Programišių taikinyje – viešai prieinami asmeniniai duomenys

Birželio mėnesį nelegaliuose interneto forumuose pasirodė pasiūlymas už kiek daugiau nei 4000 Eur įsigyti duomenų bazę, kurioje yra 700 milijonų „LinkedIn“ vartotojų duomenys – nuotraukos, darbovietės ir pareigos, telefono numeriai ir elektroninio pašto adresai. IT saugumo ekspertai atkreipia dėmesį, kad šie duomenys nebuvo pavogti ar gauti kitu nelegaliu būdu – jie visi surinkti naudojantis viešai prieinamais šaltiniais.

 „Viešai prieinamų atvirų duomenų, išskyrus asmens duomenis, kaupimas savaime nėra nusikaltimas, tačiau tai – galimos nusikalstamos veiklos pradžia, todėl į panašius atvejus IT ekspertai žiūri labai įdėmiai“, – sako Tomas Stamulis, įmonės „Baltic Amadeus“ IT saugumo architektas.

Renka viešai prieinamus duomenis

 Tai ne pirmas kartas, kai internete pardavinėjamos iš viešai prieinamų asmens duomenų sudarytos duomenų bazės. Vien šių metų balandį buvo parduotos trys didelės duomenų bazės: 500 milijonų „LinkedIn“ vartotojų, 1,3 „Clubhouse“ narių ir  533 milijonų „Facebook“ vartotojų duomenys buvo surinkti neatliekant jokių įsilaužimo į sistemas veiksmų.

Ekspertas aiškina, kad panašios duomenų bazės sudaromos internete „gremžiant“ (angliškai – scraping) visiems prieinamus duomenis, kuriuos vartotojai socialiniuose tinkluose pasirenka padaryti viešus. „Norint sudaryti panašią duomenų bazę ir renkant šiuos duomenis rankiniu būdu turbūt neužtektų viso gyvenimo, tačiau programišiai naudojasi papildomomis priemonėmis, kurios leidžia didelius kiekius atvirų duomenų atsisiųsti ir susisteminti. Po to tokios duomenų bazės yra parduodamos juodojoje interneto rinkoje“, – pasakoja T. Stamulis.

Anot jo, su panašiais atvejais taip pat susiduria verslas. „Yra siūloma įsigyti Lietuvoje veikiančių įmonių sąrašus, kuriuose pateikiama detali informacija apie įmonę. Šie sąrašai sudaryti būtent „gremžiant“ interneto svetaines, kuriose yra pateikiami įmonių katalogai, detalesnė informacija apie įmonių veiklą, atsakingus asmenis ir kontaktai, pavyzdžiui, el. pašto adresas ar telefono numeris“, – sako T. Stamulis.

Piktavalių įrankis

700 milijonų „LinkedIn“ vartotojų duomenis paskelbęs programišius, save vadinantis Tom Liner, sako, kad šiuos duomenis rinko daugiau nei pusę metų ir paskelbė, nes jam tai pasirodė smagu. Jo surinktą naujausią „LinkedIn“ vartotojų duomenų bazę jau įsigijo keli klientai, kurių ketinimai pardavėjui nėra žinomi. IT ekspertas T. Stamulis pabrėžia, kad beveik  nėra abejonės, kad juodojoje rinkoje duomenis perkantys asmenys planuoja ne visai legalias veiklas, todėl didelė tikimybė, kad tokie duomenys gali būti panaudoti blogiems tikslams.

„Saugumo ekspertai, peržiūrėję naujausios pardavinėjamos duomenų bazės pavyzdžius, mato, kad iš viešų duomenų galima gauti daug jautrios ir potencialiai žalingos informacijos. Pavyzdžiui, turint įmonės ar asmeninį el. pašto adresą, kuris paprastai yra įrašomas „LinkedIn“ paskyroje, galima organizuoti užkrėstų elektroninių laiškų ataką. Taip pat, remiantis sukčiavimo schemoms, analogiškai panaudoti skelbiamą telefono numerį. Kita grėsmė yra susijusi su industriniu šnipinėjimu ar specializuotomis kibernetinėmis atakomis – žinant vadovaujančius asmenis ir jų sąsajas yra daug lengviau organizuoti nelegalias operacijas siekiant gauti jautrius duomenis ar išvilioti dideles pinigų sumas“, – aiškina IT saugumo architektas.

Duomenų apsauga – asmeninė atsakomybė

 Ekspertas pabrėžia, kad panašių „gremžimo“ atvejų yra daug, tačiau ne visi patenka į viešumą. O kol yra norinčių tokius duomenis pirkti, atsiras ir tokių, kurie juos rinks. Nors didžiosios kompanijos investuoja milžiniškus pinigus į sistemų apsaugą, nuo „gremžimo“ tai neapsaugos, nes naudojami ne slapti, o viešai prieinami duomenys, kuriuos paskelbė pats vartotojas. Pasak T. Stamulio, duomenų apsauga tampa kiekvieno asmenine atsakomybe, todėl socialinių tinklų vartotojai turėtų peržiūrėti savo paskyrų nustatymus ir pasitikrinti, ar tikrai viskas, kas skelbiama viešai, turi ten būti.

„Vartotojai turėtų suprasti riziką, kuri kyla internete paskelbus savo asmeninius duomenis. Net ir tai, kas mums atrodo visiška smulkmena, programišiams gali tapti įrankiu, kuris bus panaudotas mums pakenkti. Pavyzdžiui, viešai nurodyta geografinė lokacija gali padėti surasti jūsų gyvenamąją vietą, tada atsekti naudojamas paslaugas, interneto teikėją, o tuomet programišius tikrai mokės prisijungti prie vidinio tinklo ir perimti visų prietaisų kontrolę“, – pasakoja T. Stamulis.

Pasak eksperto, papildomą dėmesį saugumui taip pat turi skirti įmonės. T. Stamulis pataria kiekvienai įmonei rudens sezoną pradėti nuo trumpų saugumo mokymų, kaip sutvarkyti socialinių tinklų profilius taip, kad juose esanti informacija būtų matoma tik patikimiems žmonėms. „Apsaugodami savo asmenines paskyras mes saugome save nuo nemalonumų ateityje. Jei tvarkingų interneto vartotojų bus daugiau, programišių darbas tikrai bus sunkesnis. Be to, įmonių vadovai ir kiti atsakingi asmenys turėtų įsivertinti, kokius duomenis apie savo struktūrą, vadovus ir panašiai skelbia viešai“, – sako IT ekspertas.   

 

„Baltic Amadeus“ – unikalius IT sprendimus kurianti, skaitmenizacijos ir IT saugumo klausimais konsultuojanti bendrovė, kurioje dirba daugiau nei 200 kvalifikuotų profesionalų. Šiaurės Europos finansų, energetikos, telekomunikacijų, logistikos, laivininkystės ir kitų rinkų įmonėms „Baltic Amadeus“ kuria naujausiomis debesijos („Cloud“), dirbtinio intelekto (AI) ir daiktų interneto (IoT) platformų tendencijomis pagrįstus skaitmenizavimo sprendimus, siekdama užtikrinti geriausią patirtį savo klientams, naudotojams ir darbuotojams.