Wyciek danych osobowych ponad 143 mln klientów firmy Equifax

 

Z firmy Equifax, zajmującej się analizą kredytową i doradztwem, w wyniku wykorzystania błędu w kodzie strony internetowej wykradziono dane osobowe ponad 143 mln klientów. Wystarczyłoby stosować szyfrowanie – na przykład polską aplikację UseCrypt - by skutecznie zabezpieczyć informacje o klientach i uczynić dane skradzione przez hakerów bezużytecznymi.

Jest to jeden z najpoważniejszych incydentów, które miały miejsce od 2015 roku. Włamywacze uzyskali informacje zawierające daty urodzenia, adresy i numery kart kredytowych oraz związaną z nimi historię kredytową. Mimo, że firma wykryła włamanie do swoich systemów 29 lipca, informacja ta została opublikowana dopiero 7 września. W przypadku tego typu ataków hakerskich nigdy nie wiadomo, kiedy faktycznie zdarzenie miało miejsce. Według wyników wewnętrznych śledztw oraz opinii konsultantów do spraw cyberbezpieczeństwa, przestępcy mogli uzyskać dostęp do danych na początku maja 2017 r. Zwykle zacierają oni ślady, przez co precyzyjne określenie daty złamania systemu jest trudne do ustalenia.

Włamania o podobnej skali, w efekcie których doszło do utraty danych użytkowników, dotyczyły również amerykańskiego portalu Yahoo. W grudniu 2016 r. firma poinformowała o ataku hakerskim – z 2013 roku, kiedy wykradziono dostęp do ponad miliarda kont. Hakerzy nielegalnie zdobyli: adresy e-mail, daty urodzenia oraz numery telefonów osób. Według firmy nie zawierały one numerów kart kredytowych, czy kont bankowych. Kolejne włamanie do systemu internetowego giganta dotyczyło 500 milionów kont użytkowników i miało miejsce w 2014 r.

Skuteczną ochroną w takiej sytuacji jest system, który szyfruje dane cyfrowe. W przypadku nieuprawnionego dostępu do informacji przechowanych w formie zaszyfrowanej, nie byłoby możliwości wglądu do nich.

Propozycję pozwalającą na rozwiązanie problemów dotyczących bezpieczeństwa danych możemy znaleźć w ofercie polskiej firmy. UseCrypt to rozwiązanie oparte o algorytm HVKM, który uniemożliwia odczytanie danych nawet w przypadku włamania do systemu – a dzięki zastosowaniu podziału klucza szyfrującego – uniemożliwia usługodawcy wgląd do danych klientów, co wpływa bezpośrednio na zapewnienie pełnej poufności tych informacji i stanowi dodatkowy atut rozwiązania. Wykorzystuje on UST (UseCrypt Secure Tunel), czyli własny szyfrowany kanał transmisji danych pomiędzy użytkownikami. Ten polski system pozwala na bezpieczne przekazywanie danych wrażliwych. Każdy dokument składowany lub udostępniany w systemie jest zaszyfrowany, dzięki czemu użytkownik ma zapewnione bezpieczeństwo ponieważ osoby nieuprawnione nie mogą tych danych odczytać. Stosowanie systemu gwarantuje, że poufne informacje zostaną udostępnione tylko upoważnionym osobom. Poza szyfrowaniem, a następnie przechowywaniem aplikacja zabezpiecza też stacje robocze dzięki możliwości lokalnego szyfrowania plików na dysku urządzenia.

UseCrypt przeszedł pomyślnie testy penetracyjne przeprowadzone przez zespół Red Team firmy Delloite oraz uzyskał pozytywną opinię Wojskowej Akademii Technicznej i Instytutu Łączności – Państwowego Instytutu Badawczego, które zdecydowały się także na korzystanie z aplikacji do chronienia własnych zasobów.

Zastosowanie skutecznych mechanizmów ochrony danych i szyfrowania jest o tyle istotne, że już w maju 2018 roku wchodzą nowe obowiązki i wytyczne RODO (Rozporządzenie o Ochronie Danych Osobowych, ang. GDPR), które przewidują gigantyczne kary za nieprzestrzeganie przepisów, w tym utratę danych lub ich wyciek – także w wyniku ataku hakerskiego. Stanowi to duże wyzwanie dla wszystkich przedsiębiorstw, których wyniki finansowe uzależnione są od zaawansowanych rozwiązań cyfrowych, ale także pozostałych podmiotów, które zarządzają bazami danych, także osobowych - tym bardziej, że ilość danych wytwarzanych, przetwarzanych i przechowywanych lawinowo wzrasta. Takie podejście wymaga istotnych zmian w sposobie organizacji rozwiązań IT.

Autor: Artur Szachno, CISA ekspert ds. systemów bezpieczeństwa informatycznego i ochrony danych, UseCrypt