15 November 2015

Co dělat, když došlo k úniku Vašich osobních dat?

Co dělat, když došlo k úniku Vašich osobních dat?

Hlavní problém s narušením bezpečnosti osobních údajů je ten, že nikdy nevíte, kdy Vaše osobní údaje byly vystaveny a kdo je za to odpovědný. K většině úniku dat dochází dlouho předtím, než si toho všimneme, a většina malých společností nikdy neinformuje své uživatele o tomto incidentu, i když už o něm ví.

Mimoto proběhlo velké množství veřejných incidentů zahrnujících únik dat v mnoha Evropských i Amerických společnostech a agenturách (Twitter, Comcast, FBI, Touchnote). V důsledku toho se objevilo určité množství jinak důvěrných informací na internetu nebo v soukromém držení zločinců. Ukradené informace se liší podle zpráv a mohou obsahovat Vaše jméno a příjmení, datum narození, e-mailovou adresu, hash hesla, fyzickou adresu, telefonní číslo atp. Ve věku sociálních sítí a lidí ochotných sdílet spoustu věcí s každým, může útočník snadno sbírat potřebné informace z různých zdrojů na základě dříve uniklých dat.

Co by zločinci mohli dělat s Vašimi ukradenými osobními informacemi?

Existuje spousta scénářů, v nichž by Vaše osobní údaje mohly být cenné pro útočníky. Můžete se stát obětí buď náhodného hacku nebo cíleného útoku. Popis těchto dvou kategorií je mimo rozsah tohoto článku, ale budeme se soustředit na běžné věci, které počítačoví zločinci mohou udělat:

1. Rozšířený unik informací

Dokonce i bezvýznamný únik může vést k velkým ztrátám. Například, informace, které nepovažujete za tajemství, (např. Vaše telefonní číslo, e-mailová adresa) mohou odhalit Vaši identitu, a stát se cílem pro hackera. Hackeři mohou vygooglit Vaši identitu na základě Vašeho telefonního čísla, anebo použít například Facebookové hledání a najít si Váš profil pomocí Vašeho telefonní číslo nebo e-mailové adresy. Pokud máte stránky na Facebooku, bude útočník znát Vaše skutečné jméno, jak vypadáte, s kým se přátelíte a jaká je Vaše skutečná adresa (zejména pokud podnikáte).

Na základě Vašeho telefonního čísla zločinci znají Vaše jméno, adresu bydliště, jména Vašich přátel, atd. Vědí také, o jaké služby máte zájem, což je založeno na zdroji úniku dat.

Pokud došlo k úniku Vašeho hesla (nebo hash hesla), útočník se pokusí o přístup k populárním online službám použitím Vašeho hesla s možnými názvy účtu, v případě, že používáte stejné heslo na různých internetových stránkách.
Důsledkem je, že útočník má kompletní profil oběti. Ten posléze může být prodáván za rozumnou cenu na černém trhu.

2. Prodej kompletního profilu

Kupci osobních informací mohou využít tyto shromážděné informace k poslání spamových zpráv a pokusí se prodat Vám nějaký produkt („legální“ marketing) a pokusí se Vás podvést, aby získali přístup k bankovnímu účtu a ostatním službám, zaútočí na Vašeho zaměstnavatele atp.

Jak se chránit?

Poskytnu Vám nějaké základní rady, jak minimalizovat možné ztráty, když už jsou Vaše osobní informace odhaleny.

1. Používejte správce hesel k uložení Vašeho hesla

Nikdy nepoužívejte stejné heslo pro různé webové stránky. Místo toho použijte správce hesel, který bude udržovat Vaše hesla v bezpečí. Moderní správci hesel používají generátory hesel, takže nemusíte přijít s novým heslem pokaždé, jen vygenerovat a uložit ho.

2. Vždy přistupujte k Vašemu bankovnímu účtu z důvěryhodného počítače

Nepoužívejte veřejné počítače, sítě (veřejné Wi-Fi) pro přístup k bankovnímu účtu. Nikdy nepoužívejte telefon pro přístup k bankovnímu účtu, a to zejména v případě, že banka Vám pošle SMS pro přístup k účtu nebo provedení transakce.

3. Vždy používejte jedinečné odpovědi na tajnou otázku

Tajné otázky slouží k obnovení přístupu k účtu, pokud Váš e-mail nebo telefon není přístupný. Mnoho on-line služeb, a dokonce i banky se na ně spoléhají. Nikdy nepoužívejte běžné odpovědi na typické otázky, jako dívčí jméno Vaší matky, Vašeho oblíbeného fotbalového týmu, nebo jméno Vašeho domácího mazlíčka, protože útočníci si je mohou vygooglit. Místo toho používejte generátor hesel pro vygenerování náhodné a jedinečné odpovědi. Tímto způsobem útočníci stráví spoustu času snahou obnovit heslo a s největší pravděpodobností neuspějí.

4. Přistupujte k Vašim firemním zdrojům z důvěryhodného počítače

Nikdy nepoužívejte své firemní adresy, telefony, flash disky pro osobní použití. Nikdy nepřistupujte k podnikovým prostředkům z veřejných počítačů nebo veřejných sítí. Pokud pracujete z domova, vyžadujte zabezpečené připojení VPN k podnikové síti.

5. Pravidelně měňte hesla do on-line služeb

Změňte hesla do on-line služeb pravidelně alespoň jednou za dva měsíce. Prosím, nenásledujte doporučení britské špionážní agentury GCHQ o doporučených zásad hesla!

6. Sledujte vystavení Vašich osobních dat na internetu

Můžete použít bezplatnou službu Google Alerts ke sledování vystavení Vašich osobních údajů. Stačí si vyhledat výsledky, které obsahují Vaše jméno, adresu, telefonní číslo, e-mail. Pokud je Google schopen odhalit tuto informaci, znamená to, že došlo k úniku dat.

7. Nikomu nevěřte! :D

Přečíst všechny články

Poslední posty

334 zranitelností nultého dne bylo od roku 2006 využito během APT útoků

334 zranitelností nultého dne bylo od roku 2006 využito během APT útoků

Náš výzkum pokrývá chyby zabezpečení toho nejnebezpečnějšího druhu – ty, které nezná nikdo jiný než útočníci.
7 June 2017
WordPress zranitelnost v REST API je aktivně exploitována

WordPress zranitelnost v REST API je aktivně exploitována

Byl zaregistrován útok proti nezáplatovaným WordPress webům.
7 February 2017
Dostupný exploit pro 0day zranitelnost v Microsoft Windows

Dostupný exploit pro 0day zranitelnost v Microsoft Windows

Zranitelnost může být použita ke vzdálenému spuštění libovolného kódu ve zranitelném systému.

3 February 2017