Šį kartą, stengsiuosi panagrinėti ypatingųjų duomenų atskleidimo atvejus iš realaus gyvenimo. Manau, realių atvejų pateikimas dar geriau atskleis šios temos svarbą. Taigi, pradėkime.
Tikriausiai, Jums negirdėtas, tačiau nežmoniško masto skandalas įvyko 2017 metų rugsėjo 7 dieną, kai buvo pavogti vienos didžiausių JAV finansinių įstaigų, kredito agentūros (angl. credit agency) Equifax, klientų duomenys.
Equifax esmė – paviešinta milijonų žmonių jautri privati informacija, dėl neadekvačių saugumo sprendimų ir incidento valdymo (nepataisytų pažeidžiamumų, nereagavimo). Duomenų vagystė įvyko dėl CVE-2017-5638 pažeidžiamumo Equifax svetainėje.
Kas paviešinta?
- Pavogti daugiau nei 147,9 mln. amerikiečių, 15,2 mln. Jungtinės Karalystės piliečių ir 19 000 Kanados piliečių finansinių ir asmens duomenų.
- Atskleista labai jautri vartotojų informacija, t. y. asmenį identifikuojanti informacija (PII). Išgauta labai daug neskelbtinos finansinės informacijos ir asmens duomenų: 209 000 JAV vartotojų kreditinių kortelių numeriai ir kiti dokumentai, kuriuose buvo nurodyti asmens duomenys. Dažniausiai pavogti buvo vardai ir pavardės, socialinio draudimo numeriai, gimimo datos, adresai, taip pat kai kurių vairuotojo pažymėjimų numeriai, o kai kurių – minėti banko kortelių numeriai.
Kokios klaidos padarytos?
- Ilgą laiką neužtaisytas (angl. unpatched) pažeidžiamumas sistemoje.
- Nesugebėjimas reaguoti – į pažeidimą nebuvo greitos reakcijos, įsilaužėliai sistemoje darė, ką norėjo net 76 dienas, prisijungė net kelios grupės įsilaužėlių.
- Prastas šifravimo valdymas – bendrovė ne mažiau kaip 10 mėnesių iki pažeidimo aptikimo neatnaujino viešojo rakto sertifikato, kuris yra įprastas norint užtikrinti tinklų saugumą, nes PKI sertifikatai leidžia šifruoti ir iššifruoti perduodamus duomenis, tačiau juos reikia atnaujinti kasmet. „Equifax“ per vėlai atnaujino savo sertifikatą, o tai pavėluotai suteikė galimybę matyti neteisėtą duomenų judėjimą, nes sertifikatai jų savininkui suteikia tikrinimo galimybę.
- Netinkamai paskirstyti duomenys leido prarasti masyvų kiekį duomenų iš karto.
- Darbuotojams buvo suteikta per daug leidimų, leidžiančių pasiekti daugiau informacijos nei jiems reikia.
Dėl šio įvykio įmonė patyrė milžinišką reputacinę žalą, apskritai, sumažino žmonių pasitikėjimą finansinėmis įstaigomis, bendrovė turėjo sumokėti milijonines baudas ir kompensacijas nukentėjusiems (mažiausiai 425 milijonų), o taip pat investuoti dideles sumas į saugumo gerinimą, na, o įsilaužėliai galėjo pavogti žmonių tapatybes bei perimti jų sąskaitas – žmonės prarado asmeninius duomenis, jų vardu galėjo būti sukčiaujama.
Šaltinis: https://www.hypr.com/security-encyclopedia/equifax-security-breach
Reply