Kaj se lahko naučimo iz največjega hekerskega napada v zgodovini?

Kar tri milijarde uporabnikov je zadel ta hekerski napad – le primerjajte s številom prebivalcev na Zemlji! Daleč največji javno razkrit hekerski vdor, ki je nepridipravom dal dostop do gromozanske količine občutljivih podatkov, je skoraj pet let ostal nerazkrit; mnogi še danes ne vedo, da so bili njihovi osebni računi zaradi njega prizadeti. 

Yahoo!: priročna tarča

Hekerji so se v napadih, ki naj bi potekali med letoma 2012 in 2014, spravili na pešajočega, a še vedno zelo dobro obiskanega spletnega mogotca: Yahoo!. Ta poleg spletne pošte med drugim ponuja novice, informacije o športu in dogajanju na delniških trgih. Širok nabor storitev pomeni, da vsak dan Yahoojeve spletne strani obiščejo milijoni uporabnikov. Mnogi tudi več kot pet let po prvih napadih niso dobili uradnega Yahoojevega obvestila, da so njihovi računi v rokah nepridipravov.

Kako jim je uspelo?

Napada, ki pridobi osebne informacije več milijard ljudi, ne more izvesti posameznik ali majhna skupina ambicioznih hekerjev. Kasneje je bilo razkrito, da so imeli napadalci močno podporo – Rusijo. Uporabili so tehniko spear-phising, pristop lažnega predstavljanja, ki poskuša od naivnih tarč doseči, da opravijo škodljivo operacijo, kot je posredovanje podatkov ali klikanje na povezave. Ravno s tem, ko so Yahoojeve zaposlene prepričali, da kliknejo na zlonamerne linke, so hekerji dobili dostop do Yahoojevega omrežja. Prek omrežja so dobili dostop do baze podatkov, iz katere so lahko načrpali osebne podatke uporabnikov. 

Leta v temi

Informacije o napadu v javnost niso prišle do leta 2016, ko so se na temnem spletu pojavile baze ukradenih informacij Yahoojevih uporabnikov. Imena, elektronski naslovi, datumi rojstva, mobilne številke, gesla in varnostna vprašanja – vse to je bilo na prodaj. Yahoo je takrat priznal, da so podatki res ušli iz baze, a do leta 2017 niso priznali, da je napad prizadel vse tri milijarde njihovih uporabnikov. Takrat je bilo za mnoge že prepozno; s pomočjo prihekanih podatkov so jim lahko nepridipravi ukradli identiteto, jih izsiljevali, zaklenili iz lastnega poštnega predala ali celo prevzeli nadzor nad njihovim spletnim bančništvom in socialnimi omrežji.

Kaj to pomeni?

Glavna stvar, ki se jo lahko naučimo, je, da so šibka točka vsakega še tako varnega omrežja ljudje. Yahoo se je dobro zaščitil pred neposrednimi napadi od zunaj, niso pa računali na šibkost in naivnost zaposlenih. To da misliti, da se lahko podobni napadi kljub naraščajočim varnostnim standardom ponovijo; ljudje ostajamo šibka točka. Nič več zaupanja ne vliva dejstvo, da je Yahoo napade skoraj pet let skrival pred uporabniki, ki so bili potencialno zaradi njih lahko zelo ogroženi. Dokler internetni giganti svojo javno podobo dajejo pred varnost uporabnikov, se lahko podoben fiasko ponovi.

Kaj lahko naredite?

Čeprav je glavno napako v primeru največjega heka v zgodovini naredil Yahoo, obstajajo triki, ki vam omogočijo, da svoje podatke bolje zaščitite, tudi če se skrbniško podjetje do njih vede neodgovorno:

Menjajte gesla IN varnostna vprašanja. Uporabniki, ki so v nekaj letih po napadu vsaj enkrat spremenili geslo in varnostna vprašanja, so bili takrat, ko je na spletu pristala celotna baza podatkov, varni pred neposrednim vdorom v njihov račun.

Uporabljajte dvofaktorsko avtentikacijo (2FA). Ta doda dodatno raven varnosti, saj zahteva fizičen dostop do ene od vaših naprav. Če jo uporabljate, hekerji tudi z geslom in varnostnimi vprašanji večinoma ne bodo mogli dostopati do vašega računa. 

Preobčutljive podatke brišite s spleta; še tako zavarovan račun lahko podleže pametnim taktikam napadalcev. E-maile z zasebnimi informacijami, občutljive slike ali dokumente brišite ali hranite na ločenem, s spletom nepovezanim nosilcem.

Uporaba teh trikov vas bo zaščitila in vas rešila velikega dela skrbi, ki vam jih lahko nakoplje uspešen hekerski napad. Še vedno pa velja, da noben računalniški zid ni popolnoma neprodoren; predvsem zaradi naivnosti ljudi, ki z njim upravljajo. Zgodba o Yahoojevem odzivu na napad je sploh zgovorna; ne zaupajte ponudnikom internetnih storitev, da bodo z vami iskreni glede potencialnih varnostnih tveganj, sploh če lahko to škoduje njihovemu ugledu. Ni rečeno, da ni bil tudi kateri od vaših ostalih spletnih računov hekersko razgaljen, pa o tem še danes ne veste nič. Ne čakajte, da nov spletni velikan razkrije, kako so ušli podatki uporabnikov – že danes prevzemite kontrolo nad svojo zasebnostjo na spletu.