2019 jelszóvédelmi botrányai, a nagyok is sérülnek
Aki nem érintett, bele sem gondol abba, hogy mekkora veszteséggel járhat egy social média profil elvesztése, vagy akár az, ha nem pusztán letörlik, hanem „csak” feltörik? Mi végig gondoltuk és találtunk néhány érdekes tényt ezzel kapcsolatban.
Láttalak a neten, ATO a nevem, mindened viszem
Az elmúlt években számos tech óriás esett áldozatul kibertámadásnak vagy a saját meggondolatlanságának. Google, Yahoo, Sony, GitHub, British Airways, Citrix, Toyota, de a Facebook és az Instagram is azok közt a cégek közt van, akik a megfelelő biztonsági intézkedések hiányában kiszivárogtatták ügyfeleik, alkalmazottaik adatait dollármilliárdos károkat okozva ezzel, maguknak és partnereiknek is. A Te céged ugye nem ilyen?
A Revision Legal 2018-as kutatásából és a thehackernews.com oldalon a felsorolt cégek eseteiről részletesebben is olvashatsz.
Mi az az ATO, hogy jön ide és miért is kell?
Az Account Takeover (ATO) incidens során egy vagy több rendszerhez hozzáférő felhasználó bejelentkezési azonosítója és jelszava illetéktelen kézbe kerül. (kiszivárog, ellopják)
A Youtube-on egy percbe telik találni egy oktató videót, hogyan kell feltörni Facebook vagy bármilyen más nagyobb szolgáltatói fiókot. Tele a net kifejezetten erre írt oldalakkal, toolokkal, mint a Feebhex, Instahaxor, stb.
A fenyegetés valódi, ezért a megelőzésre és a felkészülésre kell törekednünk. Az ATO elleni felkészüléshez a Spy Cloud Account Takeover szolgáltatásra esküszünk, mert hűek a mottójukhoz: „Cselekedj mielőtt a bűnözők megteszik.” Ha tudni szeretnéd, hogy hogyan lehet lépést tartani a hekkervilággal és a kiberbűnözőket megelőzni, akkor a korábbi ATO-s anyagunkat fusd át.
A Google nem ismeri jelszóvédelmet? -14 évig plaintextben tárolta a G Suite a jelszavad
A Facebook és a Twitter után a Google-ről is kiderült, hogy „véletlenül” plaintextben és védtelenül tárolta a felhasználók jelszavát a belső szerverein. Mindezt titkosítás és jelszóvédelem nélkül– így tulajdonképpen bármelyik Google-alkalmazott hozzáférhetett ehhez a privát password tárhoz. Ettől a hírtől mi is eldobtuk az agyunkat.
A korábban Google Apps néven ismert G Suite, az üzleti változata annak, amit a Google kínál. Röviden munkamenetet, produktivitást és cégen belüli együttműködést megkönnyítő alkalmazások, eszközök gyűjteménye.
A most már javított hiba a G Suite ügyfelek jelszó-helyreállító mechanizmusában volt, ahol az admin konzolon megtalálhatóak voltak a korábbi jelszavak, mert azok másolatát titkosítás helyett plaintextben tárolta a rendszer -vallotta be a cég.
Megnyugtatásképp azt állítják, hogy a saját biztonságos titkosított szervereiken tárolták ezeket, és a vállalat nem talált bizonyítékot arra, hogy bárki jelszavát helytelenül használják. Bár a hiba csak a G Suite felhasználóit érintette, a Gmail-t nem, de mivel a Google nem publikált pontos kitettségi adatokat, így csak annyi biztos, hogy több mint 5 millió vállalati ügyfél érintett.
Ömlik a jelszó az internetre - sehol egy PAM?
Majdnem egy évvel ezelőtt, a Twitter is jelentett egy hasonló biztonsági hibát, mint most a Google, az akkori eset 330 millió felhasználó jelszavait érintette.
A múlt hónap végén a Facebookról is kiderült, hogy hibásan tárolta "több százmillió" Facebook felhasználó jelszavát plaintextben, ideértve az Instagram-felhasználóinak password-jeit is. A nemrégiben updatelt sajtóközleményben az az igazán érdekes, hogy az érintett Instagram-felhasználók tényleges száma nem százezres nagyságrendű, hanem több millió volt.
A frissített közlemény szerint „a Facebook olvasható formátumban tárolt "kiegészítő jelszó listákat", de hozzátette, hogy a vizsgálata során kiderült, hogy a tárolt jelszavakkal senki sem "élt vissza vagy használta helytelenül". Hát persze…
A tendencia pedig folytatódik. Ömlik a neten a jelszóvédelmi botrányokról szóló híradás. Ha az eddigi példák nem voltak elég elrettentőek, akkor mindenképpen kattints, hogy megtudd, hogyan járt pórul a bolgár adóhatóság és a minap éppen a Capital One.
Ezek után egy jelszócsere mindenkinek javasolt, de céges környezetben ennél többet kell tennünk. Egy PAM rendszer használatával megelőzhetők a jelszó mendzsment hiányából adódó biztonsági kockázatok. Korábban már sok érvet felsoroltunk mellette az alábbi cikkben: Thycotic ,és még mindig ingyenesen tesztelheted is, hogy nem csak vállalati alkalmazásokba való beléptetéshez alkalmas.
Tanulság? – Fegyverkezz fel, PAM, ATO és a többiek
A mindennapok szerves részévé vált a közösségi média használata, nem csak privát kapcsolattartásra, hanem munkahelyi networkingre, marketingre, alkalmazásokba és felületekre való belépéshez is sokan használják. Emiatt kiemelt támadási felület a kiberbűnözők számára. Ezért kell az erősebb biztonság tudatosság, valós intézkedések szükségesek mind privát, mind vállalati szinten.
Sokmindent tehetünk: Kétfaktoros hitelesítés, jelszótitkosítás, gyakori jelszócsere, szivárogtatás ellenőrzése. És mindezt nagyvállalati színvonalon is megteheted a már említett Thycotic PAM rendszer és a SpyCloud ATO szolgáltatások jóvoltából.
Ha ezek után úgy érzed, hogy többet akarsz felmutatni, mint egy monitorra felírt admin jelszó, akkor nézd meg a filter:max workshopon készült videóinkat és bátran kérd személyes tanácsunkat a fenti témákban is!