Hlavní obsah

Veřejná úložiště dat: nechráněné citlivé informace

Právo, Jindřich Ginter

Veřejná datová úložiště se stala součástí běžného života pro posílání třeba většího souboru fotografií či jiných dat. Bývalého vojenského počítačového specialistu na šifrování a dnes bezpečnostního analytika společnosti Anect Zbyňka Malého šokovalo, co všechno našel volně ležet na těchto datových „parkovištích“.

Foto: Steve Marcus, Reuters

Ilustrační foto

Článek

„Během několika vteřin jsem měl přístup k několika zálohám elektronické pošty, vyskočily na mě osobní i serverové certifikáty včetně návodu pro jejich instalaci, velký problém nebyl ani podívat se také na zdravotnickou dokumentaci,“ řekl expert. „V případě záloh poštovních schránek jsem původně odhadoval, že asi 10 až 20 procent z nich budou chráněny šifrováním. Překvapilo mne, že šifrovaná byla jen jedna z dvaceti záloh, tedy pouhých pět procent,“ shrnul své poznatky pro Právo Malý.

Zdůrazňuje, že tyto zálohy nestahoval ani neotevíral. „Nicméně už podle jejich názvů lze předpokládat, jaké informace v nich budou. Našel jsem zálohy pošty jedné firmy na montáž žaluzií, penzionu v Krkonoších, zaměstnance společnosti zabývající se výrobou nátěrových hmot, okresního fotbalového svazu a dalších. Co mě nejvíc překvapilo, byla záloha pošty jednoho zaměstnance Vysoké školy bezpečnostního managementu v Košicích,“ uvedl.

Dalšími překvapeními bylo nalezení kompletních záloh počítačů a účetních programů. Našel jsem zde i tzv. warez, tedy upravený program jako hry, operační systémy a jiné programy, které nevyžadují aktivaci a platbu licence. Takto upravené programy ovšem podle něho mnohdy obsahují i nějaký typ záškodnického kódu, ať už se jedná o vcelku jednoduchý virus až po tzv. keylogger, tedy program, který snímá stisky jednotlivých kláves a může být aktivován i otevřením stránky s internetovým bankovnictvím.

Malý nejvíce „brouzdal“ po nejoblíbenějším úložišti Ulož.to, ale zdůrazňuje, že podobné to bylo i na dalších jako Edisk.cz, Quickshare.cz, CZShare.cz, Hellshare.cz a Sharerapid.cz.

Živé e-maily, které je možné zneužít

„Informace na úložištích mě přesvědčily o tom, že dnes není vůbec nutné pokoušet se o hacking poštovních serverů, stačí si stáhnout zálohy elektronické pošty a budu mít dostatečnou zásobu živých e-mailových adres, které mohu dále zneužít, o informacích, které jsou ve vlastním e-mailu, ani raději nemluvím. Vždyť například u firemních e-mailů nalezneme například objednávky, faktury, vyřizování reklamací a například u hotelových e-mailů mnohdy najdeme kompletní údaje o platebních kartách hostů,“ odhaluje Malý.

Zálohy a další citlivá data na úložištích je proto vhodné zajistit šifrou. „A to i v případě, kdy budeme chtít, aby k těmto informacím měl přístup i náš známý – není žádný problém poslat mu spolu s odkazem na soubor i příslušné heslo. Co se pak týče firemních údajů, ty na toto úložiště logicky nepatří,“ opakuje Malý s poznámkou, že u hackerů je pořád nejsilnější zbraní uživatel sám. „Úniky dat na úložištích tady byly vždy, je třeba lidi vzdělávat,“ potvrzuje analytik Centra kybernetické bezpečnosti Luděk Sefzig.

Také odborníci na kyberbezpečnost ze společnosti SODAT letos analyzovali soubory na Ulož.to a zjistili, že „mnohé z nich obsahují firemní přístupová hesla, pracovní smlouvy nebo rodná čísla. Tyto informace přitom na úložiště nahrávají sami zaměstnanci za účelem zálohování a sdílení“. Našli zde data více než tisícovky firem a ze 112 záloh e-mailu byla chráněna heslem jen jedna.

Anketa

Ukládáte svá data na veřejná úložiště?
Ano, heslo nepotřebuji
3,3 %
Ano, s ochranou heslem
8 %
Ne
88,7 %
HLASOVÁNÍ SKONČILO: Celkem hlasovalo 300 čtenářů.
Související témata:

Výběr článků

Načítám