Wycieki danych to problem, z którym borykają się nawet największe firmy. Mogą się one pojawić wszędzie tam, gdzie przechowywane są wrażliwe informacje. Konsekwencjami takich wycieków są nie tylko utrata reputacji i potencjalne straty finansowe, ale przede wszystkim narażenie użytkowników na działania cyberprzestępców, którzy uzyskują w ten sposób dane logowania czy numery telefonów.
Najbardziej znane wycieki danych
Wydawałoby się, że firmy technologiczne powinny wiedzieć, jak skutecznie ustrzec się przed kradzieżą wrażliwych informacji o swoich użytkownikach. Okazuje się jednak, że niekoniecznie. W 2019 r. został ujawniony gigantyczny wyciek danych z najpopularniejszego serwisu społecznościowego świata – Facebooka. Dotyczył ponad 267 milionów kont, a hakerzy zdobyli dostęp m.in. do numerów telefonów, imion i nazwisk oraz numerów identyfikacyjnych, powiązanych z kontami. Naraziło to użytkowników na phishingu, przestępstwo polegające na podszywaniu się przez hakerów pod inną osobę, aby wyłudzić poufne informacje, czy zainstalować na komputerze ofiary złośliwe oprogramowanie.
PRZECZYTAJ TAKŻE:
Inni giganci działający na rynku nowych technologii również mają na swoim koncie duże wycieki danych. Szacuje się, że pomiędzy 2013 a 2014 r. rosyjscy hakerzy przejęli dane aż 3 miliardów użytkowników różnych serwisów internetowych. Dotyczyło to nazw kont, haseł, adresów e-mail, numerów telefonów, dat urodzenia i pytań bezpieczeństwa.
W Polsce ofiarą przestępstwa tego typu padł sklep internetowy Morele.net. W 2018 r. wyciekły z niego dane dotyczące 2,5 miliona klientów. Hakerzy wysyłali następnie losowym osobom z tej puli SMS-y z prośbą o dopłatę 1 zł do dokonanego zakupu, kierując ofiarę na fałszywą stronę serwisu pośredniczącego w płatnościach. Wyłudzali w ten sposób loginy i hasła do bankowości internetowej, by następnie przejąć środki z rachunków oszukanych w ten sposób osób. Decyzją Urzędu Ochrony Danych Osobowych sklep musiał zapłacić karę za niedopilnowanie swojej bazy, która wyniosła prawie 3 miliony złotych. Jest to dowód na to, że sytuacje wycieku danych użytkowników mogą doprowadzić organizację nie tylko do problemów wizerunkowych, ale także realnych strat finansowych.
Jak uchronić się przed skutkami wycieków danych?
Widać, że wycieki danych mogą się zdarzyć w każdej firmie. Istnieją sprawdzone metody, by zminimalizować negatywne skutki tego typu sytuacji, które ostatecznie dotyczą nas – użytkowników.
Korzystanie z różnych haseł
Niestety nadal powszechną praktyką jest używanie tego samego hasła do logowania się w różnych serwisach. Co prawda, znacznie łatwiejsze jest wtedy jego zapamiętanie, co przyśpiesza proces logowania. Prowadzi to jednak do niebezpiecznych sytuacji. W przypadku wycieku danych z jednego serwisu nasze hasła do innych usług także zostają przejęte. Aby tego uniknąć, najlepiej jest stosować osobne hasła dla każdego z serwisów. Oczywiście nie sposób ich samodzielnie zapamiętać, dlatego warto korzystać z menedżerów haseł. Dostępne są one w niektórych programach antywirusowych czy przeglądarkach (aczkolwiek te nie są w 100% bezpieczne).
Dobrym rozwiązaniem jest program KeyPass, który nie tylko zapamiętuje dane logowania, automatyzując cały proces, ale także pozwala na generowanie mocnych, losowych haseł. Dzięki temu unikniemy ryzyka, że haker dokona włamania na nasze konto (tym bardziej, że wielu użytkowników korzysta z haseł łatwych do złamania, zwanych słownikowymi). Rankingi najpopularniejszych haseł pokazują, że na pierwszych pozycjach znajdują się 123456, qwerty czy po prostu słowo password.
Logowanie dwuskładnikowe
Od strony serwisu internetowego, aby uniemożliwić hakerom dostęp do usługi za pomocą wykradzionych danych, warto stosować logowanie dwuskładnikowe. Polega ono na dodatkowej autoryzacji użytkownika. Poza danymi do logowania trzeba wówczas podać specjalny kod, który otrzymuje się SMS-em lub e-mailem. Systemy umożliwiają zapamiętanie urządzenia, na którym przebiegło pomyślnie logowanie dwuskładnikowe. Mimo takiej ochrony nadal warto stosować skomplikowane hasła. Jeśli jednak to zaniedbamy, do serwisów nie będzie można się zalogować z obcego urządzenia.
PRZECZYTAJ TAKŻE:
WebAuthn
Największą wadą logowania dwuskładnikowego jest ryzyko, że kiedy zmienimy numer telefonu lub adres e-mail, nie modyfikując wcześniej tego faktu w systemie, nie będziemy mogli się zalogować. Niektóre serwisy proponują w takiej sytuacji „koła ratunkowe”, np. dodatkowe kody, ale jest to czasochłonne działanie.
Rozwiązaniem tego problemu jest nowy system logowania WebAuthn. Polega on na wykorzystaniu urządzenia z czytnikiem linii papilarnych. Najczęściej podłączane jest ono przez port USB, ale może się ono także łączyć poprzez Bluetooth lub NFC. Do zabezpieczenia procesu logowania wykorzystywana jest zaawansowana kryptografia za pomocą klucza publicznego oraz rozwiązanie biometryczne FIDO – standard gwarantujący spełnianie przez urządzenie wymagań dotyczących bezpieczeństwa. System sprawia, że praktycznie niemożliwe jest włamanie do naszego konta, ponieważ nawet w przypadku kradzieży urządzenia złodziej nie będzie mógł się zalogować dzięki autoryzacji odciskiem palca. Ponadto WebAuthn jest wygodny, gdyż nie wymaga od nas zapamiętywania czy przechowywania haseł. Aby się zalogować, wystarczy dotknąć urządzenia.
Backup danych
Backup danych stanowi nie tylko skuteczną ochronę przed konsekwencją utraty laptopa czy awarii dysku twardego, lecz również zabezpiecza przed skutkami ataków typu ransomware. Doskonale sprawdza się w tym przypadku wielokrotnie nagradzany przez ekspertów branży IT program Cloud Backup. Gdy komputer zostanie zablokowany przez hakerów w celu wyłudzenia okupu w zamian za przywrócenie go do działania, utracone dane można odzyskać niemal jednym kliknięciem myszki. Kopie zapasowe są przechowywane w nowoczesnych Data Center, które spełniają najwyższe normy bezpieczeństwa TIER III oraz TIER IV, a także posiadają certyfikaty ISO 9001 i ISO 27001. Dane zabezpieczane są wielopoziomowo, co zapewnia skuteczną ochronę przed przejęciem ich przez osoby trzecie.
PRZECZYTAJ TAKŻE:
Sprawdzenie, czy dane nie wyciekły
Często pojawiają się pytania, jak zweryfikować, czy nasze dane nie wpadły w ręce hakerów? Jest to możliwe i służy do tego strona Have I Been Pwned, gdzie możemy wprowadzić używany przez nas adres e-mail, aby sprawdzić, czy nie jest on powiązany z zarejestrowanymi wyciekami danych. Dowiemy się w ten sposób, jakie serwisy utraciły nasze dane. W takim przypadku niezbędna jest zmiana haseł w innych usługach, z których korzystamy, o ile stosowaliśmy w nich identyczne hasła. Podobną funkcję wprowadziła ostatnio przeglądarka Google Chrome. Gdy wpisujemy dane logowania, program informuje nas, jeżeli padły one ofiarą wycieku.
Dbajmy o nasze dane
Niestety niebezpieczne incydenty związane z wyciekiem wrażliwych informacji bez wątpienia będą się powtarzać. Historia pokazuje, że nasze loginy, hasła czy numery telefonów mogą wpaść w niepowołane ręce, nawet jeśli były przechowywane w dużym i uznanym serwisie. Dlatego też warto dbać o zabezpieczenie procesu logowania, używając w tym celu mocnych i różnych dla każdego z serwisów haseł, logowania dwuskładnikowego czy rozwiązania opartego na WebAuthn. Zyskujemy wtedy szansę, że ataki hakerskie na firmy przechowujące dane nie wyrządzą nam szkód.
