Článek
„Během několika vteřin jsem měl přístup k několika zálohám elektronické pošty, vyskočily na mě osobní i serverové certifikáty včetně návodu pro jejich instalaci, velký problém nebyl ani podívat se také na zdravotnickou dokumentaci,“ řekl expert. „V případě záloh poštovních schránek jsem původně odhadoval, že asi 10 až 20 procent z nich budou chráněny šifrováním. Překvapilo mne, že šifrovaná byla jen jedna z dvaceti záloh, tedy pouhých pět procent,“ shrnul své poznatky pro Právo Malý.
Zdůrazňuje, že tyto zálohy nestahoval ani neotevíral. „Nicméně už podle jejich názvů lze předpokládat, jaké informace v nich budou. Našel jsem zálohy pošty jedné firmy na montáž žaluzií, penzionu v Krkonoších, zaměstnance společnosti zabývající se výrobou nátěrových hmot, okresního fotbalového svazu a dalších. Co mě nejvíc překvapilo, byla záloha pošty jednoho zaměstnance Vysoké školy bezpečnostního managementu v Košicích,“ uvedl.
Dalšími překvapeními bylo nalezení kompletních záloh počítačů a účetních programů. Našel jsem zde i tzv. warez, tedy upravený program jako hry, operační systémy a jiné programy, které nevyžadují aktivaci a platbu licence. Takto upravené programy ovšem podle něho mnohdy obsahují i nějaký typ záškodnického kódu, ať už se jedná o vcelku jednoduchý virus až po tzv. keylogger, tedy program, který snímá stisky jednotlivých kláves a může být aktivován i otevřením stránky s internetovým bankovnictvím.
Malý nejvíce „brouzdal“ po nejoblíbenějším úložišti Ulož.to, ale zdůrazňuje, že podobné to bylo i na dalších jako Edisk.cz, Quickshare.cz, CZShare.cz, Hellshare.cz a Sharerapid.cz.
Živé e-maily, které je možné zneužít
„Informace na úložištích mě přesvědčily o tom, že dnes není vůbec nutné pokoušet se o hacking poštovních serverů, stačí si stáhnout zálohy elektronické pošty a budu mít dostatečnou zásobu živých e-mailových adres, které mohu dále zneužít, o informacích, které jsou ve vlastním e-mailu, ani raději nemluvím. Vždyť například u firemních e-mailů nalezneme například objednávky, faktury, vyřizování reklamací a například u hotelových e-mailů mnohdy najdeme kompletní údaje o platebních kartách hostů,“ odhaluje Malý.
Zálohy a další citlivá data na úložištích je proto vhodné zajistit šifrou. „A to i v případě, kdy budeme chtít, aby k těmto informacím měl přístup i náš známý – není žádný problém poslat mu spolu s odkazem na soubor i příslušné heslo. Co se pak týče firemních údajů, ty na toto úložiště logicky nepatří,“ opakuje Malý s poznámkou, že u hackerů je pořád nejsilnější zbraní uživatel sám. „Úniky dat na úložištích tady byly vždy, je třeba lidi vzdělávat,“ potvrzuje analytik Centra kybernetické bezpečnosti Luděk Sefzig.
Také odborníci na kyberbezpečnost ze společnosti SODAT letos analyzovali soubory na Ulož.to a zjistili, že „mnohé z nich obsahují firemní přístupová hesla, pracovní smlouvy nebo rodná čísla. Tyto informace přitom na úložiště nahrávají sami zaměstnanci za účelem zálohování a sdílení“. Našli zde data více než tisícovky firem a ze 112 záloh e-mailu byla chráněna heslem jen jedna.