Freemail, Citromail, Yahoo: nem csak gmailes jelszókat lopnak

Vágólapra másolva!

Amikor a Budapest Sportiroda oldalát feltörték, és megszerezték több mint 15 ezer magyar felhasználó adatait, azzal nemcsak a nevezési azonosítót szerezték meg, de sok esetben a gmailes, facebookos és egyéb oldalakra is bejutottak a hackerek. További listákon már freemailes, citromailes, és Yahoo-fiókok is érintettek. Probléma, hogy bizonyos oldalak nem védik kellőképpen az adatainkat, de az még inkább, hogy a felhasználók sem adnak erős jelszavakat, sőt sokszor ugyanazt használják mindenhol.

Pintér Mónika

Vágólapra másolva!

hacker citromail Gmail Freemail hackertámadás Yahoo jelszó Hotmail

Újabb adatbázisok jutottak az Origo birtokába a tegnapi, kicsit több, mint 15 ezer fős lista után.

Egy 2015. augusztusi keltezésű dokumentumban több mint 800 Facebook-azonosító van. A nevekből és szolgáltatókból jól látszik, hogy magyarokról van szó.

Akad gmailes, freemailes, hotmailes, citromailes és yahoos fiók is, a Facebook-jelszóval együtt.

Az adatbázist ugyanazon a közösségi oldalon csereberélik és adják, mint ahol a BSI adatait feltöltő felhasználó is ténykedik. Ezt a listát azonban már vendégfiókkal töltötték fel az észt fájlmegosztóra, még nehezebbé téve, hogy a felhasználó után nyomozni lehessen.

Hotmail, Yahoo, Gmail, Freemail, Chello, Citromail: van itt minden Forrás: Origo

Egy 2015. decemberi listán pár darab gmailes és freemailes felhasználónév-jelszó kombináció volt, egy 2011. augusztusi dokumentumban pedig kizárólag freemailes fiókok adatai.

A legtöbb adatot vélhetően ez esetben sem a levelezőrendszer berkeiből szerezték meg, hanem egyéb oldalakról, appokból, amiket feltörtek, vagy azon helyekről (pl. fórumok), ahol a felhasználónév publikus.

Az adatkezelő

A tegnapi cikk kapcsán záporoztak a levelek az olvasóktól, amelyből úgy tűnik, a Budapest Sportiroda (BSI) vélhetően nem titkosította az általa tárolt adatokat. A regisztrációs (nevezési) és a bejelentkezési oldal sem használt SSL kapcsolatot,

nem jelent meg a lakat ikon a böngésző címsorában.

Azaz gyakorlatilag nyers, olvasható formában utaztak a küldött adatok.

Maga az adatlopás korábban, még február elején történt, erről azonnal értesítették is a felhasználókat, és felkérték őket, hogy ha máshol is használják ezt a felhasználónév-jelszó kombinációt, azt haladéktalanul módosítsák.

Ilyen zöld lakatot lát az ember, ha titkosított csatornán folyik a forgalom Forrás: Origo

„Amikor tudomásunkra jutott az adatlopás, mi azonnal értesítettük a felhasználókat, több mint 90 ezer levél ment ki” - mondta Kocsis Árpád, a Budapest Sportiroda ügyvezető igazgatója az Origónak. Leállították a nevezési rendszert, a felhasználóknak pedig egy véletlenszerűen generált jelszót osztottak ki ideiglenesen. Enélkül nem tudták volna a futók használni a rendszert.

A biztonsági rést, amely az adatlopást lehetővé tette, befoltoztuk,

és egy erősebb tűzfalat is felhúztunk. Azóta nem is törtek be a rendszerünkbe" - mondta a BSI ügyvezetője.

Egy hét alatt felállt az új rendszer. A felhasználók a generált jelszóval tudtak belépni, de utána rögtön felszólította őket a felület, hogy adjanak meg egy újat. „Bár kifejezetten hangsúlyoztuk a levélben, hogy

ne ugyanazt a jelszót adják meg, amit korábban használtak,

sokan mégis így tettek” - meséli Kocsis Árpád.

Az is igaz azonban, hogy a levélben még feltételes módban szerepelt az adatlopás, és azt írták: „Jelenleg még vizsgáljuk a támadás mértékét és az esetlegesen ellopott adatok körét.” Több érintett is azt mondta az Origónak, ez némileg elaltatta az éberségüket, mert várták az újabb levelet a vizsgálat végeredményéről, de az nem jött.

A nevezési rendszert leállították egy hétre Forrás: Origo

A BSI nevezési rendszere 2008 óta működik, mégis - mint az ügyvezető kifejtette - először kaptak visszajelzést arról, hogy hiba van a felületen. Azonban látják, hogy a korral haladni kell,

idén teljesen új felületet kapnak a futóversenyek

és a nevezési oldal. „Már folyik a tenderezés, reményeink szerint 2-3 hónap múlva be tudjuk üzemelni.”

Arról, hogy eddig milyen védelmet alkalmaztak, Kocsis csak annyit mond, erről csak a BSI biztonsági szakemberei tudnának nyilatkozni.

Lazább szabályok

Ha nem telekommunikációs cégről beszélünk, akkor az adatkezelőnek csupán nyilvántartás-vezetési kötelezettsége van - mondta kérdésünkre Dr. Halász Bálint, a Bird & Bird nemzetközi ügyvédi iroda jogásza.

Azaz ha adatlopás történik, azt a jelenleg hatályos magyar jogszabályok szerint a BSI-nek nem kell jelentenie a hatóságok felé, ahogy a felhasználókat sem kell értesítenie. Ez 2018-ban az új uniós adatvédelmi rendelettel fog változni.

Viszont

ha a hatóságok megkeresik, akkor kötelesek átadni a vezetett belső nyilvántartást.

Ennek a 2015. októberi információs törvény alapján tartalmaznia kell:

az érintett személyes adatok körét,
az adatvédelmi incidenssel érintettek körét és számát,
az adatvédelmi incidens időpontját, körülményeit, hatásait
és az elhárítására megtett intézkedéseket.

Ha pedig egy érintett keresi meg az adott céget, jelen esetben a BSI-t ezzel kapcsolatban, akkor kötelesek tájékoztatást adni a megkereséstől számított 25 napon belül.

Csak a kockázatoknak megfelelő biztonsági szintet várják el Forrás: Origo

„A hatóságok csupán a kockázatoknak megfelelő biztonsági szint alkalmazását várják el” - mondja az ügyvéd. Azaz a jelen esetben illetékes hivatal, a Nemzeti Adatvédelmi és Információszabadság Hatóság (NAIH)

nem várja el a Budapest Sportirodától sem, hogy egy bankhoz hasonló védelmi rendszere legyen,

amely a felhasználók adataiért felel.

Nem hibáztak

Vagyis nem hibáztak azzal, hogy nem titkosított csatornán fogadták és küldték az adatokat.

„Azzal, hogy a különböző cégek nem titkosítják az adatokat,

százszor akkora veszélynek teszik ki a felhasználókat,

mintha harmadik félnek kiadnák azokat” - mondta az Origónak több, névtelenül nyilatkozó szakértő is.

Fontosak a titkosítást kínáló rendszerek Forrás: Origo

Éppen ezért is fontos, ha egy új iPhone vagy androidos mobil lehetővé teszi, hogy a mobilkészülékeken tárolt személyes adatokat akár a magánemberek is tudják titkosítani.

Ahogy az észt miniszterelnök amerikai látogatása során fogalmazott: a kormányok nem állhatnak a technológiai fejlődés útjába.

A kormányoknak segíteni és nem gátolni kellene az innovációt”

- mondta.

Gyenge jelszavak

Fontos megjegyezni azonban, hogy hatalmas felelősség terheli a felhasználót is. Az előző cikkünkben szereplő és az új listákon is

rendkívül gyenge jelszavak találhatóak:

a felhasználónév, a születési dátum, 6 karakternél rövidebb szavak és jobb esetben számok is, 123456 különböző hosszúságban, „jelszo” van megadva.

Minden századik volt olyan, amely már 8 karakternél hosszabb volt, tartalmazott kis- és nagybetűt, számot, és speciális karaktereket is, mint például a P1nt3rM0n1k@.

Mondaná Mr. Mackey, a South Park amerikai animációs sorozat tanára Forrás: Origo

A felhasználó

A legjobb taktika a példából kiindulva, ha sémákat gyártunk magunknak:

Jegyezzünk meg egy számunkra fontos kifejezést, pl. kedvenc sportoló, zenekar, játék, színész, film neve. Példa: Parov Stelar - parovstelar
A magánhangzókat cseréljük ki számokra. Példa: p4r0vst3l4r
Ha összetett szó, vagy két teljesen különálló szóból áll a jelszó, azoknak a kezdőbetűje legyen nagy. Példa: P4r0vSt3l4r
Tegyünk a két szó közé, végére speciális karaktereket ($ß@&#), vagy még egyszerűbb ha: a B helyére ß, az S helyére $, az A helyére @ kerül, és akkor csak az adott kifejezést kell megjegyezni. Példa: P@r0vSt3l@r
Hogy ne ugyanaz a jelszó legyen minden egyes fiókunkhoz, érdemes a végére odabiggyeszteni a szolgáltatás nevét, annak első három betűjét, első és utolsó betűjét stb. Példa: P@r0vSt3l@rfac (Facebook), P@r0vSt3l@rgma (Gmail), P@r0vSt3l@rspo (Spotify)

Érdemes használni a kétlépcsős azonosítást is, ahol elérhető (pl. Gmail, Facebook). Ahol a jelszó megadása után egy megadott telefonszámra elküldenek egy kódot, és ezt is meg kell adni ahhoz, hogy a fiókba beléphessünk.