Giga adatlopás II: a legdurvább incidens

A Yahoo-nál minden idők eddigi legjelentősebb adatlopási eseménye következett be, aminek következményei egyelőre beláthatatlanok mind a vállalatra, mind az informatikai biztonságra nézve.
 

Ahogy arról tegnap már beszámoltunk, a Yahoo elismerte, hogy egy újabb súlyos adatbiztonsági incidens jutott a tudomására, idén nem először. A vállalat szeptemberben közölte, hogy még 2014-ben egy olyan incidens következett be, amelynek során több mint 500 millió regisztrált felhasználójának adatát lopták el. Az esemény már akkor is az egyik legkomolyabb biztonsági incidensként került be a köztudatba, de most kiderült, hogy ez csak a jéghegy csúcsa lehetett. Ugyanis 2013-ban egy ennél még jelentősebb incidens történt, amely több mint egymilliárd felhasználói fiókot sodort veszélybe.

A most napvilágra került biztonsági incidens során nevek, e-mail címek, telefonszámok, születési dátumok és hash-elt jelszavak juthattak illetéktelen kezekbe. Ráadásul a jelszavakat csak a gyengének számító, MD5-típusú hash-elési eljárás védte. A vállalat szerint egyes felhasználók esetében az is előfordulhatott, hogy a jelszóemlékeztető kérdésekhez és az azokra adandó válaszokhoz is hozzájutottak az elkövetők. A Yahoo jelezte, hogy bank- és hitelkártyákkal kapcsolatos adatok, illetve egyéb banki, pénzügyi információk nem kerültek ki a rendszeréből, ugyanis azokat egy másik adatbázisban tárolta, amihez a támadók nem fértek hozzá.

Bob Lord, a Yahoo információbiztonsági vezetője szerint a 2013 augusztusában bekövetkező incidens akkor jutott a tudomásukra, amikor novemberben a hatóságok erre utaló adatokat adtak át a vállalatnak. Vagyis külső segítségre és hosszú időre volt szükség az incidensdetektáláshoz annak ellenére is, hogy töménytelen mennyiségű adatról van szó. 

A hatósági, jogi eljárások jelenleg is folyamatban vannak még az előző biztonsági esemény kapcsán is. Az egyik tisztázandó kérdés például az, hogy a Yahoo valóban csak idén szerezhetett-e tudomást a történtekről. Egyes hírek szerint a vállalatnál néhányan már 2014-ben is tisztában voltak az akkor történt adatlopással, de egyelőre még zajlik a bizonyítékok gyűjtése, értékelése. 

Az eddig feltárt adatok egyelőre nem támasztották alá azon feltételezéseket, hogy a két nagy incidensnek köze lenne egymáshoz. A Yahoo korábban már közölte, hogy az első támadás mögött - meg nem nevezett - államok kibertevékenységét sejti, és e meglátása mellett azóta is kitart. Szakemberek szerint nem elképzelhetetlen, hogy egyes kormányok szemet vetettek a vállalat adatbázisára, de egyelőre erre vonatkozó bizonyítékok nem kerültek nyilvánosságra. Ha állami hátterű akcióról vagy akciókról van szó, akkor szakértők Oroszországot, Kínát és Észak-Koreát emlegetik potenciális "közreműködőként".

A Yahoo legutóbb feltárt adatlopási eseménye kapcsán a biztonsági szakemberek nem igazán adtak hangot meglepetésüknek, hiszen a szeptemberi bejelentést követően nyilvánvalóvá vált, hogy a vállalatnál az IT-biztonság igencsak problémás volt. Sokkal inkább arra helyezték a hangsúlyt a nyilatkozataikban, hogy az incidensdetektálás terén sürgős lépésekre van szükség. 

Az USA-ban - államonként ugyan eltérő -, de többnyire szigorú szabályozás van érvényben az incidensek kezelésével, bejelentésével kapcsolatban. Európában az új adatvédelmi rendelet következtében 2018 tavaszától még szigorúbb elvárásoknak kell majd megfelelni, és a bejelentési kötelezettség alapesetben 72 óra lesz az incidensek felfedezésétől számítva. Ugyanakkor a jogi szabályok önmagukban még nem lesznek képesek gátat szabni a hasonló történéseknek, főleg akkor, ha továbbra is 2-3 évnek kell eltelnie ahhoz, hogy milliós adatlopásokra fény derüljön.

Nem tudni lesz-e felvásárlás?

A Yahoo számára már a szeptemberben bejelentett adatlopás is nagyon rosszkor jött abból a szempontból is, hogy idén kezdődött meg a kereséssel, tartalomszolgáltatással és kommunikációval foglalkozó részlegének felvásárlása. A vásárló a Verizon, amely 4,83 milliárd dolláros ajánlatot tett. A tervek szerint az akvizíció jövő év első negyedévében zárulna le. Legalábbis a támadások felfedezéséig ez volt a helyzet, de azóta a Verizon már óvatosabban nyilatkozik. 

Tim Armstrong, az AOL elnök-vezérigazgatója a hónap elején visszafogott optimizmusának adott hangot, és jelezte, hogy folyamatosan figyelemmel kísérik a vizsgálatokat, és azoknak megfelelően elemzik a kialakult helyzetet. Az, hogy a második incidens milyen mértékben fogja hátráltatni a felvásárlást, még nem tudni. Az azonban biztos, hogy a Verizon ismét át fogja gondolni az elképzeléseit. 

Hogyan védekezzünk?

Felhasználói oldalon a hasonló incidensek elleni védekezés nem könnyű, mivel ezúttal is egy régen történt eseményt kellene megfelelő módon kezelni. Ugyanakkor azért óvintézkedések meghozatalára így is van lehetőség. Ezek közül a legfontosabb természetesen az, hogy a Yahoo-s felhasználói fiókok esetében meg kell változtatni a jelszavakat, biztonsági kérdéseket, különösen akkor, ha ez a szeptemberben napvilágra került incidens után nem történt meg. Fontos, hogy a jelszómódosításnak minden olyan egyéb alkalmazásra, szolgáltatásra is ki kell terjednie, amelyeket ugyanazon bejelentkezési adatokkal használtak, mint amiket Yahoo-nál kompromittálódott fiókokhoz is. Eközben pedig még óvatosabban kell kezelni az elektronikus leveleket, hiszen ha adathalászok és spammerek birtokába kerül a mérhetetlen mennyiségű e-mail cím, akkor azokkal biztosan nem lesznek restek visszaélni.

További kockázatcsökkentő lehetőséget jelentenek a többfaktoros azonosítási eljárások, amiket nemcsak a Yahoo!-nál, hanem minden más olyan helyen célszerű aktiválni, ahol erre van lehetőség.