‘Hakeri s ukradenim podacima s ‘fejsa’ mogu ugovoriti usluge, kupovati i preusmjeravati robu’

Krađa osobnih podataka s Facebooka koja je prije nekoliko dana uzdrmala javnost nije nimalo bezazlena. Što hakeri mogu sa 650.000 podataka Hrvata opisuje sudski vještak za informatiku Saša Aksentijević

Vijest da su hakeri ukrali Facebooku 533 milijuna zapisa korisnikas pravom je zabrinula i hrvatsku javnost jer je među njima više od 650.000 hrvatskih korisnika.

Ukradeni podaci odnose se na jedinstvena korisnička imena (Facebook ID), puno ime i prezime korisnika, brojevi mobitela, e-mail adrese korištene za otvaranje računa, trenutačna i povijesne lokacije, rođendani, datumi kreiranja računa na Facebooku, status veze, biografiju i slično.

Alon Gal, glavni šef tehnologije u kompaniji Hudson Rock koja se bavi analizama kibernetičkog kriminala, upozorio je da bi ova ogromna količina privatnih podataka mogla biti iskorištena za napredno hakiranje putem socijalnog inženjeringa, prevare, ali i u razne marketinške svrhe.

 

Zaštitite svoje račune

Trebaju li hrvati doista biti zabrinuti zbog krađe podataka za 24sata pojašnjava sudski vještak za informatiku i telekomunikacije Saša Aksentijević.

– Što se tiče brige za osobne podatke, oni su očito poznati javnosti u užim krugovima hakera i onih zainteresirani za takve podatke već dvadeset mjeseci. Neovisno o ovom događaju, korisnici Facebooka bi trebali koristiti klasične prudencijalne mjere zaštite svog korisničkog računa – kaže  Aksentijević.

Opisao je i kako je Facebook uopće shvatio što se dogodilo.

 

‘Pokupili’ su ih s Facebooka

– Zapravo se radi o podacima koji su “pokupljeni” s Facebooka u periodu koji prethodi kolovozu 2019. godine. Iako o tom sigurnosnom propustu nije bilo dodatnih tehničkih informacija temeljem kojih bi se moglo zaključiti o konkretnom načinu na koji su privatni podaci postali javni, navodno je jedan poslužitelj koji je bio izložen Internet omogućavao pristup svim korisničkim podacima bez ikakvog osiguranja za pristup (lozinke, dvofaktorske prijave). Iako se to čini nevjerojatno, prema dostupnim informacijama bilo je tako (kolovoz 2019) – rekao je.

Nakon što su u Facebooku shvatili što se dogodilo,  Aksentijević kaže da su otklonili su taj sigurnosni propust.

– No do tada su zainteresirane strane (nazovimo ih kolokvijalno “hakerima”) već “skinule” bazu s korisničkim imenima i osobnim podacima uključujući telefone i dijelom i e-mail adrese. Zvuči zanimljivo da je prije par godina jedan takav poslužitelj (ili baza) globalnog pružatelja usluga bila online, no očito je to moguće. Naravno, iza toga može stajati i slučajni propust, ali je netko mogao i namjerno ostaviti otvoren pristup tim podacima. To može biti postojeći ili uskoro bivši zaposlenik ili netko tko je plaćen za tako nešto. To vjerojatno nećemo saznati – rekao je.

Otkriva i što je uslijedilo nakon krađe podataka.

– Jedino što se dogodilo sada, u travnju, je da je netko ponudio prvo program za pretraživanje i ekstrakciju podataka iz baze (koja je za pola milijarde korisnika nužno ogromna), a zatim i cijelu bazu preko hakerskog foruma, pa su se malo “uskovitlali” mediji – rekao je.

 

 

Što sve mogu s vašim podacima?

Što sve hakeri mogu napraviti s podacima koje sada posjeduju, pitali smo.

– Bilo bi logično očekivati da će poduzeća koja za reklamiranje koriste nediskriminirajuće slanje emailova i spam, koristiti emailove iz ove baze za svoje komercijalne ponude proizvoda i usluga. U pravilu, ovakva poduzeća više posluju izvan EU, tako da je manje vjerojatno da će potencijalni kupci iz Hrvatske biti cilj takvog reklamiranja. Zatim, informacije koje su sadržane mogu biti korištene za ciljane phishing napade, naravno, ovisno o tome koje su sve informacije sadržane u bazi. Što se sve može učiniti s osobnim podacima dosta ovisi i o masti samih kriminalaca, ali i obranama i provjerama koje poduzeća i državna tijela posjeduju i koriste kod ugovaranja različitih usluga, kupovine proizvoda i promjene podataka. Hakeri teoretski, ovisno o tipu socijalnog inženjeringa koji koriste, raspoloživim podacima i predmetu napada, mogu ugovoriti nove usluge, kupovati robu, mijenjati osobne podatke kod pružatelja usluga i prodavača, preusmjeravati već kupljenu robu i slično. Međutim, treba znati da su hakeri fokusirani na napade koji se mogu automatizirati, a većina opisanog zahtijeva “ciljani” pristup koji se ipak koristi na razini države, ili u industrijskoj špijunaži, a ipak nešto rjeđe kod fizičkih osoba, iako nisu nezabilježene prijevare kod malih oglasa i slično – opisao je Aksentijević.

Postoje i načini kako se zaštiti od ovakve krađe podataka. Prof. dr. sc.  Aksentijević opisuje kako to napraviti: “Minimalno što bi svaki korisnik socijalnih mreža i praktično svih usluga trebao poduzeti je da uključi dvofaktorsku prijavu kod koje se za prijavu ne koriste samo korisničko ime i lozinka, već korištenjem “nečega što ima korisnik”, i generirani “kod koji zna samo korisnik”. U tu svrhu često se koriste ili specijalizirane aplikacije koje generiraju kod na mobitelu, SMS kod koji šalje pružatelj usluga ili email koji se šalje na sekundarnu mail adresu. Kod pojedinih pružatelja usluga, dvofaktorska prijava je postala praktično obavezna, ili se barem zahtijeva jednom u nekoliko prijava u sustav.

 

Ako haker i dođe do lozinke i korisničkog imena, neće se moći prijaviti jer ne zna drugi email, odnosno nema mobitel na koji dolazi SMS. Dodatno, ako se koristi već umjereno kompleksna lozinka koja sadrži odgovarajući broj znakova među kojima su i velika slova i brojevi i poseban znak, bit će gotovo nemoguće “probiti” lozinku metodama forsiranja. Naposljetku, lozinke bi trebalo redovito mijenjati, dovoljno je pogledati korporacije u kojima se lozinke forsirano mijenjaju svakih 60 do 180 dana (ako su kompleksnije). Iako apsolutne informacijske sigurnosti nema, a osobito ne u današnje doba kada su i računalne mreže i aplikacije postale beskrajno kompleksne, te tri jednostavne mjere mogu značajno umanjiti mogućnost ovladavanja nečijim korisničkim računom. Dodatno, ljudi bi se trebali elementarno educirati oko phishing napada, a osobito ako ih netko zove predstavljajući se kao djelatnik banke, policije ili nekog tijela vlasti i traži ih lozinku, novac, uplatu ili broj kartice – nitko neće korisnika putem telefona ili maila tražiti takve podatke, tako da se gotovo sigurno nalazi o phishing napadu.

Osobito treba biti oprezan kod online kupovine i provjeriti radi li se o legitimnom prodavaču, jer se danas internet stranice s web shopovima podižu samo da bi nekoliko dana “prodavale” robu koja ne postoji, a zatim se gase, i to osobito ako se radi o popustima na brendiranu robu koji su inače nemogući. Naposljetku, treba paziti kod kupovine lažne brendirane robe, čak i u slučajevima kada je roba predstavljena kao “prava”, a kupac je primamljen nižom cijenom jer kupac osim što će ostati bez novca i robe može biti odgovoran vlasniku zaštićenog znaka za nanesenu štetu i platiti kaznu.”

 

IZVOR: 24sata.hr