Tavaly minden eddiginél komolyabb kihívásokkal kellett szembenézniük a vállalatoknak, intézményeknek, az átlagos internet felhasználóknak valamint a hétköznapi embereknek – derül ki a a Compliance Data Systems Kft. 2012-es adatszivárgási összefoglalójából.
A bűnözők a régi adatszivárgási módszerek mellett egyre kifinomultabb eszközökkel próbálják megszerezni adatainkat, illetve a mobileszközök elterjedésével összhangban egyre növekszik az elvesztett készülékek, adathordozók által kikerült bizalmas adatok mennyisége, ugyanakkor a védekezésben még mindig a spórolás és a látszatmegoldások alkalmazása a jellemző.
Az elmúlt év első napjaiban már érkeztek a hírek adatszivárgási esetekről, többek között egy hazai bankbotrányról, ahol bizalmas banki információk szivárogtak ki, valamint felbukkant egy magyar adathalász oldal, amely a Facebook felhasználókat tévesztette meg és szerezte meg sokak adatait. Szintén az év elején érkezett a bejelentés a zappos.com elleni támadásról, amelyben 24 millió ügyfél lehet érintett, valamint az 1,8 millió ügyfél bizalmas adatainak kiszivárgásáról két amerikai közüzemi szolgáltatótól. Ugyancsak januárban derült ki, hogy a Symantec Adatszivárgás-védelem specialistája díját a legnagyobb fókuszt, a legtöbb aktivitást és a legmagasabb számú induló és futó projektet magáénak tudó CDSYS nyerte el.
Februárban nagyvállalatok részvételével összefogással alakult az adathalászok ellen. A csoportosulás létrehozta a DMARC-ot, amely egyfajta szabványként hitelesíti a fiókunkba érkezett levelet, így ellenőrizhető lesz, hogy a feladó valóban az, akinek mondja magát. A tavalyi adatszivárgási incidensek sora a Motorola bakijával folytatódott, amelynek során a cég eladott több visszavitt és gyárilag újracsomagolt tabletet, amelyről nem lettek letörölve a felhasználói adatok. Az adatszivárogtatóknak semmi sem szent, ezt mi sem bizonyítja jobban, mint az a vatikáni szivárogtatási eset, amelynek során titkos pápai dokumentumok kerültek illetéktelenek kezei közé, kínos magyarázkodásra kényszerítve a Szentszék képviselőit. A Symantec februárban jelentette be új backup megközelítését, amely a kisvállalkozásoknak segít leküzdeni a biztonsági mentés bonyolultságait, ezáltal megelőzve a végzetes adatvesztéseket. Még ebben a hónapban publikálta a Symantec a BRFK közös felmérés eredményeit, amelyek tanulsága szerint 2011-ben 900 ezer hazai célpontja volt az online bűncselekményeknek.
A CDSYS az év elején készített egy felmérést a hazai pénzintézetek körében a webtanúsítványok használatáról, amelynek tanulsága szerint a pénzintézetek tíz százalékánál található meg a legteljesebb biztonságot nyújtó zöld csík, a többi vállalat inkább az olcsóbb, de alacsonyabb védelmet biztosító megoldásokat alkalmazza. Jó jel, hogy a hazai pénzintézetek szinte mindegyike tesz lépéseket az adathalászat elkerülésének érdekében, és mindenhol használnak valamilyen tanúsítványt, ugyanakkor a legtöbb helyen inkább a költségkímélőbb megoldásokat favorizálják az erős, kiterjesztett ügyfélbarát védelemmel szemben.
Nem kellett sokat várni az év első adatlopásra specializálódott Mac-es trójai programjára sem, amelyről március elején érkeztek hírek. A Flashback.G elindulásához szintén a felhasználói óvatlanságra, figyelmetlenségre van szükség. A hónap elején kiderült, hogy a 2011 nyarán ellopott NASA laptopján tárolt adatok nem voltak titkosítva, így a Nemzetközi Űrállomás irányításához és ellenőrzéséhez használt algoritmusok kerülhettek rossz kezekbe. Érdemes megjegyezni, hogy a szervezetnél a 2010-2011-es időszak során több mint 5000 biztonsági incidenst rögzítettek, amelyek elhárítása 7 millió dollárjába került az adófizetőknek.
A Symantec még márciusban egy új internetes bűnözési hullámra hívta fel a figyelmet, amelynek fő tulajdonsága, hogy Amerika egyik legismertebb fogyasztóvédelmi szervezetének, a Better Business Bureau (BBB) nevében támadja a vállalkozásokat. Szintén a vállalattal kapcsolatos hír, hogy a Symantec a Mobile World Congress-en jelentette be, hogy jelentős előrelépéseket értek el a vállalati mobilitási stratégiában Android, iOS és Windows Phone 7 platformokon.
Nem sokkal később egy pornóoldal feltöréséről érkeztek hírek. A behatolók saját állításuk szerint gyakorlatilag bármilyen adatokhoz hozzá fértek, annyira alacsony volt a honlap védettsége. A betörés során a The Consortium csoport 73 ezer előfizető szenzitív adataihoz jutottak hozzá, többek között hozzájutottak a felhasználói nevekhez, e-mailcímekhez, és jelszavakhoz, illetve 40 ezer hitelkártya száma, lejárati dátuma és biztonsági kódja is a hackerek kezébe került.
A kifinomult támadások mellett tartoltak a pofonegyszerű online támadások is. A Verzion kutatásában több mint 850 incidenst elemeztek a szakemberek, valamint az amerikai titkosszolgálattól és a brit, holland, ír és ausztrál hatóságoktól kapott információkat felhasználva derített fényt napjaink legelterjedtebb támadási módszereire. Az eredmény a cég kutatóit is meglepte, ugyanis a megvizsgált esetek 96 százalékában semmiféle kifinomult módszerre nem volt szükségük az elkövetőknek tettük végrehajtásához.
Az Európai Unió, a növekvő adatvesztési ügyek hatására úgy döntött, hogy a jövőben szigorúan fellépne az adatvédelmi botrányokat a szőnyeg alá söprő vállalatokkal szemben és minden az EU területén működő vállalkozást köteleznének a hatékony biztonsági intézkedések foganatosítására a hackertámadások ellen.
A szakma figyelmeztetéséből megtudhattuk, hogy milyen gyenge a Szép-kártyák védelmi rendszere, ezért a kártya használatakor óvatosabbnak kell lenni, mint egy sima bankkártyás fizetésnél, mert az alacsony hatásfokú védelmi rendszer könnyen kijátszható, és illetéktelenek költhetik el a kártyán tárolt pénzünket. Szerencsére a HOUG konferencia zárónapján az adatbiztonság is jelentős szerephez jutott, amelynek keretében Schwartz Milán, a CDSYS képviseletében arról beszélt, hogy a szerepköralapú biztonság valamint a megfelelőség üzemeltetési, üzleti és audit oldalon is felvet kérdéseket, melyeket nyilvánvalóan kezelni kell. A konferencián jelentette be a CDSYS, hogy Magyarországon egyedüliként megkapta az Oracle Identity Administration and Analytics (IDM) specializált partneri címet.
A tavasz egy újabb bankkártyás visszaéléssel kezdődött. Az Erste Bank és a Citibank hazai ügyfeleinek kártyáit Chicagóból csapolták meg a bűnözők, esetenként több tízezer forinttal. Rögtön az eset után érkezett a hír, hogy az Anonymus csoport külföldön és idehaza is támadásba lendült a kormányzati szervek ellen, megbénítva a brit belügyminisztérium honlapját, itthon pedig feltörték a Nemzeti Rehabilitációs és Szociális Hivatal oldalát. Áprilisban érkezett hír olyan kártékony programról, amely a szállodák vendégeinek okozhattak problémákat adataik ellopásával. A rosszindulatú programot a készítők mindössze 280 dollárért árulták a trójai programot, amelyet úgy programoztak, hogy az a víruskeresőkön és a különféle biztonsági alkalmazásokon átjuttatható legyen.
A nyári hónapok sem teltek eseménytelenül az IT biztonság területén. Júniusban támadás érte a LinkedInt, amelynek következményeként valószínűleg több millió jelszó szivároghatott ki, és egy felhasználó pert is indított a szolgáltató ellen. Pár nappal később kapitulált a Last.fm zeneszolgáltató is, majd a glasgow-i bíróság egyik notebookjának veszett nyoma több mint 17 ezer vállalkozás és 20 ezer magánszemély adataival.
Tavaly nyáron az FBI egy összehangolt akcióban három földrészen, összesen 24 bűnözőt fogtak el, és a hatóságok állítása szerint több mint 200 millió dollárnyi további adatlopást akadályoztak meg ezzel. A kiberbűnözők júliusban sem mentek szabadságra: először a Formspering közösségi oldalról szivárgott ki 28 millió kódolt jelszó, majd a Yahoo! Voice feltörésével szerezték meg 450 ezer felhasználó adatait. Ezek után érkezett a hír Kanada legsúlyosabb adatbiztonsági incidenséről, amelyben két eltűnt pendrive-on, több mint 2 millió választópolgár adatai vesztek el. Szinte egy időben érkezett a hír a németországi Gamigo játékszolgáltató feltöréséről, ahol 11 millió játékos adatait lopták el.
Ősszel újra betörtek a Philipshez, és felhasználói neveket, titkosított jelszavakat szivárogtattak ki. Feltörték emellett az FBI egyik ügynökének a laptopját, és megtalálták rajta, illetve ellopták 12 millió Apple-felhasználó adatait.
Az év végi hajrá a Pepsi honlapjáról történt óriási adatlopással vette kezdetét, majd az egyik nagybankot érte hackertámadás, amelyet az Anonymus újabb akciójáról szóló hírek követtek. Az amerikai adóhivatalt is megtámadta egy hacker, és több millió bizalmas adatot sikerült ellopnia, az elkövetőt Amerikán kívül kereste az FBI és a titkosszolgálat. Októberben érdekes hirdetésre bukkantak egy weboldalon, ahol 5 dollárért árulták 1,1 millió Facebook felhasználó valódi nevét, felhasználó nevét, és e-mail címét. Egy kíváncsi blogger kifizette az összeget majd megállapította, hogy a hirdető igazat beszélt és valós adatokat adott át ezért a csekély összegért. A Facebookra továbbra is ráját a rúd, ugyan is 1,5 millió fiókhoz lehetett hozzáférni bejelentkezés nélkül, miután a cég által kiküldött e-mail értesítőkben olyan linket helyzetek el, amire rákattintva automatikusan bejelentkeztet az oldal és az adott tartalomhoz visz. Természetesen a linkek kiszivárogtak, így a Facebook kénytelen volt leállítani a kényelmi szolgáltatást.
Novemberben igazi tarolást láthattunk az internetes bűnözés terén: újra akcióba lendült az Anonymus csoport, felfedezték az eddigi legnagyobb mobilos adatlopást Android operációs rendszeren, ezek után hamis biztonsági szoftver jelent meg a mobilplatformra. Több mint 220 millió dollárt loptak a Citibanktól Amerikában, komoly adatszivárgás történt az Adobe-nál, betörtek a Nemzetközi Atomenergia-ügynökséghez is és adatokat szivárogtattak ki, valamint csalók alapítottak egy IT céget Romániában, ami elvileg karbantartási munkákat végzett, de közben a bizalmas adatokat, komoly mennyiségű bankkártyaadatot loptak el.
Az ünnepek előtt érkezett hír az Acer honlapjáról ellopott 20 ezer felhasználói adatról, majd a Japán Űrkutatási Ügynökség (JAXA) erősítette meg, hogy bizalmas adatok szivárogtak ki informatikai rendszeréből. A Tumblr is elvérzett az internetes bűnözőkkel szemben, amikor több ezer felhasználó adatait tulajdonították el illetéktelenek, ezek után pedig egy újabb mobiltelefonos trójai program segítségével 36 millió eurót loptak el a bűnözők.
