robia to naďalej. Prieskum uskutočnený vývojármi aplikácie na správu hesiel Lastpass na vzorke 2000 používateľoch internetu z USA, Nemecka, Francúzska, Nového Zélandu, Austrálie a Veľkej Británie ukázal, že:

  • 91% opýtaných vie ako nebezpečné je znovu použiť heslá, ale 61% z nich to aj tak robí (ich hlavný dôvod na zmenu hesla je zábudlivosť),
  • iba 29% respondentov z bezpečnostných dôvodov mení svoje heslá.

Respondenti, ktorí sa zúčastnili prieskumu, venovali najväčšiu pozornosť ochrane svojich online bankových účtov (69%), účtov v eshopoch (43%), prihláseniu na sociálnych sieťach (31%) a v rôznych účtov k službách  venovaným zábave (20%).

V štúdii sa tiež uvádza, že v roku 2014:

  • až 110 miliónov Američanov vo veku nad 18 rokov malo svoje osobné informácie kompromitované hackermi,
  • približne 19 ľudí sa stalo obeťami krádeže identity každú 1 minútu.
  • trvá priemerne 18 mesiacov a 200 hodín práce, kým sa odstránia následku krádeže identity.

Pomôže niektorá z týchto informácii používateľom rozmyslieť si opakované používanie jedného hesla? Určite by mala.

Ľudská nátura je vo veľkom rozsahu vinná za situáciu, ktorej teraz čelíme. Je to také ľudské, že keď sme konfrontovaní s ohromným počtom webových stránok, zariadení, aplikácií a sietí, ktoré vyžadujú prihlasovacie údaje, tak nás skôr či neskôr zasiahne únava z bezpečnosti. Tá môže zmeniť postoj k opätovnému použitiu hesla, z ktorého sa stane jednoducho cesta najmenšieho odporu.

Aj naša osobnosť nás môže ohroziť. Štúdia z dielne Lastpass poukazuje na dva vzorové typy správania používateľov:

  • Typ A sú ľudia, ktorí veria, že aj napriek recyklovaniu hesiel nie sú ohrození vďaka vlastnému organizovanému systému a proaktívnym zručnostiam.
  • Typ B sú ľudia, ktorí veria, že ich účty majú malú hodnotu pre hackerov, čo im umožňuje udržiavať príležitostný postoj k opakovanému použitiu hesla.

Chcete dostať menší šok? Preverte si svoje emailové adresy na https://haveibeenpwned.com/ a zistite, či prístup k niektorému z vašich účtov, kde adresu používate ako login nebol ohrozený. Je ľahké sledovať ako jedna kompromitovaná služba môže viesť k ďalším a veľkým dôvodom je opakované použitie hesla.

V marci tohto roka hackerská skupina známa ako „Turkish Crime Family“ tvrdila, že má prístup k 250 miliónom účtu iCloud. Hoci sa niektoré ich vyjadrenia nepotvrdili, predsa poskytli ZDNetu prístupy k 54 iCloudovým účtom, z ktorých mnohé boli potvrdené ako platné. Hackerská skupina požadovala výkupné v Bitcoinoch. Vyhrážali sa, že zresetujú milióny účtov a zároveň vzdialene povymazávajú zariadenia, ktoré sú s nimi spárované.

Apple tvrdil, že ak skupina skutočne má k dispozícii prihlasovacie informácie iCloud, tak to nebolo hacknutím serverov iCloud. „Zdá sa, že údajný zoznam e-mailových adries a hesiel bol získaný z kompromitovaných služieb tretích strán,“ uviedol Apple vo vyhlásení pre CNET. Väčšina používateľov iCloud, ktorí boli na 54 člennom zozname hackerov potvrdila pre ZDNet, že používali svoju e-mailovú adresu a heslo z iCloudu aj inde, napríklad na Facebooku, Twitteru a iných obľúbených stránkach. Avšak tri z kontaktovaných osôb uviedli, že ich prihlasovacie údaje boli použité len na iCloude.

Turkish Crime Family oznámila 10. apríla 2017 víťazstvo. Tvrdili, že ​​Apple to vzdal a vyplatil im výkupné. Podľa stavu ich peňaženky bolo výkupné v bitcoinoch skutočne zaplatené. Či už Apple platil alebo nie, neexistujú žiadne správy o zresetovaných účtoch na iCloud a vymazaných zariadeniach.

Aj keď neexistuje spôsob, ako to dokázať, opakované používanie hesla by mohlo byť jednou z príčin iCloud hacku. Jeho užívatelia, ktorí majú svoj účet chránený dvojfaktorovou autentifikáciou však môžu byť v kľúde. Hackeri by nemali mať prístup k ich účtom, keďže na prihlásenie do účtu iCloud na nedôveryhodnom počítači alebo mobilnom zariadení sú potrebné ďalšie doplňujúce informácie okrem hesla.

Opakované používanie rieši problém so zabúdaním hesiel, môže však výrazne ovplyvniť náš život. Vedome tak hackerom zľahčujeme napadnutie našich účtov.

Tento článok je prvým dielom série o recyklovaných heslách a bol vytvorený v spolupráci PIXEL PRIVACY.