უფრო და უფრო მზარდ ციფრულ სამყაროში, მონაცემთა უსაფრთხოება კრიტიკული საზრუნავია როგორც ინდივიდებისთვის, ასევე ბიზნესისთვის. სისტემასა და სერვერზე არსებულმა ერთმა დარღვევამ მნიშვნელოვანი ფინანსური ზარალი, რეპუტაციული რისკები და სენსიტიური ინფორმაციის გაჟონვა შეიძლება გამოიწვიოს. სწორედ ამიტომ, მონაცემთა უსაფრთხოებას საკმარისი დრო და ყურადღება უნდა დაეთმოს, განსაკუთრებით, მაშინ, როცა ბიზნესი მომხმარებელთა შესახებ პირად და სენსიტიურ მონაცემებს ციფრულ სივრცეში ინახავს. ამიტომაც, მეტი სიცხადისთვის, ამ ბლოგში, მონაცემთა გაჟონვის/მოპარვის რამდენიმე ყველაზე გახმაურებულ შემთხვევასა და მათ გამომწვევ მიზეზებს განვიხილავთ.
First American (885 მილიონი ჩანაწერი)
ფინანსური კორპორაციიდან, სახელად First American, რომელიც შეერთებულ შტატებში სადაზღვევო სექტორის გიგანტია, ასობით მილიონმა ჩანაწერმა (records) გაჟონა. უმთავრესად, ეს ჩანაწერები მოიცავდა ციფრულ დოკუმენტებს, რომელთა აღრიცხვა 2003 წლიდან იყო დაწყებული და იპოთეკურ თუ საკუთრების გარიგებებს ეხებოდა, რაც შესაბამისად, ქონების მყიდველებისა და გამყიდველების პერსონალური ინფორმაციის “ოქროს საბადოს” წარმოადგენდა.
“ციფრული ჩანაწერები – მათ შორის, საბანკო ანგარიშის ნომრები და ამონაწერები, იპოთეკური და საგადასახადო ჩანაწერები, სოციალური დაცვის ნომრები (social security number), საბანკო ტრანზაქციის ქვითრები და მართვის მოწმობის სურათები – ავთენტიფიკაციის გარეშე, ხელმისაწვდომი იყო ყველასთვის, ვისაც ვებბრაუზერთან წვდომა აქვს.” – წერდა KrebsOnSecurity გაჟონვის შესახებ.
საქმე იმაში იყო, რომ სწორედ სადაზღვევო კომპანიის ვებგვერდიდან (firstam.com) ჟონავდა მათივე მომხმარებელთა ჩანაწერები. თუ ვინმეს დოკუმენტის ვალიდური ბმული ეცოდინებოდა, მაშინ მათ ნებისმიერი სხვა დოკემნტის ნახვაც თავისუფლად შეეძლოთ და ამისათვის, ბმულზე მხოლოდ დოკუმენტის ნომრის ცვლილება იყო საჭირო. ეს ნიშნავს, რომ ყველას, ვინც კომპანიისგან რაიმე დოკუმენტის/ჩანაწერის ბმული მიიღო, წვდომა ყველა სხვა დოკუმენტზეც ჰქონდა.
აქ, ისმის ლოგიკური შეკითხვა, თუ როგორ შეიძლებოდა ამის თავიდან აცილება? მიუხედავად იმისა, რომ First American-ს პრობლემის გამომწვევი სპეციფიკაციების შესახებ საჯაროდ არაფერი გაუმჟღავნებია, არსებული ინფორმაცია კომპანიის მფლობელობაში არსებულ მონაცემებზე არაავტორიზებული წვდომის შესახებ მიანიშნებს. ეს შეიძლება დაებლოკათ და თავიდან აერიდებინათ წვდომის მართვის სისტემის ინსტალაციით და/ან აპლიკაციისა და საიტის პოტენციურ დაუცველობაზე ტესტირებით.
16 ვებგვერდი (617 მილიონი ანგარიში)
16 სხვადასხვა სერვისის ვებგვერდის გატეხვის შედეგად, ასობით მილიონი მომხმარებლის ანგარიშის მონაცემებმა გაჟონა. გატეხილი საიტების სიაში შედიოდა ისეთი პოპულარული სახელები, როგორიცაა Dubsmash, ShareThis და 500px.
მონაცემები, dark web-ში გასაყიდად, 20 000$-ზე ნაკლები ღირებულების ბიტკოინად იყო განთავსებული.
„მონაცემები, ძირითადად, ანგარიშის მფლობელების სახელებისგან, ელ.ფოსტის მისამართებისა და პაროლებისგან შედგება… არსებობს რამდენიმე სხვა ტიპის ინფორმაციაც, რომელიც დამოკიდებულია თავად ვებგვერდზე, როგორიცაა მდებარეობა, პერსონალური დეტალები და სოციალური მედიის ანგარიშების ავტორიზაციის ტოკენები.“ – განაცხადა The Register-სმა.
ალბათ, ყველას აინტერესებს, ამ შემთხვევაში რაში მდგომარეობდა პრობლემა?იმის გამო, რომ ჯამში 16 ვეგვერდი გატეხეს, თითოეულის დაუცველობის ცალ-ცალკე განხილვა შეუძლებელია. სავარაუდოა, რომ ჰაკერმა მიაგნო და სათავისოდ გამოიყენა უსაფრთხოების ხარვეზები, მათ შორის Remote Code Execution (RCE), შემდეგ კი, ამოიღო მომხმარებლების მონაცემები.
როგორ შეიძლებოდა ამის თავიდან აცილება? უპირველეს ყოვლისა, ყველა კომპანიამ უნდა დაიცვას პაროლების შენახვის ინდუსტრიის სტანდარტი – უსაფრთხო ჰეში, როგორიცაა Argon2, bcrypt. შემდეგ, დაუცველობის აღმოსაჩენად, სავარაუდოდ, მათ უნდა გაეკეთებინათ რეგულარული დაუცველობის ტესტები, დაეყენებინათ ვებ აპლიკაციების firewall და გამოეყენებინათ მონაცემთა უსაფრთხოების კარგად დატესტილი და სანდო ტექნიკა.
Canva (139 მილიონი ანგარიში)
Canva – სიდნეიში დაფუძნებული კომპანია, რომელიც პოპულარულია ლოგოების, ვებგვერდების, პრეზენტაციებისა და სხვა ტიპის ნამუშევრების შესაქმნელად – ჰაკერების ჯგუფმა – GnosticPlayers – გატეხა, რომლებიც ასევე, პასუხისმგებელნი არიან 617 მილიონი მომხმარებლის ანგარიშის მონაცემების გასაჯაროვებაზე.
„მოპარული მონაცემები მოიცავდა ისეთ დეტალებს, როგორიცაა მომხმარებლის რეალური სახელები, ელ.ფოსტის მისამართები და ინფორმაცია მათი ადგილმდებარეობის, ქალაქებისა და ქვეყნის შესახებ… ასევე, წარმოდგენილი იყო პაროლის ჰეშები… პაროლები, რომლებიც ჰეშირებული იყო bcrypt ალგორითმით, რომელიც ამჟამად ერთ-ერთ ყველაზე უსაფრთხო პაროლის ჰეშირების ალგორითმად ითვლება. “ – წერდა ZDNet.
როგორც ხედავთ, ეს სამი შემთხვევა აჩვენებს იმ უზარმაზარ რისკებს, რომლებიც მონაცემთა უსაფრთხოების სისუსტეს მოჰყვება. კომპანიებმა პრიორიტეტი სენსიტიური მონაცემების დაცვას უნდა მიანიჭონ, რისთვისაც ძლიერი უსაფრთხოების ზომების მიღებაა აუცილებელი, მაგალითად, როგორიცაა როგორიცაა პროგრამული უზრუნველყოფის რეგულარული განახლებები, ორფაქტორიანი ავთენტიფიკაცია, დაშიფვრა და პროაქტიული მონიტორინგი. ვინაიდან, ციფრული ლანდშაფტი განვითარებას ყოველდღიურად აგრძელებს, მონაცემთა უსაფრთხოების უზრუნველყოფა არა მხოლოდ საუკეთესო პრაქტიკაა, არამედ აუცილებლობაა ნებისმიერი ბიზნესისთვის, რომელიც მომხმარებელთა მონაცემებს ამუშავებს და ფლობს.
