145 miliónov ukradnutých hesiel z eBay
Používali ste niekedy eBay? Tak si môžete byť takmer istí, že hackeri majú k dispozícii aktuálne vaše meno, zašifrované heslo, e-mailovú adresu, adresu trvalého bydliska, telefónne číslo a dátum narodenia. A ak ste na prvú otázku odpovedali áno, už vám pravdepodobne prišiel e-mail osobne od prezidenta eBay s výzvou, aby ste si zmenili heslo. Čo sa stalo?
V časovom rámci medzi februárom a marcom sa uskutočnil pravdepodobne najväčší hackerský útok v dejinách internetu. Malo byť ukradnutých 145 až 223 miliónov používateľských dát vrátane hesiel. Možno aj vy zmätene pozeráte na obálku PC REVUE, veď držíte v rukách júlové číslo. Áno, tri mesiace trvalo, kým sa eBay k danému problému priznal.
Aj keď tvrdí, že celý ten čas niekoľko bezpečnostných firiem pracovalo súčasne na zistení problému, je to výhovoSkôr si eBay zobral dostatok času, aby pripravil spolu s PR agentúrami správny priebeh krízovej komunikácie. Čo sa teraz stane s našimi údajmi? A čo všetky tie nákupné a predajné operácie na eBay? A ešte horšie, eBay vlastní PayPal, na ktorý máme ako používatelia napojené bankové čísla, kreditné či debetné karty. Takže sú naše údaje v bezpečí?
Keď sa už eBay nepodarilo udržať dáta v bezpečí, podarí sa to ostatným? Uniklo viac ako 145 miliónov osobných údajov používateľov.
Masívny útok, o ktorom sa nevie veľa
Paradoxne treba pochváliť eBay za transparentný prístup pri vzniku problému. Prezident eBay vo svojom mene verejne priznal chybu a prienik do systémov, opísal a potvrdil priebeh útoku a zároveň vyzval na zmenu hesla aj na všetkých službách, pri ktorých používate rovnaké heslo ako na eBay. Najväčší aukčný internetový dom na svete teda priznal chybu, zároveň však o masívnom útoku veľa nepovedal.
Priznal skompromitovanú databázu obsahujúcu heslá všetkých svojich používateľov po celom svete, aj keď v zašifrovanej podobe. Niektoré informácie hovoria o 145 miliónoch ukradnutých používateľských údajov, iné zas o 223 miliónoch. Nech je akokoľvek, aj napriek faktu, že heslá sú v zašifrovanej podobe, už len sama databáza s osobnými údajmi toľkých ľudí má na čiernom trhu odhadom cenu niekoľkých miliónov dolárov. Čo s tým ďalej? Ak máme byť úprimní, nič iné okrem zmeny hesla vám nepomôže. Ak ste niekedy eBay použili, vaše osobné údaje sú už v rukách hackerov.
eBay potvrdil, že nemá informáciu o tom, že by boli zneužité finančné alebo bankové údaje v rámci ich systémov, hackeri sa jednoducho dostali k databáze používateľských mien a hesiel a pridružených osobných údajov. Podľa informácií (ktorých o prípade nie je veľa) sa dostali k databáze cez zneužité dáta troch zamestnancov spoločnosti. Ak ste si menili heslo po 21. máji, malo by byť všetko v poriadku, inak si heslo určite zmeňte. A ak ste náhodou používali rovnaké heslo aj v iných službách (najmä v internetovom bankovníctve), zmeňte si ho určite aj tam. Viac pre pokoj v duši urobiť nemôžete.
S takýmto logom sa na stránke eBay stretnete pomerne často. Najväčší aukčný dom neustále chráni svojich predajcov aj kupujúcich pred podvodmi a garantuje vrátenie peňazí.
eBay vlastní PayPal
eBay je zároveň vlastníkom PayPal, najväčšej internetovej platobnej brány na svete. Podľa bezpečnostnej firmy, ktorá pracovala na vývoji bezpečnostných riešení PayPalu, sú platobné dáta vždy oddelené od prihlasovacích, existuje silný firewall medzi systémami eBay a PayPal a dáta PayPal by mali byť oddelené na samostatných serveroch s ešte vyšším stupňom zabezpečenia. Takže teoreticky by služby PayPalu nemali byť dotknuté, no ak máte rovnaké heslo na PayPal ako na eBay, bezpodmienečne si ho zmeňte.
eBay používa pokročilé analýzy (správania sa používateľa v jeho službe), a ak niektorú transakciu považuje za rizikovú, nepovolí ju. Zároveň eBay ponúka ochranu tak pre predajcov, ako aj nakupujúcich. Ak odhalíte podvodné správanie, prípadne neautorizovanú operáciu (prezrite si pre istotu históriu vašich transakcií), problém môžete okamžite nahlásiť eBay, pričom ten garantuje vrátenie peňazí pri podvode. Zároveň predstavitelia spoločnosti vyhlásili, že neevidujú nijaký podvod spojený s masívnym hackerským útokom.
Riešením môže byť dvojfaktorová autentifikácia
Vzniknutý problém je pomerne citlivá záležitosť, s ktorou my ako používatelia nemáme veľmi čo spraviť. A zároveň sa opäť vynára na povrch otázka dôvery v internetové služby. Ak už ani gigant ako eBay nedokáže ochrániť svoje systémy pred zneužitím, ako si môžeme byť potom istí, že tie stovky menších či väčších internetových portálov (vyhľadávače, e-shopy, sociálne siete atď.) to dokážu? A čo môže pomôcť? Na túto otázku sa natíska pomerne jednoduchá odpoveď - dvojfaktorová (2F) autentifikácia. Heslo ako prvý autentifikačný faktor a následne druhý faktor (SMS overovací kód, hardvérový/softvérový token, prípadne čokoľvek, čo bude mať fyzicky k dispozícii iba používateľ).
2F autentifikácia rieši základný problém, a to možnosť zneužitia ukradnutých hesiel. Samozrejme, nedokáže odstrániť problém ukradnutia osobných údajov. Aktuálne najväčší kyberútok v histórii internetu zostáva zatiaľ nepotrestaný, bez vinníka a zatiaľ bez škôd. Otázne však je dokedy. Používatelia začínajú byť čoraz viac nedôverčiví, začínajú poskytovať nepravdivé osobné údaje, vymyslené telefónne čísla. A oprávnene. So vzniknutým problémom už nikto nič neurobí, dôležité je postarať sa o nápravu do budúcnosti. Navyše v internete začína byť pripojených čoraz viac používateľov a zariadení. A tak internetové služby začínajú bojovať so svojím základným problémom, ktorým je bezpečnosť.
Ak sa chcete cítiť bezpečnejšie, používajte 2F autentifikáciu všade tam, kde to ide. Okrem hesla budete mať ako druhý faktor ochrany jednorazový prístupový kód, ktorý poznáte iba vy.