2. Hírek
  3. Biztonság

Randioldalra ne vállalati e-maillel regisztrálj!

Több mint ötmillió nagyvállalati alkalmazott adatait szerezték meg világszerte a bűnözők különféle oldalakról, és ez hatalmas biztonsági kockázatot jelent.

A Digital Shadows biztonsági cég bejelentette, hogy a 2012 óta jegyzett biztonsági incidenseket vizsgáló kutatásuk során azt fedezték fel, hogy a világ ezer legnagyobb vállalata kb. 5,5 millió alkalmazottjának személyes adatai férhetőek hozzá az interneten, köztük vállalati e-mail címek, illetve felhasználónevek és jelszavak – írja tudósításában a Financial Times.

Az ilyen jelentéseknél jogos a gyanakvás, hogy a biztonsági vállalkozás vajon nem azt a gyakori módszert választja-e, hogy marketingcélokból már publikált, ám itt-ott szétszórt jelentéseket összefoglalva mutat be önálló kutatásként, ám a Digital Shadows azt állítja, hogy az 5,5 millió felhasználónév és jelszó 90 százaléka újonnan jelent meg az interneten.

A legnagyobb veszély: az újrafelhasználás

A többek között az Apple-től, a JPMorgan Chase-től, a Bank of Chinától, a Daimlertől és a Google-tól származó személyes adatok a szakemberek szerint nem közvetlen támadás után kerültek bűnözők kezébe, hanem a legtöbbjük úgy, hogy az adott alkalmazott a munkahelyi adataival valamelyik népszerű szolgáltatásba regisztrált (LinkedIn, Dropbox, MySpace stb.), majd az ezeket az oldalakat ért sikeres támadás után került az információ illetéktelenekhez. Különösen érdekes, hogy közel háromszázezer alkalmazott adatai randioldalakról jutottak a hackerek kezébe (pl. a nagy vihart kavart Ashley Madison-incidens során csak ott 200 ezer vállalati címet, jelszót, azonosítót loptak el.

Jogosan merül fel a kérdés, hogy a bűnözők ugyan megszerezték a vállalati e-mail címet, ám ha az alkalmazott a külső oldalon nem a vállalatnál használt jelszóval regisztrált, akkor már jelentősen kisebb a kockázat. Ám a tudósítás felhívja arra a figyelmet, hogy kutatások szerint az ilyen felhasználók 60 százaléka a teljes azonosítási adatsort újra felhasználja: vagyis ugyanazzal a címmel, azonosítóval és jelszóval regisztrál a párkereső oldalra, mint amit pl. a Google-nál használ.

De ha nem is így tesz, az e-mail cím is értékes, mivel a nagyvállalati rendszerek sikeres feltörésekor nagyon gyakran úgy indul az akció, hogy az ott dolgozóknak adathalász vagy kártékony kódot tartalmazó levelet küldenek – és ez szinte mindig bejön: ha egy hanyag vagy felelőtlen dolgozó elindít egy szkriptet a levélben vagy gyanútlanul megad adatokat, széles tárja a vállalati rendszer ajtaját.

Egy másik módszer pedig az, hogy a nagy erőforrásokkal dolgozó állami hackerek vagy bűnözői csoportok százmillió számra szedik össze az adatokat az internetről, majd ezeket a különböző forrásokból származó adatokat rendezik össze (profiloznak) – a kiváló elemző szoftvereknek köszönhetően gyakran nagy sikerrel.

Azóta történt

Előzmények