Společnost Digital Shadows analyzovala internet a otevřené systémy, ve kterých našla obrovské množství citlivých dokumentů, které obsahují informace i o konkrétních osobách. Tyto informace si přitom může vyhledat takřka kdokoli, kdo umí zacházet s běžnými softwarovými nástroji.
Soukromí a bezpečnost jsou dnes velmi diskutovanými tématy, obzvláště po čerstvém průšvihu Facebooku, který umožňoval mnoha analytickým firmám, aby přes jeho API bylo sbíraly poměrně velké množství osobních dat jednotlivých uživatelů. Jak se ale vyjádřil sám Mark Zuckerberg, spoustu dat rovněž sdílíme sami veřejně na profilu. I na ně se tyto analytické firmy zaměřují a ve velkém stahují jakékoli informace pro pozdější použití a prodej.
12 PB citlivých dat
Inženýři a výzkumníci z Digital Shadows se zaměřili na prozkoumání otevřených zdrojů dat na „podnikové“ části internetu a výsledek je opravdu žalostný. Dle jejich analýzy totiž našli přes 1,5 miliardy citlivých dokumentů, které mají celkem 12 PB. Jen 537 milionů těchto dokumentů se nacházelo v rámci zemí Evropské unie.
Nebylo potřeba žádné hackování, hádání hesel ani využívání známých chyb ve starších verzí nejrůznějšího druhu softwaru. Při použití těchto technik by tato čísla byla ještě rapidně vyšší.
Z pohledu zdrojů se jednalo o špatně nastavená FTP, SMB, NAS, webové stránky, Rsync a také úložiště Amazon S3. Ve všech případech typicky chyběla hesla, což umožňovalo bezproblémové skenování a tím pádem i stahování dat.
Skenování probíhalo první tři měsíce tohoto roku a mezi citlivými dokumenty jsou například zdravotnické záznamy osob (včetně 2,2 milionu snímků těla), výplatní pásky, daňová přiznání, probíhající designové a produktové návrhy a dokonce i patenty, které ještě nebyly ve finální verzi. Ironií je, že mezi dokumenty byly například i výsledky bezpečnostních testů, diagramy podnikových sítí a podobně. Doslova návody pro hackery, kteří mají všechny informace jako na talíři.
Uživatelský i podnikový problém
Na Facebooku a dalších systémech můžeme většinou ovlivnit, jaká data jsou dostupná veřejně. U těchto velkých systémů lze očekávat určitý stupeň zabezpečení, který vyžaduje určitou míru zdrojů k tomu, aby útočník data získal. Velký problém je to ale u podniků, které nedokáží poskytnout ani základní ochranu nejen pro vlastní, ale ani uživatelská data.
Uživatel tak žije v domnění, že například informace o jeho zdravotní či finanční situaci nejsou veřejně dostupná, jenže opak může být pravdou. Firmy oproti tomu mohou obviňovat konkurenci a hackery z útoku a krádeže, přitom vlastní či cizí data sdílejí veřejně, aniž by o tom věděly. Často je to neopatrnost, zapomenutá záloha či špatně nastavený systém podnikové sítě. Nesmíme totiž zapomínat na to, že dnešní systémy jsou extrémně komplexní a s tím jak je vše sdílené uvnitř firemních systémů se velmi snadno může stát, že je veřejně dostupné i to, co by nemělo.
Tento test ukázal, o jak velký problém se jedná jen z pohledu firem. Stačí si ale představit, kolik asi takových citlivých dokumentů leží na nejrůznější úložištích typu Ulož.to a podobných, kde jsou dostupné bez hesla.
Aféra „zlý Facebook“: Skutečně je na vině sociální síť, nebo především my samotní?
