Elszabadult adatok – minden egy helyen
Kibervédelmi kutatók november 11-én bukkantak rá egy jelszóval nem védett MongoDB-adatbázisra, amely minden bizonnyal az identitás-ellenőrzéssel foglalkozó IDMerit vállalathoz tartozik. Az IDMerit nemzetközi ügyfélkörrel rendelkezik, fő ügyfelei közé tartoznak bankok és pénzügyi technológiai cégek, akik a MI-alapú rendszert azért használják, hogy megfeleljenek a szigorú pénzügyi szabályoknak: vagyis csak ellenőrzött ügyfeleknek nyissanak számlát vagy folyósítsanak hitelt. Az adatbázisban megtalálhatók voltak a személyazonosításra alkalmas adatok: teljes nevek, lakcímek, irányítószámok, születési dátumok, állami azonosítószámok, telefonszámok, e-mail címek és nem. Egyes rekordok távközlési metaadatokat és belső jelöléseket is tartalmaztak, amelyek akár korábbi adatlopási incidensekre is utalhattak.
Vagyis nemcsak arról van szó, hogy e-mail címek vagy nevek kerültek ki. Ha egy csaló hozzáfér ezekhez a rögzített információkhoz, akkor akár egy SIM-cserés támadást is végrehajthat: elkéri a mobilszolgáltatónál az áldozat telefonszámát, majd a megszerzett számhoz hozzáférve már a banki vagy e-mail-fiókok biztonsági kódjaihoz is hozzájut. Személyazonosító okmányokról is szó van, amelyeket gyakorlatilag minden online pénzügyi ügyintézésnél bekérnek. Nem zárható ki annak a lehetősége, hogy széles körű, automatizált adathalásztámadások indulnak majd ezzel az adattárral a háttérben.
Sérült bizalom az identitás-ellenőrzőkben
A kiszivárgott adatok 26 ország lakosait érintik, a legtöbb áldozat az Egyesült Államokban, de magas a mexikói, Fülöp-szigeteki, német, olasz és francia érintettek száma is. Csak másnap zárták le az érintett adatbázist, miután a kutatók jelezték a problémát. Nincs közvetlen bizonyíték arra, hogy bűnözők letöltötték volna a teljes adatbázist, de a szakma tapasztalata szerint automatizált botok folyamatosan pásztázzák a hálózatot ilyen lehetőségek után, és percek alatt lemásolnak teljes adatbázisokat.
Az IDMerit tagadja, hogy náluk történt volna az incidens. Az ő értelmezésük szerint ők csak összekötő kapocs a megbízók és különféle engedélyezett adatforrások között, így szerintük nem birtokolnak vagy tárolnak ügyféladatokat. A belső vizsgálatuk szerint nem történt jogosulatlan hozzáférés az ő platformjukon, és adatbázisaik nem sérültek. Ugyanakkor minden érintett adatforrás-partnert értesítettek, és vizsgálatokat is indítottak. Egy etikus hacker jelentette náluk az incidenst, de miután az illető pénzt kért a jelentésért, ezt zsarolásként értékelték.
Vagyis hivatalosan senki sem vállalja a felelősséget, és minden érintett szereplő azt állítja, hogy saját rendszerük biztonságos volt.
Mit tehetsz most?
A személyazonosság-lopás kockázatának csökkentése érdekében célszerű felvenni a kapcsolatot a hitelinformációs irodákkal, és zároltatni a hiteljelentésedet. Így idegenek nem tudnak a nevedben hitelt vagy bankkártyát igényelni. Jó ötlet lecserélni a kéttényezős azonosításnál az SMS-alapú megoldást egy hitelesítő alkalmazásra, mert az SMS-ek könnyen elfoghatók SIM-cserés támadás esetén. Erős jelszavakat alkalmazz minden fiókhoz, lehetőleg jelszókezelő segítségével. Személyazonosság-figyelő szolgáltatások segíthetnek jelezni, ha felbukkanják az adataidat valamelyik adatbázisban vagy feketepiaci fórumon. Hasznos lehet a mobilszolgáltatói fiókban extra védelmi beállításokat aktiválni, például port-out PIN-t, ha elérhető.
Egy jó vírusirtó képes kiszűrni a csalárd linkeket és adathalászoldalakat, hiszen egy ilyen adatlopás után szinte mindig tömeges adathalásztámadások következnek. Megfontolható adateltávolítási szolgáltatás igénybevétele is: ezek a forrásokat pásztázzák, és segítenek jelenlétedet minimalizálni az interneten. A csalók gyakran valós adatokkal próbálják hitelessé tenni a megtévesztést – ha valaki például a pontos lakcímeddel keres meg, soha ne bízz azonnal, hívj vissza a cég hivatalos elérhetőségén!
Nagyobb a baj, mint gondolnánk
Mára az ügyfélazonosítási szolgáltatások digitális közművé váltak, minden pénzügyi művelet ezekre épül. Ha egy harmadik fél hibázik, akár milliók adatai kerülhetnek veszélybe – úgy, hogy azok az emberek magát a közvetítő céget soha nem is ismerték. Az alapvető adatvédelmi intézkedések hiánya végül minden felhasználót elér: egyszer a bankodban, máskor egy új appban bízol, de minden láncszemben ott lehetnek gyenge pontok.
Felmerül a kérdés: nem lenne ideje végre automatikus, komoly szankciókkal járó felelősségvállalást bevezetni az olyan cégek számára, amelyek milliók legérzékenyebb adatait kezelik – és amelyeket védeniük kellene?
