Ameriško spletno podjetje Yahoo je v četrtek pojasnilo, da so z njihovega omrežja ukradli podatke vsaj 500 milijonov uporabnikov. Gre za največjo znano krajo uporabniških podatkov v zgodovini, še najbolj šokantno pa je, da se je zgodila proti koncu leta 2014 oziroma pred skoraj dvema letoma. Med ukradenimi podatki so domnevno imena, elektronski naslovi, telefonske številke, datumi rojstva, zaščitena oziroma zakodirana gesla in v nekaterih primerih tudi varnostna vprašanja za dostop do uporabniškega računa ob izgubi gesla. Podatki o kreditnih karticah in nezaščitena gesla naj bi bili varni, saj jih hranijo ločeno. Pri Yahooju na podlagi dosedanje preiskave domnevajo, da je šlo za napad državno sponzoriranih hekerjev. Katero državo sumijo, niso pojasnili.
Pravijo, da uporabnikom, ki bi lahko bili med žrtvami napada, že pošiljajo elektronska sporočila z dodatnimi pojasnili. Uporabnike, ki gesel niso spremenili od leta 2014, pa pozivajo, naj to storijo. Ob tem dodajajo še, da njihovo elektronsko sporočilo žrtvam napada ne vsebuje nobenih povezav, ki bi jih morali klikniti, ali zavihkov za prenos. Uporabnike, ki prejmejo takšno elektronsko sporočilo, pozivajo, naj ne klikajo na povezave ali zavihke, saj gre verjetno za nov poskus napada.
Zelo pozno razkritje
Čeprav so spletni napadi stalnica, se poraja vprašanje, zakaj je Yahoo potreboval tako dolgo, da je uporabnike obvestil o kraji?
Pri ameriškem raziskovalnem centru s področja varovanja osebnih podatkov Poneman institute pravijo, da se tovrstne napade povprečno odkrije že v 191 dnevih od napada. Pri slovenskem centru za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij SI-CERT pa pravijo, da vseeno ni neobičajno, če se kraje podatkov ne zazna že ob samem dejanju. Kot pojasnjuje Tadej Hren s SI-CERT, to še posebno velja za sofisticirane napade, katerih namen ni javna objava ukradenih podatkov.
Yahoo pravi, da je bil o vdoru seznanjen šele to poletje, ko je neki heker začel po forumih prodajati ukradene uporabniške podatke. Pri podjetju so sprožili preiskavo, a trditev hekerja jim ni uspelo potrditi, so pa medtem naleteli na precej hujšo ugotovitev – da so jim leta 2014 ukradli podatke za več kot pol milijarde uporabnikov. Če vse prizadete uporabnike štejemo kot resnične osebe, gre za osebne podatke ene štirinajstine vseh prebivalcev sveta in kar eno sedmino vseh svetovnih spletnih uporabnikov. Število resničnih ljudi, ki so bili pri tem prizadeti, bi vseeno lahko bilo nižje, saj so mnogi verjetno uporabljali več uporabniških računov, med njimi pa bi znali biti tudi računi društev, organizacij in podjetij. Kljub temu gre za strašljive številke.
Je Yahoo namerno skrival podatke?
Odzivi na pozno razkritje so bili burni tudi na drugi strani luže. Demokratski senator Mark R. Warner je poleg ostre kritike na račun poznega obveščanja uporabnikov zahteval tudi nov krovni zakon, ki bo veljal za vse zvezne države ZDA ter bo podjetjem postavljal strožja pravila in zahteve glede razkrivanja tovrstnih incidentov. Ameriški predsednik Barack Obama je sicer že leta 2015 predlagal zakon, ki bi zahteval, da podjetja javnost obvestijo v tridesetih dneh po odkritju napada, a ga ameriški zakonodajalci še niso utegnili sprejeti.
Poleg težav za uporabnike pa bi napad lahko povzročil tudi precej nevšečnosti Yahooju. Podjetje, ki je bilo nekoč vodilno na področju spletnih storitev, a je s prihodom Googla in drugih konkurentov vse bolj izgubljalo pomembnost, je namreč ravno v postopku prodaje ameriškemu telekomunikacijskemu operaterju Verizon. Ta je bil julija letos oziroma mesec pred domnevnim odkritjem kraje podatkov pripravljen za Yahoo, ki je bil nekoč vreden več kot 100 milijard evrov, odšteti 4,3 milijarde evrov. Po izbruhu napada bi cena podjetja lahko padla, a doslej ni jasno, ali bo imel incident vpliv na Verizonov nakup. Ameriški operater pravi, da je bil o dogajanju obveščen šele pred tremi dnevi. Je pa demokratski senator Richard Blumenthal že pozval k preiskavi, ali je Yahoo namerno prikrival podatke o napadu, da bi umetno dvignil ceno, ki jo je zanj pripravljen plačati Verizon. Če bi se izkazalo, da je to res, bi šlo za resno goljufijo.
Na vidiku tožbe zoper Yahoo
Glede na to, da se med glavne razloge za Verizonov nakup Yahooja navaja ravno dostop do njegovih obsežnih uporabniških podatkov, bi cinični opazovalec hitro videl, kako bi s kupčijo Verizon močno preplačal iste podatke, ki jih lahko precej ceneje dobi na črnem trgu. Dodatne težave pa bi lahko sledile tudi v obliki tožb zoper Yahoo.
Kot pojasnjuje Hren, gre v primeru takšnega vdora izključno za napako ponudnika storitve in ne za krivdo uporabnika. Kljub temu dodaja: »Take kraje so žal dnevna realnost. Mnoge se zgodijo, ne da bi zanje izvedel ponudnik, kaj šele uporabnik. Sami se lahko zaščitimo zgolj na tak način, da za vsako storitev uporabljamo unikatna gesla. Zelo priporočamo tudi uporabo večfaktorske avtentikacije, pri kateri poleg z geslom svojo identiteto potrdimo še na neki drug, neodvisen način. Po navadi gre za dodatno enkratno geslo, ki ga prejmemo s SMS-sporočilom, ali pa to dodatno geslo ustvarimo s posebno napravo ali aplikacijo na pametnem telefonu.«
