„V lednu jsme v rámci rutinního bezpečnostního hodnocení zjistili, že některá uživatelská hesla byla uložena v čitelném formátu v našich interních systémech pro ukládání dat,“ uvedl Pedro Canahuati, viceprezident pro inženýrství, bezpečnost a soukromí společnosti Facebook.

Tato skutečnost ohrozila hesla stovek milionů uživatelů aplikace Facebook Lite, desítky milionů dalších uživatelů Facebooku a desítky tisíc uživatelů Instagramu.

Sociální síť zdůraznila, že hesla nebyla nikdy vystavena nikomu mimo společnost a tuto chybu nikdo nezneužil.

Ještě před vyjádřením Facebooku publikoval bezpečnostní expert Brian Krebs report, ve kterém se celé problematice věnuje. Článek je v angličtině, pokud vás toto téma zajímá, najdete v něm o celé kauze podrobnější informace.

Facebook v prohlášení uvedl, že všechny zasažené uživatele upozorní, ale nebude vyžadovat změnu hesla.

Více informací o tom, jak facebookový účet zabezpečit najdete na stránce https://www.facebook.com/about/security.

Na prvním místě nejpoužívanějších hesel se umístilo „123456“, v závěsu za ním je „password“. Obě tato hesla se na prvním příčkách drží již pátým rokem.

Na dalších místech jsou slova nebo řady čísel, které se rovněž lehce pamatují, ale díky slovníkovým útokům je velmi snadné tato hesla prolomit.

Nejhorší hesla roku 2018

1. 123456 (beze změny)
2. password (beze změny)
3. 123456789 (postup o 3)
4. 12345678 (sestup o 1)
5. 12345 (beze změny)
6. 111111 (nové)
7. 1234567 (postup o 1)
8. sunshine (nové)
9. qwerty (sestup o 5)
10. iloveyou (beze změny)
11. princess (nové)
12. admin (sestup o 1)
13. welcome (sestup o 1)
14. 666666 (nové)
15. abc123 (beze změny)
16. football (sestup o 7)
17. 123123 (beze změny)
18. monkey (sestup o 5)
19. 654321 (nové)
20. !@#$%^&* (nové)
21. charlie (nové)
22. aa123456 (nové)
23. donald (nové)
24. password1 (nové)
25. qwerty123 (nové)

Společnost SplashData odhaduje, že téměř 10 procent lidí použilo nejméně jedno z uvedených pětadvaceti hesel a téměř 3 procenta lidí použilo nejhorší heslo „123456“.

SplashData dále uvádí, že uniklá hesla patřila převážně uživatelům ze Severní Ameriky a západní Evropy.

Po prohlédnutí těchto hesel jistě poznáte sami, že tato hesla nejsou nikterak silná a bezpečná. Ke zvýšení bezpečnosti vašich hesel přitom stačí dodržet několik základních pravidel, najdete je v této infografice : 8 kroků k bezpečnému heslu.

Chatovací (flirtovací) stránka, která je jednou z největších komunikačních platforem v zemi, upozornila úřad v září poté, co zjistila, že uniklo 1,87 milionů kombinací uživatelských jmen/hesel a více než 800 000 e-mailových adres. Tato data byla následně vystavena na servery Mega.nz a Pastebin.com.

Stránka poté potvrdila, že 330 000 e-mailových adres patřilo unikátním uživatelům. V některých případech se v červencovém úniku dat objevila také křestní jména nebo trvalá bydliště uživatelů. Uniklá hesla byla uložena v čitelném textu, bez šifrování, což byl také důvod pro udělení pokuty.

„Uložením hesel v prostém textu společnost vědomě porušila svou povinnost zajistit bezpečnost dat při zpracovávání osobních údajů v souladu s čl. 32 odst. 1 písm. a) GDPR,“ uvádí prohlášení úřadu pro ochranu údajů. Toto ustanovení týkající se obecného nařízení o ochraně osobních údajů Evropské unie zahrnuje „pseudonymizace a šifrování osobních údajů“.

Během několika posledních týdnů provedla společnost rozsáhlá bezpečnostní opatření ke zlepšení zabezpečení IT architektury. Ve spolupráci s LfDI bude zavádět dodatečná opatření k dalšímu rozvoji zabezpečení dat.

„Knuddels je nyní bezpečnější než kdy dříve,“ sdělil pro Spiegel Holger Kujath, jednatel platformy. Knuddels.de funguje od roku 1999 a uvádí, že má více než dva miliony uživatelů.

Chyba se nacházela v panelu „Doporučené blogy“ v desktopové verzi Tumblru. Tento widget zobrazuje přihlášeným uživatelům seznam blogů, které by je mohly zajímat.

„Pokud se v tomto modulu blog zobrazil s využitím debugovacího softwaru, bylo možné prohlížet informace některých účtů,“ uvedl Tumblr.

Tato informace byla objevena a nahlášena před několika týdny díky programu na odměňování za objevené chyby. Samotná zranitelnost pak byla odstraněna do 12 hodin od nahlášení.

Důkazy nenaznačují, že by nějaká citlivá data skutečně unikla.

Společnost sídlící v New Yorku také uvedla, že nedokáže určit, které konkrétní účty byly vystaveny riziku. Analýza ukázala, že chyba se projevila „jen zřídka“. Společnost samozřejmě své uživatele ujistila, že žádné důkazy nenaznačují, že by nějaká citlivá data skutečně unikla.

Platforma zároveň uvedla, že uživatelé nemusí podnikat žádné další opatření, tím se obvykle myslí například změna přihlašovacích údajů. Připojila se k ostatním předním technologickým firmám jako Twitter, Facebook nebo Google, které publikovaly zprávu o zranitelnostech, které v posledních týdnech mohly být (nebo dokonce byly) zneužity.

Tumblr je oblíbená platforma pro tvorbu mikroblogů, která uživatelům nebo společnostem umožňuje snadnou správu a publikaci textů.

U zařízení s operačním systémem iOS pak jde o Facebook, Pandoru a Yelp. Ve všech případech představuje riziko fakt, že zaměstnanci tyto komunikační kanály používají na firemních zařízeních pro osobní, ale i pracovní komunikaci a sdílejí přes ně citlivá firemní data.

Firmy by měly svým pracovníkům zajišťovat pravidelná školení bezpečnosti práce na internetu. Na nich by je varovaly před používáním chatovacích zařízení pro komunikaci interních zařízení, nabádaly je ke stahování aplikací pouze z ověřených a oficiálních zdrojů a k používání antivirových programů na mobilních zařízeních s operačním systémem Android.

Přes zmiňované aplikace uniká nejvíce citlivých firemních dat. To by mělo vést manažery odpovědné za IT bezpečnost k přehodnocení dosavadního přístupu k edukaci zaměstnanců. Důležitá je však i ochrana firemních zařízení před průnikem třetích stran. Základem by také měla být šifrovaná komunikace.

Největším rizikem u některých nezabezpečených aplikací je únik SMS zpráv, sledování polohy zařízení a odesílání různých dat třetím stranám. Vzhledem k blížícímu se termínu účinnosti evropského nařízení o ochraně osobních dat (GDPR) budou muset společnosti často radikálně přehodnotit svůj přístup k zabezpečení všech firemních zařízení.

Evropské nařízení začne platit v květnu příštího roku. Firmám, které nedostatečně ochrání citlivá data, hrozí tučné pokuty. Zejména nadnárodní společnosti se mají čeho obávat: v jejich případě se totiž výše pokuty bude určovat z obratu mateřských koncernů. Pro řadu společností by taková sankce znamenala citelný zásah do ekonomických výsledků.

Projekt Aadhaar je od svého vzniku v roce 2009 terčem kritiky ochránců soukromí

Údaje z jeho databáze dokonce unikly na Twitter, kde byly zveřejněny pod hashtagem #AadhaarLeaks společně s dalšími osobními údaji občanů.

Aadhaar tak neušel zájmu Centra pro internet a společnost, které se rozhodlo ověřit úroveň zabezpečení citlivých osobních údajů. Centrum podle serveru Infosecurity-magazine.com zjistilo, že systém používají čtyři vládní instituce: Národní program sociální pomoci ministerstva pro rozvoj venkova, Národní institut pro zaměstnanost na venkově (NREGA) a na místní úrovni vládní úřady státu Andhra Pradesh v rámci programů NREGA a Chandranna Bima.

„Na základě počtu dostupných údajů na internetových stránkách odhadujeme, že počet unikátních údajů ze systému Aadhaar, které mohly uniknout přes čtyři portály, by mohl dosáhnout 130 až 135 milionů a počet vyzrazených bankovních účtů okolo 100 milionů,“ uvedlo centrum ve svém prohlášení. Ohroženo by však mohlo být až 230 milionů identifikačních údajů, protože zveřejněná čísla se týkají pouze dvou hlavních vládních programů důchodového zabezpečení a podpory zaměstnanosti na venkově.

Jiné velké vládní programy, které také používaly data ze systému Aadhaar, mohly rovněž čelit úniku informací

Zpráva Centra pro internet a společnost byla zveřejněna pouhý den poté, co administrátorka tohoto systému poprvé připustila, že data z této obří databáze pravděpodobně unikla na internet. „Tento případ by měl sloužit jako varování vládám, které uvažují o nasazení podobného systému. Identifikátory tohoto typu jsou vyhledávány podvodníky, zvláště pokud jsou propojeny s dalšími osobními identifikačními údaji,“ varovalo centrum.

Zločinci mají o tato data velký zájem, protože se komplikovaně nahrazují a mají dlouhou dobu platnosti. Jsou tedy ideální pro páchání celé řady podvodů za využití cizí identity.

Lidský faktor

Navzdory tomu, kolik do zabezpečení investujete, lidská chyba je jediná věc, kterou nemůžete zcela kontrolovat. Podle PWC průzkumu z roku 2015 bylo až 50 % nejhorších průniků v loňském roce způsobeno lidskou chybou.

Jiný průzkum z roku 2014 poukazuje na to, že 71 % respondentů uvedlo zaměstnance jako slabinu v korporátních systémech.

Zvýšení povědomí o kybernetické bezpečnosti je nejlepší způsob, jak riziko úniku informací minimalizovat. Pravidelné školení o IT bezpečnosti by mělo být součástí každé kanceláře.

Krádeže

Citlivá data nejsou terčem jen zločinců, v jistých případech můžou lákat také zaměstnance společnosti.

V prvním čtvrtletí tohoto roku se v médiích objevila zpráva, že britský regulátor Ofcom vyšetřuje obrovský únik dat. Ukázalo se, že přední zaměstnanec společnosti shromažďoval citlivá data více než šest let.

I zde platí, že nejlepší ochrana informací je prevence. Je potřeba pečlivě zvolit, kteří zaměstnanci budou mít ke konkrétním datům přístup. Také je vhodné věnovat čas efektivnímu zálohování, není dobré mít veškerá data jen na jednom disku či serveru.

Zneužití

Podle zprávy společnosti Cisco z roku 2014 přibližně čtvrtina dotázaných zaměstnanců přiznala, že sdílí informace s přáteli, rodinou nebo dokonce s cizími lidmi. Téměř polovina dotázaných sdílí pracovní zařízení bez dozoru s lidmi mimo společnost.

Podobné chování může vypadat nevinně, ale vynášení dat mimo společnost může být velkým bezpečnostním rizikem. Správné bezpečnostní nastavení a zavedení interních procesů pro zaměstnance přispěje k omezení podobných aktivit.

Služba fungovala na fyzické kontrole poznávacích značek parkujících automobilů. Zájemce se nejprve musel zaregistrovat, uvést své jméno, číslo SPZ a mobilního telefonu. Kamera u vjezdu do parkoviště poté zaznamenala značku vozu a čas, kdy vjel do parkovacího prostoru. Jakmile se začal blížit čas vyhrazený parkování v nákupním centru, přišla řidiči SMS zpráva s upozorněním. Kamera u výjezdu z parkoviště poté zkontrolala, kdy automobil opustil prostor parkoviště. Řidiči, kteří se registrovali do systému, proto nemuseli používat papírové parkovací lístky.

Služba ale mohla být velice jednoduše zneužita, když zájemce při registraci zadal sice vlastní číslo telefonu, ale smyšlené jméno a číslo SPZ vozu, který mu nepatří, ale chce sledovat jeho pohyb. Bezpečnostní experti upozornili, že takové zneužití by mělo vážné důsledky zejména pro oběti domácího násilí. Provozovatel obchodních center Westfield se proto rozohdl „dočasně pozastavit“ zasílání SMS upozornění. „Omezené bezplatné parkování zachováme, ale rozhodli jsme se, že riziko, bez ohledu na to, jak malé bylo, je natolik vážné, že raději budeme chránit soukromí našic zákazníků,“ uvedl mluvčí obchodní sítě.

Libert použil pro výzkum vlastní open source software webXray, který se mu v minulosti osvědčil při analýze trackerů instalovaných na stránkách o zdraví a pornowebech. Zjistil, že nejen že u těchto webů se nejvíce zneužívají data o uživatelích, ale dochází k jejich sdílení po celém světě.

Infomace o uživateli pak putují až na devět dalších míst kromě provozovatele stránky, kterou uživatel navštívil. „Znamená to, že uživatelé mohou být sledováni hned několika subjekty najednou, které mohou pracovat v tandemu,“ upozornil Libert ve studii, kterou zveřejnil časopis International Journal.

Šokující je výčet webů, jichž se tato praxe týká.

Tim Limbert zjistil, že mezi ně patří i Google, Yahoo, Facebook nebo WordPress. „Víc než 60 procent internetových stránek poskytuje cookies třetím stranám, a přes 80 procent načítá kód JavaScriptu jiných webů na počítačích uživatelů,“ konstatuje Libert. Podle jeho slov jde o naprosto nepokryté sledování návštěvníků webů.

Využívání cookies, které umožňují různým reklamním systémům nabízet uživatelům stránek přímo cílenou reklamu podle toho, které weby předtím navštívili a co na nich hledali, se od letošního podzimu snaží regulovat Evropská unie.

Provozovatelé všech webů na území EU musí od září informovat své uživatele na homepage o tom, že využívají jejich cookies a co to v praxi znamená.

Ve Spojených státech žádná podobná regulace není

„Existuje jeden web, který vidí uživatelé ve svých prohlížečích a potom je ještě jeden mnohem větší skrytý web, který se naopak dívá na ně,“ přiblížil Tim Limbert způsob, jakým funguje předávání dat o uživatelích.

Za nejzářnější příklad označuje Google, který podle jeho výzkumu sleduje chování uživatelů na více než 80 procentech svých stránek a ignoruje nastavení prohlížeče „Do Not Track“, které by mělo uživatele chránit před únikem dat o jeho chování na webu.

Mluvčí Google odmítl toto zjištění komentovat, ale poukázal na všeobecné podmínky využívání služeb společnosti, v nichž se píše, že je v rozporu s politikou Google Analytics posílat osobní identifikační údaje jakéhokoli druhu.

„Ideální je nepřihlašovat se do žádných účtů“.

Podle Liberta je ale tvrzení Googlu zavádějící. „Firma se tváří, jako by uživatelé měli na výběr a mohli využít speciální instrukce na stránkách Analytics, ale to je absolutně falešné, protože pro uživatele je důležité mít jednoduchou možnost nastavit si zákaz exportu dat na svém prohlížeči,“ říká. Existují však pozitivní výjimky, například sociální síť Twitter naprosto respektuje nastavení „Do Not Track“.

Jak se nejsnadněji vyhnout tomu, aby vaše aktivity na internetu nemohl nikdo zaznamenávat?

Tim Libert konstatuje, že možnosti jsou velmi omezené: „Ideální je nepřihlašovat se do žádných účtů (na Facebooku, Gmailu, apod.), protože tím identifikujete sami sebe a můžete se stát předmětem sledování.“

Operátor se obával, že se do ohrožení dostanou všechny čtyři miliony jeho klientů

Nebezpečí spočívalo především v průniku do dat o jejich kreditních kartách. Hacker o nich ale nezískal všechny potřebné informace, aby je mohl zneužít.

Britské firmy v souvislosti s případem TalkTalk naléhají na vládu, aby přijala důrazná opatření proti kybernetickým zločincům. Tvrdí, že zabezpečení jejich on-line systémů je odpovědností kabinetu, nikoli samotných společností, které je využívají.

Mladý hacker po průniku do klientské databáze TalkTalk vyhrožoval, že začne na internetu zveřejňovat citlivé informace o jeho klientech.

Podle prohlášení operátora TalkTalk mělo jít o jména, adresy bydliště, data narození, telefonní čísla, e-mailové adresy, informace o účtu TalkTalk, o kreditních kartách zákazníků či jejich bankovním spojení. Podle zdroje blízkého vyšetřovatelům pachatel poskytl mobilnímu operátorovi jako důkaz svého tvrzení kopie tabulek jeho uživatelské databáze.

Vyšetřovatelé měli od počátku ztíženou situaci, protože k odpovědnosti za odcizení dat se přihlásilo hned několik hackerů, včetně jisté „ruské islamistické skupiny“. Informace o odcizených datech se také objevily na AlphaBay, internetovém obchodu s kradeným zbožím a nelegálními drogami.

Nabídku zde učinil člověk, který se podepsal přezdívkou Courvoisier

Podle jeho dosavadních aktivit to vypadalo, že jde o pravidelného prodejce na AlphaBay, o čemž svědčila pozitivní hodnocení od jeho „klientů“, ale také úroveň „6“, které dosáhl na stupnici prodejců tohoto „eshopu“.

Podle pravidel AlphaBay šestého stupně dosáhne uživatel, který úspěšně realizuje nejméně 500 obchodů v celkové výši minimálně 75 tisíc dolarů a dosáhl pozitivní zpětné vazby