NACIONALNI CERT objavio je danas kako je više od 23.000 baza podataka postalo javno dostupno u jednom od najvećih slučajeva curenja podataka.
>> Ogromno curenje podataka, otkriveni podaci o 47.000 korisničkih računa u Hrvatskoj
Koliko su česta ovakva curenja, kako do njih dolazi te što sada trebaju napraviti korisnici čiji su podaci ugroženi pitali smo Lucijana Carića, stručnjaka za informacijsku sigurnost, i Vedrana Vujasinovića, voditelja informacijske sigurnosti tvrtke Setcor.
Vujasinović: Cyber-kriminalci ciljaju na sve
"Informacije su ključni faktor modernog poslovanja koji je nužno zaštititi, no bez obzira na sve veća ulaganja u informacijsku sigurnost, broj sigurnosnih incidenata je u stalnom porastu", rekao je Vujasinović za Index te dodao kako cyber-kriminalci ciljaju na sve, od najmanjeg obrta i privatnih osoba pa do najvećih tvrtki.
Spremno su dočekali, nastavio je Vujasinović, i pandemiju koronavirusa tijekom koje su pojačali napade štetnim programima i kodovima iskoristivši tako ranjivost tvrtki čiji su zaposlenici bili prisiljeni raditi od kuće. Stoga je, prema njegovom mišljenju, sigurnost izuzetno važna tema u modernoj ekonomiji.
Carić: Često se događa da napadači uspiju doći do korisničkih podataka
"Često se događa da zlonamjerni napadači uspiju doći do korisničkih podataka koji se nalaze u datotekama korisničkih imena i lozinki. To je jedna od standardnih metoda kompromitacije informacijskih sustava. Ako je sustav ispravno podešen, te lozinke su kriptirane i zaštićene od neovlaštenog preuzimanja. No postoje metode kojima se ta kriptozaštita pokušava razbiti i postoje metode kojima se pokušava doći do zaključka koje se lozinke koriste unutar te baze. Takve baze korisnika i njihovih lozinki se prodaju gotovo redovito na crnom tržištu ili se mogu naći besplatno na internetu", rekao je Carić.
U bazi čiji su podaci procurili više od 47.000 je računa čija je domena .hr
Za kolekciju baza koje su procurile vjeruje se kako su potekle s privatnog hakerskog foruma Cit0Day.in koji mnogi napadači koriste kako bi prikupili što veći broj korisničkih imena, adresa elektroničke pošte i čak lozinki u obliku čistog teksta. Sama kolekcija sastoji se od više od 226 milijuna jedinstvenih korisničkih računa.
CARNET-ov Nacionalni CERT je analizom utvrdio kako je u navedenoj bazi više od 47.000 korisničkih računa čija vršna domena završava na .hr, od čega je za čak više od 24.000 korisnika lozinka dostupna u čistom tekstualnom obliku.
"Korisnici čiji su računi kompromitirani nalaze se u situaciji u kojoj je potrebno procijeniti što za njih znači dotični ukradeni podatak. Trebaju se zapitati do čega će sve poznavanje tih kredencijala (korisničko ime i lozinka) omogućiti pristup zlonamjernom napadaču, hoće li se on moći negdje predstaviti kao sam korisnik, hoće li to kao posljedicu imati neku značajniju štetu i slično", rekao je Vujasinović.
Carić: Korisnici često koriste iste lozinke za različite račune
"Curenja podataka, poput ovog koje se sad dogodilo, predstavljaju problem na bar dva nivoa", rekao je Carić.
Prvi problem je što je lako kompromitirati sustav iz kojeg su ukradene lozinke jer veći broj korisnika rutinski ne mijenja svoju lozinku, te je na taj način vrlo lako provaliti u njihove račune.
No puno je opasniji problem, naglasio je Carić, taj što korisnici koriste iste lozinke prilikom pristupanja različitim računima.
"To se zove recikliranje lozinke - kada osoba s istim korisničkim imenom i lozinkom pristupa različitim računima. No čak i ako se radi o različitim nazivima računa, napadači i dalje mogu isprobati istu lozinku, kada prepoznaju da račune koristi isti korisnik. U tom slučaju ako je jedan sustav kompromitiran, lako je kompromitirati i ostale. Odnosno, ako je jedan račun ugrožen, ugroženi su i drugi", rekao je Carić.
I Vujasinović je upozorio na ovaj problem. Istaknuo je kako mnogi javni servisi zaista imaju vrhunske sigurnosne tehnološke značajke, no, u ljudskoj prirodi je maksimalno pojednostaviti sve ono što moramo pamtiti, a to kao posljedicu ima dijeljenje istih lozinki među različitim nepovezanim javnim servisima koje onda po kompromitaciji omogućuju pristup podacima u sve njih.
Vujasinović: Ključni korak je zamjena svih lozinki
"Ključni korak je svakako zamjena svih lozinki koje se koriste na svim javno dostupnim računima, a ne samo na onom gdje su podaci iscurili. Po izmjeni istih potrebno je pregledati radnje koje su se odvijale u prethodnom periodu i pokušati utvrditi da li je bilo onih štetnih, da li si je napadač ostavio stražnji ulaz, promijenio password recovery adresu e-pošte, dodao se u Trusted listu i slično. Napadač često za cilj čak i neće imati tog pojedinca već će njegov račun koristiti za svrhe svoje podzemne organizacije kao što je spamanje, reklamiranje, širenje mržnje i ostale radnje na kojima on želi ostati anoniman", upozorio je Vujasinović.
Carićev savjet je kako bi i inače, a ne samo u slučaju kada se dogodi curenje podataka, bilo dobro nakon nekog vremena mijenjati lozinku.
"Znam da je nerealno očekivati od ljudi da mijenjaju lozinku svakih sedam dana ili mjesec dana. Danas svi imaju puno lozinki. Za provjeru svojih računa, ljudi mogu koristiti stranicu Have I Been Pwned, koja će im pružiti informacije kada i gdje je nečiji račun mogao biti kompromitiran. Ako se to dogodi, pametno bi bilo zamijeniti lozinke", rekao je Carić.
Dodao je i kako je dobra praksa ne koristiti iste lozinke na bitnim i nebitnim računima. Pri čemu bi bitni računi bili oni poslovni, Facebook ili osobna elektronička pošta, dok se u nevažne smatraju oni na portalima gdje je potrebna registracija za pristup sadržaju, ali se ne ostavljaju nikakvi osjetljivi podaci, kao npr. brojevi kreditnih kartica.
"Posebna opasnost su servisi koji imaju ogroman broj korisnika, te tu može doći do kompromitacije velikog broja korisnika i mogućnosti njihove direktne ugroze", rekao je Carić.
Carić: Poželjno je koristiti autentifikaciju putem dva faktora
Isto tako, poželjno je, savjetovao je Carić, koristiti autentifikaciju putem dva faktora gdje god je to moguće. To je sustav koji generira kodove za pristup, ili ih šalje putem sms-a, elektroničke pošte, posebne aplikacije i sl. Takve dodatne oblike zaštite pružaju Facebook, Gmail i slični sustavi. Korištenjem takve autentifikacije, napadaču nije dovoljna samo lozinka da provali u neki račun, a i u slučaju pokušaja neovlaštenog pristupa, vlasnik računa o tome će dobiti upozorenje.
S tim se slaže i Vujasinović.
"Oni koji imaju aktiviranu dvofaktorsku autentikaciju na svim javnim servisima, prilikom curenja podataka na jednom od njih neće biti u riziku od gubitka svojih podataka na tom servisu ali isto tako niti na drugima. Neće biti povezanih rizika i otvaranja svog privatnog/poslovnog života neznancima jer unatoč tome što napadač možda čak i ima dotične kredencijale i dalje nema taj drugi faktor za autentikaciju koji je najčešće sam mobitel uređaja ili SMS poruka s kodom - slično kao što to banke osiguravaju s korištenjem tokena ili mobilnih aplikacija. Svakako je moguće koristiti usluge javnih servisa na siguran način ali pritom ne smijemo zaboraviti i na vlastitu odgovornost za svoju osobnu sigurnost", rekao je Vujasinović.