Mindenki veszélyben van. Bulváros felütés, de ez a helyzet: jelszavaink és adataink milliárdszámra kerülnek illetéktelenekhez, ezért egy szakértőt kérdeztünk meg a legfontosabb tudnivalókról.
A közelmúltban eddig soha nem látott mértékű, több milliárd felhasználónévből és jelszóból álló adatszivárgás kavarta fel a kedélyeket a nemzetközi sajtóban, és az eset kapcsán ismét előtérbe került a felhasználói adatok védelme. Ennek apropóján kérdeztük a T-Systems IT-biztonsági stratégáját, Keleti Arthurt, mit lehet tudni a konkrét esetről, és mit érdemes tennünk, ha érintettek vagyunk.
Tehetünk még valamit, amikor már a neten látjuk a mail címünket és a jelszavunkat?
Úgy tudnám ezt egy hétköznapi példával lefesteni, hogy amikor tudomásunkra jut, hogy nyitva van a nyaralónk, akkor ott már régóta a legkülönfélébb társaságok nyaraltak, buliztak, ha a kedvük úgy tartotta, és még ki tudja mit művelhettek, amiről sejtésünk sincs. Tehát amikor publikussá válik egy adatbázis, az már lehet, hogy régóta keringett a különböző fórumokon az érdekeltek között, és már használhatták az állami titkosszolgálatoktól kezdve, kiberbűnözők csoportjain át, akár különböző terrorszervezetek is. Azonban a helyes reakció ilyenkor mégis az, hogy gyorsan lecseréljük a jelszavunkat. Különösen azért, mert most már mindenki tudja, hogy nyitva a nyaralónk, tehát akár további ingyen nyaralók várhatóak.
Sokat hallani a hír kapcsán a have i been pwned? oldalról. Ez hogyan működik?
Egy olyan szolgáltatásról van szó, amely listázza az eddig publikussá vált adatszivárgásokat, a felhasználók pedig az e-mail címük vagy a kódjuk megadásával ellenőrizhetik, hogy szerepel-e az adatuk valamelyik adatbázisban. A felület üzemeltetője gyakran dolgozik úgy, hogy megkérdezi az érintett felhasználókat, hogy például a nyilvánosságra került jelszavakat hol használták, és ha tömegesen ugyanazt a szolgáltatót jelölik meg, akkor feltételezhető, hogy náluk történt adatszivárgás. Ez picit a „crowdfounding”-hoz hasonlító publikus információszolgáltatás a felhasználók részéről, hiszen adatszivárgásokat akkor is jelezhetnek, amikor azok még nem lettek nyilvánosak. Érdekes és kreatív ötletnek tartom.
Te is szoktad használni ezt az oldalt?
Én több ezer jelszót használok, amelyeket jelszó menedzserben tárolok, szóval nagyjából lehetetlen ellenőrizni őket. Egyébként ez az egyik legtipikusabb hiba, amitől óva intenék mindenkit: gyakran ugyanazt a jelszót használjuk különböző felületeken, ami azzal ér fel, mintha ugyanazzal a kulccsal nyitnám a lakásomat a nyaralómat és az autómat. Mindig különböző jelszavakat kell használni, különböző helyeken tárolva. Illetve ahol csak lehet több faktorú azonosítási folyamatot használjunk. Például számos szolgáltató bevezette már az SMS-ben érkező vagy a még biztonságosabb alkalmazásokon keresztüli megerősítést. Mindenkinek azt javaslom, hogy használjon jelszókezelő alkalmazásokat – például a Google Authenticatort – az eszközein, és lehetőleg ezekkel lépjen be a különböző szolgáltatásokra az interneten.
Sokan legyintenek a magán e-mail fiókok védelmére, hiszen nem valószínű, hogy azok tartalma miatt bárkinek is megérné feltörni a rendszert. Te hogy látod?
Nekem is van olyan ismerősöm, aki még vírusirtót sem használ. Szerintem ez ma már megengedhetetlen luxus. Bármikor előfordulhat olyan élethelyzet, amikor például egy obszcén üzenet, egy fotó vagy egy magánlevél nyilvánosságra kerülve tönkre tehet egy karriert. Jogi következménye is lehet például egy válóper alatt kiszivárgott magánlevelezésnek – amelynek tartalmát mindenkinek a képzelőerejére bízom. Adott szituációban a legártatlanabb tartalmak, egyszerű baráti fotók vagy egészségügyi leletek is válhatnak nagyon szenzitívekké. Mindenkinek vannak titkai és mindig akad olyan is, aki ezekre a titkokra kíváncsi.
Névjegy
Keleti Arthur 25 éve foglalkozik kibervédelemmel. Pályáját a Magyar Külkereskedelmi Bank munkatársaként kezdte, később csatlakozott az EasyCall majd az Euróhívó csapatához, ahonnan az ICON majd a KFKI csapatába szerződött. Jelenleg a T-Systems Magyarország IT Biztonsági stratégája, valamint a kritikus infrastruktúrak kiberbiztonságával foglalkozó civil kezdeményezés, az Önkéntes Kibervédelmi Összefogás (KIBEV) elnöke.Két éve jelent meg az amerikai piacra készült „The Imperfect Secret” című könyve. Jelenleg nagy hangsúlyt fektet a kiberbiztonság jövőjének kutatására, többek között a mesterséges intelligencia védelmi célú alkalmazási lehetőségeinek megismerésére.
