06. október 2022

Hvar eru gögnin þín?

ArnórHvernig eru einkaupplýsingarnar þínar vistaðar hjá stórum fyrirtækjum? Hvað kemur fyrir þig ef netþjófar hakka síðuna og stela öllum upplýsingum hjá þeim?

Fyrir stuttu var hakkað eitt stærsta tæknifyrirtækið í Bandaríkjunum, Uber, sem býður hverjum sem er að gerast leigubílstjóri. Árásin var framkvæmd af bara einum 19 ára strák sem reyndi ekkert að fela fyrir fólki hvað hann hefði gert. Hann tilkynnti árásina til allra starfsmanna Uber, með skilaboði á Slack rás þeirra [2]. Samkvæmt nýjustu gögnum þá hefði hann getað eytt öllum gögnum úr gagnagrunni þeirra eða jafnvel selt upplýsingarnar á svörtum markaði, en þeir voru bara heppnir. Strákurinn var með fulla stjórn yfir öllu og nýtti það í að læsa allt starfsfólkið frá því að sinna vinnunni sinni og hlaða vafasömum myndum á Slack rás þeirra. Þetta var mjög vel sloppið.


Nú hugsar flestir með sér "Eins gott að ég sé Íslendingur sem hefur ekki aðgang að Uber. Ég nota bara síður sem hafa aldrei verið hakkaðar".  En ertu nú alveg viss um það?


Í öllum greinunum um Uber árásina er lítið minnst á að þetta sé ekki fyrsta heppnaða árásin sem Uber hefur fengið á sig. Árið 2016 náðu netþjófar að stela gögnum úr gagnaveri Uber og þeir voru ekki að leika sér. Upplysingar um 600,000 bílstjóra og 57 milljónir notenda voru stolin. Þegar þjófarnir höfðu samband við fyrirtækið þá reyndu þeir að borga hökkurunum til að hafa hljótt. Þeim fannst þetta vera besta lausnin. Þessi árás kom síðan í ljós árið 2018 og Uber fékk á sig 148 milljón dollara sekt [3]. Samkvæmt lögum þá ættu tæknifyrirtæki að láta notendur vita ef gögnum þeirra er stolið, en það lækkar hinsvegar virði hlutabréfa þeirra. Það er mikið af árásum í gangi daglega. Gögnunum þínum gæti hafa verið stolið í árás sem enginn veit af eins og er. Eina sem þú getur gert er að nota mismunandi lykilorð fyrir aðgangana þína. Ef þú notar sama lykilorð fyrir allar síður þá þarf aðeins að stela því frá einum stað til að eiga alla aðgangana þína.


Eruð þið orðin eins áhyggjufull og ég? Er ég kannski smá að ýkja? Vissulega var Uber með lélegt öryggi og var alvega sama um notendur sína þar sem upplýsingar um hvert þú færð far eru kannski ekki mikilvægar.


Það er til álika dæmi um fyrirtækið Touchstone, sem sér um læknisfræðilega myndagerð og er með stóran gagnagrunn sem innihalda viðkvæmar upplýsingar. Árið 2014 hafði alríkislögregla Bandaríkjanna (FBI) samband við þá varðandi öryggisgalla sem gat ollið leka á upplýsingum sjúklinga. Fyrirtækið sagðist hafa skoðað málið stuttu seinna og neitaði því að upplýsingar hefðu verið leknar, en eftir rannsókn frá yfirvöldum kom í ljós að skjöl 300,000 sjúklinga hefðu verið lekin. Fyrirtækið var einfaldlega ekki búið að setja í gang nógu góða rannsókn til að sjá hvort upplýsingum hefði verið lekið. Touchstone var sektað um 3 milljónir bandaríkjadali fyrir að bregðast sjúklingum þeirra með ónægilegu öryggi og að láta fórnarlömbin vita of seint af árásinni [1].


Farið nú varlega á netinu.

Hörudur: Arnór Þorleifsson nemandi við Háskólann í Reykjavík

Heimildir
[1] HHS.gov. Tennessee diagnostic medical imaging services company pays $3,000,000 to settle breach exposing over 300,000 patients’ protected
health information. https://public3.pagefreezer.com/browse/HHS.gov/31-12-2020T08:51/ https://www.hhs.gov/about/news/2019/05/06/tennessee-diagnostic-medicalimaging-services-company-pays-3000000-settle-breach.html.
[2] Wired.com. The uber hack’s devastation is just starting to reveal itself. https://www.wired.com/story/uber-hack-mfa-phishing/.
[3] New York. A.g. underwood announces record $148 million settlement with uber over 2016 data breach. https://ag.ny.gov/press-release/2018/ag-underwood-announces-record148-million-settlement-uber-over-2016-data-breach.

Ský - Skýrslutæknifélag Íslands (The Icelandic Computer Society)
480870-0189 | Engjateigi 9 | 105 Reykjavík | 553 2460 | sky@sky.is