WHEEL Systems o wycieku danych 145 mln osób i jednym nieudanym szantażu - czyli 11 najbardziej spektakularnych włamań 2014 roku
Nie ulega wątpliwości, że rok 2014 był okresem wzmożonej aktywności cyberprzestępców. Do tego stopnia, że przez ostatnie 12 miesięcy doniesienia na ten temat zdażyły się już na stałe wpisać w panoramę nie tylko niszowych, eksperckich mediów, ale także tych głównego nurtu. Komunikaty o kolejnych wyciekach zaczęły się regularnie pojawiać w głównych wydaniach najpopularniejszych serwisów informacyjnych. Do wyobraźni przemawiała jednak nie tylko częstotliwość doniesień medialnych, ale także skala wycieków danych, dotyczących w ekstremalnych przypadkach nawet dziesiątków milionów klientów firm, będących celami ataków.
Przedsiębiorstwa i organizacje, poszkodowane w wyniku udanych ataków przyjmowały dwie strategie – od razu ujawniały zakres wykradzionych danych, ostrzegając przy tym użytkowników przed potencjalnymi próbami phishingu, albo lakonicznie informowały o incydencie i konieczności zmiany hasła dopiero po ujawnieniu tego faktu przez samych cyberprzestępców lub stronę trzecią. Obie strategie odbijały się podobnym echem. Prędzej, czy później udawało się bowiem oszacować skalę zjawiska. Prawdziwymi poszkodowanymi były jednak nie bezosobowe korporacje, tylko szeregowi użytkownicy, których dane wyciekły.
„Analizując mijający rok pod kątem włamań i wycieków nie sposób nie dojść do wniosku, że lwią część pracy cyberprzestępców wykonują za nich sami internauci.” – Powiedział Paweł Jakub Dawidek, dyrektor ds. technicznych i oprogramowania w Wheel Systems – „Nader często stosujemy te same loginy i hasła w różnych serwisach. Niestety, nie wyszystkie są równie dobrze zabezpieczone. Wystarczy więc, że włamywacz wydobędzie dump bazy danych z tego teoretycznie nieistotnego portalu, aby chwilę później, wykorzystując zdobyte dane zalogować się do naszej skrzynki pocztowej i eskalowac atak, np. poprzez celowany phishing.”
Oto 11 największych, najdotkliwszych wycieków danych i włamań, które wg Pawła Jakuba Dawidka z Wheel Systems, wyznaczały w 2014 roku puls w dziedzinie cyberbezpieczeństwa.
- Sony Pictures
Włamanie do Sony Pictures otwiera nasze zestawienie. Dzieje się tak nie bez przyczyny. Zdumiewa zarówno rozległość włamania jak i jego niespodziewane, sięgające szczytów władzy, skutki. Włamaniem do Sony Pictures zainteresowało się bowiem nie tylko FBI, ale także prezydent USA, który osobiście i oficjalnie skrytykował prezesa Sony Pictures za uleganie cyberprzestępcom. To jednak tylko szczyt incydentu z Sony Pictures w roli głównej.
Jawna część ataku rozpoczeła się 21 listopada 2014 roku e-mailem do Michaela Lyntona (CEO) oraz całego zarządu Sony Pictures. Nadawca poinformował, że jeśli koncern nie zapłaci okupu, zostanie ukarany za krzywdy które wyrządził. Trzy dni później, 24 listopada w serwisie Reddit pojawiła się informacja, że wszystkie komputery w firmowej sieci Sony Pictures wyświetliły komunikat „Hacked By #GOP”, a pracownicy zostali delegowani do pracy w domach. Jednocześnie, cyberprzestępczy ujawnili pierwszą paczkę z danymi wykradzionymi z firmy, dowodząc, że zabezpieczenia Sony Pictures rzeczywiście zostały złamane. Do końca roku opublikowano jeszcze wiele wykradzionych zasobów, takich jak zestawienia finansowe, umowy, listy wynagrodzeń oraz haseł i innych danych logowania pracowników Sony Pictures z biur firmy z całego świata, poufną korespondencję zarządu firmy, a także kompletne certyfikaty bezpieczeństwa, które zresztą niebawem wykorzystano w kampanii malwareowej. Ponadto, w sieci pojawiły się także wewnętrzne prezentacje produktowe, numery telefonów holywoodzkich aktorów i wreszcie kompletne cyfrowe wersje filmów, które dystrybutor zamierzał wprowadzić do kin w 2015 roku.
FBI oświadczyło, że poszukiwanie GOP doprowadziło śledczych do wschodniej Azji. Sony obwiniło o atak Koreę Północną. Dyktatura już wcześniej groziła firmie konsekwencjami, jeśli koncern zdecyduje się na wprowadzenie do kin prześmiewczego filmu o północnokoreańskim dyktatorze, Kim Jong Unie. Ostatecznie Sony przyznało jednak, ża włamanie na taką skalę nie powiodłoby się bez pomocy z wewnątrz firmy. Eksperci szacują, że aby na taką skalę zinfiltrować infrastrukturę informatyczną, pozostając przy tym niezauważonym, włamanie musiało nastąpić wiele miesięcy wcześniej. Być może nawet już na początku 2014 roku. To tym bardziej interesujące, że regularnym celem ataków jest inny oddział Sony, oraz usługa PSN. Mogłoby się więc wydawać, że firma rozumie powagę sytuacji.
Niestety, ze względu na komercyjny charakter ataku nie jest znana dokładna skala strat Sony Pictures, ani zasób danych, którymi GOP nadal dysponuje. I tak jednak rozmach włamania oraz jego medialność zaskarbiły mu pierwsze miejsce w 2014 roku.
- eBay
Za największy wyciek danych w 2014 roku można jednak uznać przypadek związany z eBay. Internetowa platforma sprzedażowa oświadczyła, że cyberprzestępcy zyskali dostęp do jej bazy danych. Firma szybko uspokoiła, że nie było w niej szczegółów związanych z płatnościami ani danych kart kredytowych.
Nie oznacza to jednak, że włamanie nie było dotkliwe. W wykradzionych bazach znajdowały się zaszyfrowane hasła oraz dane personalne użytkowników eBay. W tym takie jak imiona, nazwiska, adresy e-mail oraz pocztowe, numery telefonów i daty urodzin. Ilu osób dotyczył incydent? Firma eBay postanowiła nie dzielić się tą informacją z opinią publiczną. Poprosiła jednak wszystkich swoich użytkowników o zmianę haseł. Szacuje się, że problem mógł dotyczyć aż 145 milionów osób. Tyle wynosiła liczba aktywnych użytkowników eBay w chwili ataku.
Cyberprzestępcy najprawdopodobniej posłużyli się metodą spear-phishingu, aby zainstalować złośliwe orogramowanie na komputerach pracowników eBay. To otworzyło im drzwi do infrastruktury informatycznej i umożliwiło eskalowanie ataku.
- Home Depot
Podejrzewa się, że w 2014 roku światło dzienne ujrzały dane kart kredytowych aż 56 milionów klientów Home Depot. Sklep z artykułami budowalnymi przyznał publicznie, że zarejestrował nietypową aktywność w swoich logach. Zgłosił sprawę odpowiednim organom ścigania oraz właściwym bankom. Home Depot odmówiło ujawnienia szczegółów, ale podkreśliło, że bezpieczeństwo powierzonych danych traktuje bardzo poważnie.
Jednym z możliwych scenariuszy jest zainstalowanie specjalistycznego złośliwego oprogramowania zbierajacego dane z kas (POS) w około 2000 sklepów Home Depot w USA i Kanadzie. Biorąc pod uwagę, że na amerykańskim rynku wciąż dominują karty kredytowe i płatnicze wyposażone nie w chipy ale mniej bezpieczne paski magnetyczne, skutki takiego ataku rzeczywiście mogłoby sięgnąć liczby, o której wspomina Home Depot.
- Korea Credit Bureau
Już w styczniu 2014 roku, na jaw wyszły wrażliwe dane prawie połowy Koreańczyków z Korei Południowej. Zaufanie Korea Credit Bureau zawiódł jednak nie bezosobowy cyberprzestępca, a pracownik banku. Mając dostęp do wewnętrznych systemów, współpracujących z biurem kredytowym, najpierw wykradł on dane klientów banku, a nastepnie sprzedał je firmie zajmującej się tele-marketingiem.
Podobnemu scenariuszowi mógłby zapobiec system monitorowania sesji zdalnych pracowników, automatycznie reagujący na podejrzane sytuacje. Przykład Korea Credit Bureau to też doskonały przykład, pokazujący co może osiągnąć zdeterminowany pracownik, chcący zaszkodzić firmie.
- Dropbox
„Mam loginy i hasła do prawie 7 milionów kont na Dropbox. Ujawnię je w zamian za bitcoiny”. Taki przekaz pojawił się w serwisie Pastebin w październiku 2014 roku. Cyberprzestępca opublikował łacznie około 700 działających kompletów danych logowania, po czym zapowiedział, że udostepni całą bazę, niemal 7 milionów dostępów, jeśli na jego bitcoinowe konto wpłyną dotacje.
Oficjalnie – cyberprzestępca uzyskał w ten sposób zaledwie 0,0132 BTC. Więcej danych więc już się na Pastebin nie pojawiło. Mimo komercyjnego niepowodzenia całej akcji, należy pamiętać, że jeśli cyberprzestępca naprawdę dysponował aż 7 milionami dostępów, mógł także wejśc w posiadanie co ciekawszych dokumentów, zdjęć i filmów, znajdujących się w dropboxowych skrzynkach. Biorąc też pod uwagę jak często internauci stosują te same dane do logowania w różnych serwisach, mógł on uzyskać dostęp nie tylko do chmurowej przestrzeni dyskowej, ale także do skrzynek e-mail itd. Historia ta może więc mieć swój ciąg dalszy.
Sposób w jaki pozyskano dane dostępowe do kont na Dropbox nie jest, niestety znany. Prawodopodobnym scenariuszem jest jednak przejęcie danych nie z samego Dropboxa, ale z bazy zewnętrznej usługi, dysponującej możliwością automatycznego logowania się do sieciowego dysku.
- JPMorgan
W 2014 roku wiele instytucji finansowych na całym świecie zostało dotkniętych atakami. Można jednak odnieść wrażenie, że cyberprzestępcy szczególny nacisk położyli na te działające w USA. Przykład JPMorgan Chase jest o tyle istotny, że instytucja zorientowała się w sytuacji dopiero po niemal kwartale od incydentu. Grozy dopełnia fakt, że na ślad włamania trafiono podczas rutynowej kontroli systemów.
Mimo iż, bank przynał, że incydent dotknął około miliona klientów, szacuje się, że w rzeczywistości, atakujący zdążyli wykraść dane ponad 76 milionów amerykańskich gospodarstw domowych, będących klientami JPMorgan Chase. Skala przedsięwzięcia jest więc ogromna, zwłaszcza, że wg danych statystycznych, to prawie 65 proc. wszystkich zarejestrowanych w USA gospodarstw domowych.
Dochodzenie wykazało, że atakiem objęte było aż 90 proc. serwerów JPMorgan. Włamywacze dokonali tego podszywając się pod zdalnych konsultantów banku. Pozwoliło im to uzyskać wysokie uprawnienia administracyjne, otwierające drogę do infrastruktury informatycznej instytucji. Wiadomo, że otrzymali także wgląd w miks oprogramowania zainstalowanego na komputerach pracowników banku. Prawdopodobnie więc przeanalizowali go pod kątem potencjalnych luk bezpieczeństwa i pozostawili sobie stosowne furtki w zabezpieczeniach. Na przyszłość.
- AT&T
W czerwcu 2014 roku sprawę kradzieży danych zgłosiło AT&T. Atak nastąpił dwa miesiące wcześniej – w kwietniu tego samego roku. AT&T odmówiło jednak podania liczby klientów dotkniętych incydentem. Wiadomo, że było ich więcej niż 500, ponieważ dopiero przekroczenie tego pułapu obliguje AT&T do zgłoszenia sprawy odpowiednim instancjom.
Pewnym jest jednak, że włamanie zostało przeprowadzone przez nieuczciwych podwykonawców, którzy dostali się do systemów informatycznych operatora na jego własne zaproszenie. Aby umożliwić im zdalną realizację powierzonego przez AT&T zadania, otrzymali wysokie uprawnienia dostępu do infrastruktury IT operatora. Cyberprzestępcy wykorzystali otwarte w ten sposób drzwi, aby osiągnąć własne cele i wykraść daty urodzenia oraz numery ubezpieczenia społecznego klientów operatora. Dane te były im najprawdopodobniej potrzebne do zdjęcia blokady operatorskiej z telefonów sprzedawanych w sieci. Nie wiadomo jednak czy potem zebrane informacje nie posłużyłyby innym celom.
Gdyby AT&T dysponowało systemem monitorowania sesji zdalnych, takim jak FUDO, atak tą drogą zostałby natychmiast namierzony i udaremniony. Ponadto, operator dysponowałby materiałem obciążającym nieuczciwych podwykonawców.
- Giełga Papierów Wartościowych
Giełda Papierów Wartościowych to spółka spełniająca szczególną rolę w gospodarce kraju, dlatego każda informacja o włamaniu do GPW budzi słuszny niepokój. W pażdzierniku, w serwisie Pastebin pojawiły się materiały świadczące o dogłębnym spenetrowaniu wewnętrznej sieci Giełdy Papierów Wartościowych. Oprócz map infrastruktury sieci GPW, włamywacze pozyskali także adresy IP, e-mail, dane osobowe pracowników firmy oraz hashe haseł dostępu.
Cyberprzestępcy nie poprzestali na tym. Wykorzystując zebrane w GPW materiały włamali się także na skrzynki e-mail klientów giełdy, dołączając do zdobyczy także ich prywatne dane.
Ze śladów pozostawionych przez włamywaczy można podejrzewać, że podstawą ataku był SQL injection zorganizowany na serwerze utp.gpw.pl. Dopiero po udanym włamaniu atak zaczął eskalować. Dodatkowo, sądząc po zaawansowanym etapie włamania, cały proces musiał trwać już jakiś czas nim został ujawniony.
GPW przyznało, że włamanie miało miejsce, ale nie zgadza się co do jego rozległości. Utrzymuje, że obiektem ataku był symulator GPW Trader.
- Fit and Eat
1000 wykradzionych rekordów może się wydawać niewielkim wyciekiem jak na ranking „11 naj”. W tym wypadku jednak wśród ujawnionych danych pojawiły się m.in. imiona, nazwiska, adresy e-mail, historie przebytych chorób i numery telefonów polskich „sław” z pierwszych stron gazet i telewizji. Co więcej, w bazie firmy cateringowej Fit and Eat, zajmującej się nie tylko dobieraniem diety ale i dostarczeniem gotowych posiłków do odbiorców, znajdowały się także aktualne adresy oraz kody wejścia do budynków, które zamieszkiwali jej klienci.
Incydent być może nie dotknał więc dziesiątek tysięcy osób, ale ze względu na kaliber danych (np. kody wejściowe) oraz fakt, że dotyczył osób publicznych, szybko zyskał duży rozgłos. To też doskonały dowód na to, że sławne nazwisko przed niczym nie zabezpiecza. Wręcz przeciwnie.
- Państwowa Komisja Wyborcza
Kiedy cała Polska czekała na ogłoszenie wyników wyborów samorządowych przeprowadzonych w listopadzie 2014 roku, w sieci pojawiła się dodatkowo kompromitująca informacja o wykradzeniu danych pracowników PKW i KBW. W ujawnionej bazie znalazły się adresy e-mail, loginy, słabe hashe haseł, klucze oraz imiona i nazwiska poszkodowanych.
Dane były prawdziwe. W bazie znajdowały się także pozycje wskazujące, że oprócz pracowników PKW i KBW, wykradziono także dane firm współpracujących z Krajowym Biurem Wyborczym, m.in. Net P.C., która na swojej stronie informuje, że taka współpraca rzeczywiście miała miejsce.
PKW szybko przyznała, że osoby niepowołane uzyskały dostęp do baz danych strony pkw.gov.pl. Zapewniła jednak, że system wyborczy znajduje się w innej sieci, incydent więc w żaden sposób nie wpłynął na bezpieczeństwo wyników wyborów. Zawiniła najprawdopodobniej podatność XSS lub SQL Injection, za pomocą których zwykle pozyskuje się tego typu bazy.
- iCloud
Cyberprzestępcze ataki, tym razem, nie ominęły także technologicznego giganta jakim jest Apple. Zdecydowanie najbardziej medialny incydent w 2014 roku dotyczył wycieku ok. 200 prywatnych fotografii holywoodzkich aktorek i celebrytek, wśród których znalazły się m.in. Jennifer Lawrence, Kirsten Dunst czy Kate Upton. Zdjęcia i filmy „wyciekły” z chmury Apple – iCloud na przełomie sierpnia i września, wzbudzając olbrzymią falę sensacji, podkopując zaufanie do rozwiązań chmurowych i pociągając za sobą serię kampanii edukacyjnych i debat na temat prywatności w sieci.
Apple zaprzecza, jakoby doszło do złamania zabezpieczeń iCloud. Podejrzewa się, że włamywacz skorzystał z luki w oprogramowaniu API usługi FindMyiPhone, które dopuszczało nielimitowane zgadywanie haseł do kont iCloud. Apple naprawiło błąd w kodzie aplikacji, nie zamknęło to jednak sprawy. Nie pozwalała na to natura wykradzionego materiału i fakt, że dotyczyła ona osób znajdujących się na show-biznesowym świeczniku.
W efekcie, do walki z przeciekiem zaangażowano z jednej strony sławne kancelarie prawne, grożące pozwami na miliony dolarów i Google z drugiej. Amerykańska firma pomagała odnajdywać i likwidować opublikowane zdjęcia, usuwając je też z list z wynikami wyszukiwania. Mimo skarg gwiazd Holywood, trudno pozbyć się wrażenia, że głównym poszkodowanym w aferze iCloud stała się koncepcja przechowywania danych w chmurze.
informacje o firmie
O Wheel Systems
WHEEL Systems jest czołowym producentem innowacyjnych rozwiązań z dziedziny bezpieczeństwa systemów IT. Specjalizuje się w zagadnieniach uwierzytelnienia i autoryzacji użytkowników oraz monitoringu dostępu do sieci korporacyjnych. W swoich produktach łączy innowacyjność i łatwość obsługi, z silnymi mechanizmami bezpieczeństwa. To cel nadrzędny, jaki firma stawia sobie podczas projektowania kolejnych rozwiązań. WHEEL Systems jest liderem na polskim rynku uwierzytelnienia użytkowników, a także jedną z nielicznych na świecie firm, oferujących rozwiązania z zakresu monitoringu, rejestracji i zapisu zdalnych sesji. Uzupełnieniem oferty produktów jest szeroka gama usług, które obejmują m.in. wdrożenia, konsulting, szkolenia, a także wsparcie techniczne świadczone na najwyższym poziomie. Firma powstała w 2004 roku z inicjatywy doświadczonych specjalistów w branży IT. Od tego czasu zaufało jej ponad 100 firm i instytucji. Wśród klientów firmy znajdują się m.in.: Play, Allegro, Netia, T-Mobile, Orlen S.A., Euro Bank, Bank BGK, Służba Kontrwywiadu Wojskowego, Najwyższa Izba Kontroli, GTS Energis, Asseco Business Solutions S.A., COMARCH S.A, COMP S.A. Dystrybucja produktów odbywa się za pośrednictwem największych integratorów systemów i dostawców kompleksowych rozwiązań informatycznych na terenie całej Polski.
Więcej informacji: www.wheelsystems.com
informacje o firmie
O Wheel Systems
WHEEL Systems jest czołowym producentem innowacyjnych rozwiązań z dziedziny bezpieczeństwa systemów IT. Specjalizuje się w zagadnieniach uwierzytelnienia i autoryzacji użytkowników oraz monitoringu dostępu do sieci korporacyjnych. W swoich produktach łączy innowacyjność i łatwość obsługi, z silnymi mechanizmami bezpieczeństwa. To cel nadrzędny, jaki firma stawia sobie podczas projektowania kolejnych rozwiązań. WHEEL Systems jest liderem na polskim rynku uwierzytelnienia użytkowników, a także jedną z nielicznych na świecie firm, oferujących rozwiązania z zakresu monitoringu, rejestracji i zapisu zdalnych sesji. Uzupełnieniem oferty produktów jest szeroka gama usług, które obejmują m.in. wdrożenia, konsulting, szkolenia, a także wsparcie techniczne świadczone na najwyższym poziomie. Firma powstała w 2004 roku z inicjatywy doświadczonych specjalistów w branży IT. Od tego czasu zaufało jej ponad 100 firm i instytucji. Wśród klientów firmy znajdują się m.in.: Play, Allegro, Netia, T-Mobile, Orlen S.A., Euro Bank, Bank BGK, Służba Kontrwywiadu Wojskowego, Najwyższa Izba Kontroli, GTS Energis, Asseco Business Solutions S.A., COMARCH S.A, COMP S.A. Dystrybucja produktów odbywa się za pośrednictwem największych integratorów systemów i dostawców kompleksowych rozwiązań informatycznych na terenie całej Polski.
Więcej informacji: www.wheelsystems.com