Freemail, Citromail, Yahoo: nem csak gmailes jelszókat lopnak

2016.04.01. 18:28

Amikor a Budapest Sportiroda oldalát feltörték, és megszerezték több mint 15 ezer magyar felhasználó adatait, azzal nemcsak a nevezési azonosítót szerezték meg, de sok esetben a gmailes, facebookos és egyéb oldalakra is bejutottak a hackerek. További listákon már freemailes, citromailes, és Yahoo-fiókok is érintettek. Probléma, hogy bizonyos oldalak nem védik kellőképpen az adatainkat, de az még inkább, hogy a felhasználók sem adnak erős jelszavakat, sőt sokszor ugyanazt használják mindenhol.

Újabb adatbázisok jutottak az Origo birtokába a tegnapi, kicsit több, mint 15 ezer fős lista után.

Egy 2015. augusztusi keltezésű dokumentumban több mint 800 Facebook-azonosító van. A nevekből és szolgáltatókból jól látszik, hogy magyarokról van szó. Akad gmailes, freemailes, hotmailes, citromailes és yahoos fiók is, a Facebook-jelszóval együtt. Az adatbázist ugyanazon a közösségi oldalon csereberélik és adják, mint ahol a BSI adatait feltöltő felhasználó is ténykedik. Ezt a listát azonban már vendégfiókkal töltötték fel az észt fájlmegosztóra, még nehezebbé téve, hogy a felhasználó után nyomozni lehessen.

Hotmail, Yahoo, Gmail, Freemail, Chello, Citromail: van itt mindenForrás: Origo

Egy 2015. decemberi listán pár darab gmailes és freemailes felhasználónév-jelszó kombináció volt, egy 2011. augusztusi dokumentumban pedig kizárólag freemailes fiókok adatai.

A legtöbb adatot vélhetően ez esetben sem a levelezőrendszer berkeiből szerezték meg, hanem egyéb oldalakról, appokból, amiket feltörtek, vagy azon helyekről (pl. fórumok), ahol a felhasználónév publikus.

Az adatkezelő

A tegnapi cikk kapcsán záporoztak a levelek az olvasóktól, amelyből úgy tűnik, a Budapest Sportiroda (BSI) vélhetően nem titkosította az általa tárolt adatokat. A regisztrációs (nevezési) és a bejelentkezési oldal sem használt SSL kapcsolatot, nem jelent meg a lakat ikon a böngésző címsorában. Azaz gyakorlatilag nyers, olvasható formában utaztak a küldött adatok.

Maga az adatlopás korábban, még február elején történt, erről azonnal értesítették is a felhasználókat, és felkérték őket, hogy ha máshol is használják ezt a felhasználónév-jelszó kombinációt, azt haladéktalanul módosítsák.

Ilyen zöld lakatot lát az ember, ha titkosított csatornán folyik a forgalomForrás: Origo

„Amikor tudomásunkra jutott az adatlopás, mi azonnal értesítettük a felhasználókat, több mint 90 ezer levél ment ki” - mondta Kocsis Árpád, a Budapest Sportiroda ügyvezető igazgatója az Origónak. Leállították a nevezési rendszert, a felhasználóknak pedig egy véletlenszerűen generált jelszót osztottak ki ideiglenesen. Enélkül nem tudták volna a futók használni a rendszert.

A biztonsági rést, amely az adatlopást lehetővé tette, befoltoztuk, és egy erősebb tűzfalat is felhúztunk. Azóta nem is törtek be a rendszerünkbe" - mondta a BSI ügyvezetője.

Egy hét alatt felállt az új rendszer. A felhasználók a generált jelszóval tudtak belépni, de utána rögtön felszólította őket a felület, hogy adjanak meg egy újat. „Bár kifejezetten hangsúlyoztuk a levélben, hogy ne ugyanazt a jelszót adják meg, amit korábban használtak, sokan mégis így tettek” - meséli Kocsis Árpád.

Az is igaz azonban, hogy a levélben még feltételes módban szerepelt az adatlopás, és azt írták: „Jelenleg még vizsgáljuk a támadás mértékét és az esetlegesen ellopott adatok körét.” Több érintett is azt mondta az Origónak, ez némileg elaltatta az éberségüket, mert várták az újabb levelet a vizsgálat végeredményéről, de az nem jött.

A nevezési rendszert leállították egy hétreForrás: Origo

A BSI nevezési rendszere 2008 óta működik, mégis - mint az ügyvezető kifejtette - először kaptak visszajelzést arról, hogy hiba van a felületen. Azonban látják, hogy a korral haladni kell, idén teljesen új felületet kapnak a futóversenyek  és a nevezési oldal. „Már folyik a tenderezés, reményeink szerint 2-3 hónap múlva be tudjuk üzemelni.”

Arról, hogy eddig milyen védelmet alkalmaztak, Kocsis csak annyit mond, erről csak a BSI biztonsági szakemberei tudnának nyilatkozni.

Lazább szabályok

Ha nem telekommunikációs cégről beszélünk, akkor az adatkezelőnek csupán nyilvántartás-vezetési kötelezettsége van - mondta kérdésünkre Dr. Halász Bálint, a Bird & Bird nemzetközi ügyvédi iroda jogásza.

Azaz ha adatlopás történik, azt a jelenleg hatályos magyar jogszabályok szerint a BSI-nek nem kell jelentenie a hatóságok felé, ahogy a felhasználókat sem kell értesítenie. Ez 2018-ban az új uniós adatvédelmi rendelettel fog változni.

Viszont ha a hatóságok megkeresik, akkor kötelesek átadni a vezetett belső nyilvántartást. Ennek a 2015. októberi információs törvény alapján tartalmaznia kell:

  • az érintett személyes adatok körét,
  • az adatvédelmi incidenssel érintettek körét és számát,
  • az adatvédelmi incidens időpontját, körülményeit, hatásait 
  • és az elhárítására megtett intézkedéseket.

Ha pedig egy érintett keresi meg az adott céget, jelen esetben a BSI-t ezzel kapcsolatban, akkor kötelesek tájékoztatást adni a megkereséstől számított 25 napon belül.

Csak a kockázatoknak megfelelő biztonsági szintet várják elForrás: Origo

„A hatóságok csupán a kockázatoknak megfelelő biztonsági szint alkalmazását várják el” - mondja az ügyvéd. Azaz a jelen esetben illetékes hivatal, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH) nem várja el a Budapest Sportirodától sem, hogy egy bankhoz hasonló védelmi rendszere legyen, amely a felhasználók adataiért felel.

Nem hibáztak

Vagyis nem hibáztak azzal, hogy nem titkosított csatornán fogadták és küldték az adatokat.

„Azzal, hogy a különböző cégek nem titkosítják az adatokat, százszor akkora veszélynek teszik ki a felhasználókat, mintha harmadik félnek kiadnák azokat” - mondta az Origónak több, névtelenül nyilatkozó szakértő is.

Fontosak a titkosítást kínáló rendszerekForrás: Origo

Éppen ezért is fontos, ha egy új iPhone vagy androidos mobil lehetővé teszi, hogy a mobilkészülékeken tárolt személyes adatokat akár a magánemberek is tudják titkosítani.

Ahogy az észt miniszterelnök amerikai látogatása során fogalmazott: a kormányok nem állhatnak a technológiai fejlődés útjába. A kormányoknak segíteni és nem gátolni kellene az innovációt” - mondta.

Gyenge jelszavak

Fontos megjegyezni azonban, hogy hatalmas felelősség terheli a felhasználót is. Az előző cikkünkben szereplő és az új listákon is rendkívül gyenge jelszavak találhatóak: a felhasználónév, a születési dátum, 6 karakternél rövidebb szavak és jobb esetben számok is, 123456 különböző hosszúságban, „jelszo” van megadva.

Minden századik volt olyan, amely már 8 karakternél hosszabb volt, tartalmazott kis- és nagybetűt, számot, és speciális karaktereket is, mint például a P1nt3rM0n1k@.

Mondaná Mr. Mackey, a South Park amerikai animációs sorozat tanáraForrás: Origo

A felhasználó

A legjobb taktika a példából kiindulva, ha sémákat gyártunk magunknak:

  1. Jegyezzünk meg egy számunkra fontos kifejezést, pl. kedvenc sportoló, zenekar, játék, színész, film neve. Példa: Parov Stelar - parovstelar
  2. A magánhangzókat cseréljük ki számokra. Példa: p4r0vst3l4r
  3. Ha összetett szó, vagy két teljesen különálló szóból áll a jelszó, azoknak a kezdőbetűje legyen nagy. Példa: P4r0vSt3l4r
  4. Tegyünk a két szó közé, végére speciális karaktereket ($ß@&#), vagy még egyszerűbb ha: a B helyére ß, az S helyére $, az A helyére @ kerül, és akkor csak az adott kifejezést kell megjegyezni. Példa: P@r0vSt3l@r
  5. Hogy ne ugyanaz a jelszó legyen minden egyes fiókunkhoz, érdemes a végére odabiggyeszteni a szolgáltatás nevét, annak első három betűjét, első és utolsó betűjét stb. Példa: P@r0vSt3l@rfac (Facebook), P@r0vSt3l@rgma (Gmail), P@r0vSt3l@rspo (Spotify)

Érdemes használni a kétlépcsős azonosítást is, ahol elérhető (pl. Gmail, Facebook). Ahol a jelszó megadása után egy megadott telefonszámra elküldenek egy kódot, és ezt is meg kell adni ahhoz, hogy a fiókba beléphessünk.

Retinaszkenneléssel azonosítForrás: Origo

A Microsoft a Build fejlesztői konferenciáján jelentette be, hogy az új Edge böngészővel lehetővé válik a biometrikus azonosítás a weboldalakon. Nincsenek többé jelszavak, nem kell megjegyezni őket, nem kell emlékeztető, csak egy ujjlenyomat.

A Windows Hello beléptető rendszere képes olyan egyedi jellemzők alapján azonosítani a felhasználót, mint az ujjlenyomat, arckép vagy írisz.

Előzmény: