Slučaj Ekvifax: Velika krađa ličnih podataka potrošača i posledice

Hakerski napad na Ekvifax i dalje u žiži interesovanja u online svetu

SAD

Ekvifax krađa ličnih podataka

Foto: Caspar Rubin

Ekvifax jedan od tri najveća američka kreditna biroa je početkom septembra obavestio javnost da je njihov sistem hakovan i da su ukradeni osetljivi privatni podaci oko 143 miliona potrošača, uglavnom iz SAD i UK.

Šta se desilo?

Hakeri su „ukrali“ brojeve socijalnog osiguranja (socal security number), datum rođenja, kućne adrese, brojeve vozačkih dozvola i druge slične podatke. Mogućnosti zloupotrebe ovakvih podataka su ogromne (krađa identiteta, pristup bankovnom računu i sl.).

U saopštenju je napomenuto da je sistem hakovan 29. jula posle čega je odmah angažovana  firma specijalizovana za sajber bezbednost da bi se utvrdio obim proboja i načinjene štete. Ova krađa podataka je najozbiljniji slučaj curenja informacija do sada jer Ekvifax prati finansijsku istoriju američkog potrošača i predstavlja svojevrsni „zlatni rudnik“ za crno tržište. Smatra se da su hakeri ušli u kompanijske kompjutere preko „ranjivosti“ web softvera.

Još uvek nije jasna namera hakera ali se u javnosti pojavila i informacija da je osim samog korišćenja podataka korisnika jedan od ciljeva napadača bio i da iskoriste Ekvifax kako bipristupili kompjuterskim sistemima velikih banaka.

Mukama nije kraj

Nakon jula, 11. i 12. oktobra, usledio je novi  hakerski napad u kome je došlo do manipulacije internet stranicom Ekvifax . Hakeri su preusmeravali korisnike na lažan sajt za apdejt poznatog programa Adobe Flash-a. Klikom na apdejt korisnici su na svom računaru instalirali maliciozni softver (malware). Predstavnici kompanije Ekvifax tvrde da njihov sistem nije kompromitovan, ali da je kompanija upozorena da se pripremi na dodatne sajber napade od kada su objavljili da su im podaci ukradeni.

Reakcija kompanije Ekvifax 

U najmanju ruku, reakcija ove kompanije je bila neblagovremena (budući da postoje ozbiljne indicije da se o napadima znalo i mnogo pre nego što je usledilo zvanično obaveštenje) i neadekvatna (zbog preuzimanja odgovornosti i neobaveštavanja korisnika).

Pre svega, funkcioneri u kompaniji su neposredno pre nego što je javno obelodanjena krađa podataka, prodali svoje akcije. Kada je „klupko počelo da se odmotava“, otkriveno je da je Ekvifax imao još jedan hakerski napad u martu ove godine, pre velike krađe u julu. To znači da je već tada kompaniji bio poznat nedostatak web softvera, ali potpuno je izostala reakcija, pa softver  nije bio updejtovan sve do jula. Po svemu sudeći, kompanija je mnogo pre napada znala za ranjivost sistema, budući da je  finansijska kompanija MSCI upozorila Ekvifax da podatke miliona svojih potrošača ne štite na pravi način i to čak godinu dana ranije.

Naravoučenije i dalji koraci u zaštiti potrošača

Slučaj Ekvifax predstavlja očigledan primer nedostatka svesti o značaju sajber bezbednosti i to u kompaniji koja barata brojnim značajnim podacima miliona korisnika. Pritom, neki od tih podataka (kao JMBG) nisu zamenjivi što otvara mogućnost njihove trajne zloupotrebe.

Ono što je (kao minimum) potrebno da bi se smanjio rizik od napada je da:

  • i javne i privatne kompanije obaveste korisnika o bezbednosnom incidentu u koji je doveo do kompromitacije podataka;
  • kompanije višestruko povećaju svoje budžete za potrebe informacione bezbednosti;
  • kompanije ne koriste šifre koje se mogu lako otkriti;
  • službenici koji rade sa korisnicima budu obučeni da identifikuju slučajeve tzv. „društvenog inžinjeringa“;
  • svaki zaposleni zna kako da izbegne fišing napad.

Sa druge strane, državni organi širom sveta moraju da većim kaznama sankcionišu kompanije koje ne posvećuju dovoljno pažnje bezbednosti ličnih podataka, i to tako da se kompanijama ne isplati da olako pristupaju ovom problemu. EU regulativa je postavila dobru osnovu sa GDPR (General Data Protection Regulation) jer kompanije  mogu biti kažnjene novčanom kaznom koja može da iznosi čak do 2% godišnjeg prihoda i to zbog kršenja obaveze prijavljivanja bezbednosnog incidenta u roku od 72 sata.

Pored toga, ovi i slični napadi pokazuju da je neophodno preispitati dosadašnji (tehnički) način čuvanja podataka. Naime, lični podaci se uglavnom nalaze u centralizovanim evidencijama za koje se pokazalo da su laka meta hakera.  Eksperti predlažu upotrebu „blockchain“ tehnologije koja podrazumeva verifikaciju informacija kroz konsenzus računara. U ovakvom sistemu ne postoji centralizovana baza podataka, već veliki broj manjih baza (blokova) koje su međusobno digitalno povezane.

Blockchain tehnologija omogućava  da se digitalna informacija distribuira  na brojne servere, umesto da se kopira. Ova tehnologija nastala je za potrebe digitalne valute, Bitcoin, ali je u međuvremenu njen ogroman potencijal postao važna tema u mnogim industrijama, a posebno u finansijskom sektoru.

 

 

Ostavite komentar

Vaša email adresa neće biti objavljena.


*