Hvar eru gögnin þín?
Hvernig eru einkaupplýsingarnar þínar vistaðar hjá stórum fyrirtækjum? Hvað kemur fyrir þig ef netþjófar hakka síðuna og stela öllum upplýsingum hjá þeim?
Fyrir stuttu var hakkað eitt stærsta tæknifyrirtækið í Bandaríkjunum, Uber, sem býður hverjum sem er að gerast leigubílstjóri. Árásin var framkvæmd af bara einum 19 ára strák sem reyndi ekkert að fela fyrir fólki hvað hann hefði gert. Hann tilkynnti árásina til allra starfsmanna Uber, með skilaboði á Slack rás þeirra [2]. Samkvæmt nýjustu gögnum þá hefði hann getað eytt öllum gögnum úr gagnagrunni þeirra eða jafnvel selt upplýsingarnar á svörtum markaði, en þeir voru bara heppnir. Strákurinn var með fulla stjórn yfir öllu og nýtti það í að læsa allt starfsfólkið frá því að sinna vinnunni sinni og hlaða vafasömum myndum á Slack rás þeirra. Þetta var mjög vel sloppið.
Nú hugsar flestir með sér "Eins gott að ég sé Íslendingur sem hefur ekki aðgang að Uber. Ég nota bara síður sem hafa aldrei verið hakkaðar". En ertu nú alveg viss um það?
Í öllum greinunum um Uber árásina er lítið minnst á að þetta sé ekki fyrsta heppnaða árásin sem Uber hefur fengið á sig. Árið 2016 náðu netþjófar að stela gögnum úr gagnaveri Uber og þeir voru ekki að leika sér. Upplysingar um 600,000 bílstjóra og 57 milljónir notenda voru stolin. Þegar þjófarnir höfðu samband við fyrirtækið þá reyndu þeir að borga hökkurunum til að hafa hljótt. Þeim fannst þetta vera besta lausnin. Þessi árás kom síðan í ljós árið 2018 og Uber fékk á sig 148 milljón dollara sekt [3]. Samkvæmt lögum þá ættu tæknifyrirtæki að láta notendur vita ef gögnum þeirra er stolið, en það lækkar hinsvegar virði hlutabréfa þeirra. Það er mikið af árásum í gangi daglega. Gögnunum þínum gæti hafa verið stolið í árás sem enginn veit af eins og er. Eina sem þú getur gert er að nota mismunandi lykilorð fyrir aðgangana þína. Ef þú notar sama lykilorð fyrir allar síður þá þarf aðeins að stela því frá einum stað til að eiga alla aðgangana þína.
Eruð þið orðin eins áhyggjufull og ég? Er ég kannski smá að ýkja? Vissulega var Uber með lélegt öryggi og var alvega sama um notendur sína þar sem upplýsingar um hvert þú færð far eru kannski ekki mikilvægar.
Það er til álika dæmi um fyrirtækið Touchstone, sem sér um læknisfræðilega myndagerð og er með stóran gagnagrunn sem innihalda viðkvæmar upplýsingar. Árið 2014 hafði alríkislögregla Bandaríkjanna (FBI) samband við þá varðandi öryggisgalla sem gat ollið leka á upplýsingum sjúklinga. Fyrirtækið sagðist hafa skoðað málið stuttu seinna og neitaði því að upplýsingar hefðu verið leknar, en eftir rannsókn frá yfirvöldum kom í ljós að skjöl 300,000 sjúklinga hefðu verið lekin. Fyrirtækið var einfaldlega ekki búið að setja í gang nógu góða rannsókn til að sjá hvort upplýsingum hefði verið lekið. Touchstone var sektað um 3 milljónir bandaríkjadali fyrir að bregðast sjúklingum þeirra með ónægilegu öryggi og að láta fórnarlömbin vita of seint af árásinni [1].
Farið nú varlega á netinu.
Hörudur: Arnór Þorleifsson nemandi við Háskólann í Reykjavík
Heimildir
[1] HHS.gov. Tennessee diagnostic medical imaging services company pays $3,000,000 to settle breach exposing over 300,000 patients’ protected
health information. https://public3.pagefreezer.com/browse/HHS.gov/31-12-2020T08:51/ https://www.hhs.gov/about/news/2019/05/06/tennessee-diagnostic-medicalimaging-services-company-pays-3000000-settle-breach.html.
[2] Wired.com. The uber hack’s devastation is just starting to reveal itself. https://www.wired.com/story/uber-hack-mfa-phishing/.
[3] New York. A.g. underwood announces record $148 million settlement with uber over 2016 data breach. https://ag.ny.gov/press-release/2018/ag-underwood-announces-record148-million-settlement-uber-over-2016-data-breach.
Skil á efni
Leita í vefútgáfu Tölvumála
Um Tölvumál
Tölvumál - tímarit Skýrslutæknifélags Íslands er óháð tímarit um tölvutækni og hefur verið gefið út frá árinu 1976.
Vefútgáfa Tölvumála birtir vikulega nýja grein á vef Ský og árlega er gefið út veglegt prentað tímarit undir nafninu "Tölvumál" þar sem fjallað er um tölvutækni frá ýmsum sjónarhornum og er þema blaðsins jafnan valið snemma árs og útgáfa að hausti.
Ritnefnd Ský sér um að afla efni í Tölvumál og geta allir sem áhuga hafa sent inn efni.