2007 - az adatvesztések éve

A személyi számítástechnika megszületése óta arra inti a felhasználókat minden tankönyv, tanfolyam és szakcikk, hogy adataikról készítsenek biztonsági mentést, és az ilyen mentéseket több helyen tárolják. És bár ezt a tanítást gyakran nem fogadják meg, az év legnagyobb figyelmet kapó, adatvesztésről szóló történeteinek egy kivételével nem a felhasználók a károsultjaik, hanem nagy szervezetek. Az Attrition.org nonprofit biztonsági portál adatai szerint idén 311 adatvesztéssel záródó incidens történt. A szám ugyan harminccal alacsonyabb mint a tavalyi évben regisztrált incidensek száma, azonban az érintett személyek száma lényegesen nagyobb. Az idei évre vonatkozó statisztikát áttekintve az emberben könnyen alakul ki az a kép, hogy a személyes adatai bárhol nagyobb biztonságban, mint a cégeknél és az állami intézményeknél. A 2008-as évben ezzel a megrendült bizalommal kell szembesülniük az adatkezelőknek.

Elégtelen drótnélküli védelem

Legalább 45,6 millió ügyfél adatait lopták el számítógépes bűnözők a TJX diszkontlánctól. Az eltulajdonított adatok főleg adatok bank- és hitelkártyaszámok voltak, azonban százezres nagyságrendben töltöttek le társadalombiztosítási azonosítókat és egyéb személyes adatokat is a crackerek. A bűnözők az üzletlánc egyik WEP algoritmussal védett wifi csatlakozási pontján keresztül hatoltak be a rendszerbe. A szakértők megállapították, hogy a behatolás már 2005 júliusában megtörtént, ám a bűnözők jelenléte csak 2006 karácsonyára tűnt fel a diszkontlánc embereinek. A helyzet iróniája, hogy a WEP algoritmus sebezhetősége 2001 óta ismert, és 2003 óta elérhető volt a lecserélésére hivatott WPA algoritmus, amire a TJX részben át is állt. Az üzletlánctól eltulajdonított információkat legalább egy alkalommal megpróbálták felhasználni internetes csalásra.

Az eltulajdonított személyes adatok pontos számát valószínűleg sosem tudjuk meg, mert a TJX törölte az adatbázisát, a bűnözők által a rendszerben hagyott fájlok titkosítását pedig nem képesek feltörni. Forrástól függően ötven és százmillió ügyfélről beszélnek, a legvadabb becslések azonban a kétszázmilliót sem tartják elképzelhetetlennek.
A betörés okozta kár mértéke ismeretlen, beszédes viszont hogy a CS Online biztonságtechnikai szaklap ezt az incidenst választotta 2007 legnagyobb adatvesztésének.

Három magyarországnyi ember adatai vesztek el

Majdnem három Magyarországnyi brit alattvaló adatait hagyták el az elmúlt hónapokban. Az első adatvesztés 25 millió embert érintett, és a királyi adó- és vámhivatal alkalmazottainak hanyagsága miatt következett be. Az adatokat tartalmazó CD-ket hagyományos postai küldeményként adták fel a vámhivatali tisztviselők, ráadásul még az elvesztésüknek tényét is leplezték egy ideig azzal a reménnyel, hogy a csomag csupán a postai dolgozók sztrájkja miatt késik. A lemezeken található adatok minden lényeges személyes adatot tartalmaztak, amit egy adóhatóság tudhat az emberről, ideértve az érintette partnereinek és gyermekeinek adatait is. Az információ nem volt titkosítva, így a szerencsés megtalálónak még kódtöréssel sem kell foglalkoznia, ha vissza akar élni vele. Bármely modern, állami szinten elfogadható titkosítást használták volna az adó- és vámhivatalnál, csak a kiesett idő miatt kellene aggódniuk, ennek hiányában azonban az év második legsúlyosabb adatvesztésével büszkélkedhetnek. Az incidenst követő sajtóvisszhang hatására a hivatal elnöke, Sir Paul Gray, lemondott posztjáról.

A második brit vonatkozású adatvesztésért nem angolok, hanem amerikai szövetségeseik, felelősek. A hárommillió brit tanuló vezető adatait tartalmazó merevlemeznek egy iowai biztonsági intézményből kelt lába, adta hírül a Times. Az adatok nem voltak titkosítva, ám Ruth Kelly, a Közlekedési Minisztérium titkára szerint az adatok az autóvezetői teszteket kidolgozó Pearson cég igényei szerint voltak formázva, és felhasználásuk más számára nehézkes volna. Mivel az adatvesztés csupán neveket, arcképeket és telefonszámokat érintett, az esetet nem ítélték súlyosnak, és az elveszett adatok tulajdonosait nem értesítették.

Laptopon, pendrive-on viszik az adatot

A fenti nagy volumenű adatvesztéseken túl számtalan olyan eset volt idén, amikor az alkalmazottak hanyagsága vagy az elégtelen biztonsági intézkedések miatt tízezer fős csoportoknak kerültek illetéktelen kézbe az adatai. A módszerek listáján előkelő helyen szerepelnek az ellopott, elvesztett céges laptopok. A Gap ruházati cég mintegy nyolcszázezer ember adatait vesztette el egy laptoppal. A Gap különböző márkakereskedéséhez állásra jelentkezők adatait tartalmazó hordozható gép merevlemeze nem volt titkosítva, így a tolvaj gond nélkül hozzáférhetett mindenhez. A munkaközvetítéssel foglalkozó Adminsitratiff 159 ezer floridai munkás adataival hagyott el notebookot, és a sor tovább folytatható. Nyugtalanítóan magas az egyetemek és a pénzintézetek aránya, illetve túl gyakran derül ki, hogy az adatokat semmilyen módon nem védték.

Nem csak brit állami hivataloknak sikerült személyes adatokat a CD-n elhagyni, Nevada és Georgia állam is csatlakozik a sorhoz néhány millió fővel. Az USB-kulcsok elhagyásával pedig az Idahói Nemzeti Gárda és a Cincinnati Egyetem büszkélkedhet. Elmondhatják, hogy tanultak a tavalyi év nagy vesztesétől, az amerikai Belbiztonsági Minisztériumától, amely szintén pendrive-on hagyta el dolgozóinak listáját és adatait.

Francis Ford Coppola is pórul járt

A személyi biztonsági mentésekre vonatkozó szabályok be nem tartását idén a Keresztapa rendezője, Francis Ford Coppola, szenvedte meg a legjobban. A Zoetrope Argentina stúdiót szeptemberben kirabló bűnözők olyan számítógépeket és külső wincsesztereket vittek el, amelyeken a rendező elmúlt tizenöt évének munkássága és családi fotói voltak. Az értékes adatokból ugyan volt biztonsági másolata Coppolának, de azt is a stúdióban található merevlemezeken tárolta, így a rablás után adatok nélkül maradt. Az ellopott dokumentumok között volt készülő új filmje, a Tetro forgatókönyve is. Az ötszörös Oscar-díjas rendező azt nyilatkozta a Time magazinnak, hogy a forgatókönyv megszégyenítette volna Shakespeare Hamletjét is. A forgatás jövő év februárjában az ellopott dokumentumok hiányában is elkezdődik, Coppola pedig informatikai tanmesévé vált, amelynek az a tanulsága, hogy fizikailag több helyen kell tartani a biztonság imásolatokat.

Szedlák Ádám