Rady a tipy

Jak se chránit před únikem dat

Charlotte Empey, 21. květen 2020

V našem průvodci ochranou před únikem dat najdete informace o nejnovějších případech narušení zabezpečení dat a o tom, jak správně postupovat, pokud se to stane i vám.

Rok 2020 začal pro kyberzločince bohužel úspěšně. Nezalekli se celosvětové koronavirové krize, naopak zvýšili četnost kyberútoků a začali pracovat i o víkendech. Nejsme ani v polovině roku a už jsme byli svědky několika velkých úniků dat. Nejnovějším z nich je únik dat letecké společnosti easyJet, ale za zmínku stojí i kyberútoky na videokonferenční platformu Zoom, na oblíbenou onlinovou hru Roblox nebo únik přihlašovacích údajů herní společnosti Nintendo.

Únik dat z Robloxu je jeden ze zajímavějších případů tohoto roku. Kyberzločinec totiž podplatil zaměstnance Robloxu, aby získal přístup k zákaznické stránce populární hry pro děti. Z této stránky měl přístup k více než 100 milionům přihlašovacích údajů hráčů Robloxu. Mohl měnit hesla, bezpečnostní nastavení nebo herní inventář. Hacker se rozhodl sdílet se světem snímky obrazovky, na kterých byly účty těch nejznámějších hráčů Robloxu. Proč? Webové stránce Vice kyberzločinec řekl: Udělal jsem to proto, abych jim uštědřil lekci." Ačkoli jeho záměr se může zdát téměř neškodný, nebyl by správným hackerem, kdyby zároveň s připomenutím slabých míst hry nezměnil dvěma účtům hesla a neprodal veškeré zásoby z jejich inventáře. K tomu společnost požádal o odměnu, zřejmě proto, že nepoškodil více hráčů než právě dva, ta ho ale odmítla. 

Nikdo nebyl víc překvapený úspěchem platformy Zoom v době pandemie než samotná služba. Ve chvíli, kdy se takřka celý svět musel potýkat s problémy práce na dálku a z domova se videokonferenční služba Zoom stala jednou z nejdůležitějších aplikací každého zaměstnance. Netrvalo dlouho a kyberzločinci se dovtípili, které místo celosvětového nového systému práce z domova se vyplatí napadnout nejvíce. Následovalo množství útoků a podvodů na platformě, které vyvrcholilo v dubnu, kdy kyberzločinci získali 500 tisíc přihlašovacích údajů ze služby Zoom a začali je prodávat na darkwebu za několik málo haléřů. Experti jsou přesvědčeni, že údaje kyberzločinci shromáždili pomocí již dříve uniklých údajů, u kterých jejich majitelé hesla použili znovu. 

O úniku dat z databáze letecké firmy easyJet jsme vás informovali nedávno. Unikly cestovní údaje, e-mailové adresy i víc než 2000 dat o platebních kartách. K vysoce sofisitkovanému kyberútoku, jak o něm referuje easyJet, došlo už v lednu. Útokem zasažené zákazníky hodlá letecká společnost do 26. května kontaktovat, oznámilo BBC

Dalším útokem, který byste neměli přehlédnout, je kyberútok na aplikaci MobiFriends. Ačkoli k němu došlo už na konci roku 2019, o jeho dopadech jsme se dozvěděli až minulý měsíc. Kyberzločinci z aplikace získali přes 3,5 milionů osobních údajů uživatelů. E-mailové adresy, hesla, telefonní čísla i informace z jejich profilů se dostali do rukou kyberzločinců. ZDNet oznámil, že tito uživatelé budou pravděpodobně v blízké době čelit spear-phishingovým útokům, pokusům o vydírání a dalším snahám kyberzločinců zneužít jejich citlivé údaje. 

Připomeňme si také starší úniky dat 

Jedním ze starších případů je únik dat velké společnosti Equifax (registr dlužníků) nebo banky Capital One, které postihly přibližně 250 milionů lidí a ve zpravodajství jim byla věnována velká pozornost. 

V roce 2017 únik dat Equifaxu odhalil osobní údaje a finanční informace 147 milionů lidí. Společnost nejdřív odpověděla dost nestandardním způsobem, za který byla silně kritizována. Místo toho, aby obeznámila své zákazníky s nastalou situací, začali její hlavní představitelé rozprodávat své akcie, protože čekali jejich silný pokles. Po dvou letech od tohoto skandálu konečně došlo k potrestání firmy, která se bude muset finančně vyrovnat s federální vládou. Vyrovnání zahrnuje 425 milionů dolarů, které se rozdělí mezi poškozené spotřebitele. Dalších  275 milionů dolarů zaplatí Equifax v rámci dalších pokut, včetně odškodnění jednotlivým státům a CFPB (Úřadu pro ochranu spotřebitelských financí).

Podobně velkým únikem dat si prošla i banka Capital One. Útok na instituci vystavil nebezpečí 106 milionů lidí. Kyberzločinec napadl systém banky a ukradl informace z žádostí o úvěr 100 milionům americkým a 6 milionům kanadským zákazníkům banky. I když čísla kreditních karet ani přihlašovací údaje zákazníků ukradeny nebyly, hackeři se dostali k informacím o jejich sociálním pojištění i finanční historii. Společnost se proto rozhodla svým zákazníkům nabídnout sledování úvěru zdarma a ochranu identity každému, kdo byl únikem dat zasažen. 

Jaká ponaučení si můžeme z těchto úniků dat vzít? 

Hned několik. Zaprvé, úniky dat se mohou stát kdykoli a komukoli, od toho nejmenšího živnostníka až po globální korporát. Zadruhé, pokud dojde ve vaší bance k úniku dat, pravděpodobně od ní zdarma dostanete sledování vašeho úvěru. Ale i to mohou kyberzločinci zneužít. Jak? Když už mají vaše údaje včetně e-mailu a informaci, že jste od banky dostali zdarma službu sledování úvěru, mohou vám zaslat podvodný e-mail. Ten se může zdát jako klasický přehled informací o vašem úvěru od banky, ve skutečnosti to ale bude phishingový e-mail, který se pokusí o krádež vašich osobních a citlivých údajů. Kyberzločinci si zkrátka vždy najdou nějakou cestu. 

equifaxblog

Velký problém úniku dat – a co na to spotřebitel

Pojďme se na to podívat z širšího úhlu pohledu: Co vlastně únik dat znamená? K úniku dat dojde při infiltraci chráněných informací. Je to snadné. Únik představuje „díru“, která zde nemá být – díru v trupu lodi, prasklinu v ochranné zdi nebo kód v online zabezpečení zneužitelný crackingem a další. K úniku dat dojde, když k citlivým informacím na internetu vede nezákonná cesta.

Při úniku dat může pachatel získat tato data:

  • Uživatelské jméno
  • E-mailovou adresu
  • Heslo
  • Adresu
  • Telefonní číslo
  • Datum narození
  • Informace o řidičském průkazu
  • Čísla platebních karet
  • Historii nákupů
  • Údaje o bankovním účtu
  • Číslo sociálního zabezpečení

Jak poznáte, že došlo k úniku dat?

Společnost, ve které k úniku vašich dat došlo, by vás měla neprodleně upozornit – měla by informovat o době, kdy k úniku dat došlo, a také o tom, jaká data nebyla ukradena. Skutečnost ale bývá jiná. Například společnost Equifax čekala několik měsíců, než své klienty upozornila. I když nástroj Avast Hack Check nedokáže zobrazit informace týkající se posledního úniku dat banky Capital One, dokáže zjistit, zda vaše hesla unikla při předchozím případu úniku dat.

GDPR a únik dat

Největší a nejnovější globální reformou v oblasti úniku dat je Obecné nařízení o ochraně osobních údajů (GDPR), což je nový právní rámec Evropské unie, který se týká ochrany digitálních dat a zabezpečení. Nařízení vstoupilo v platnost na jaře roku 2018 a platí pro společnosti i jednotlivce, kteří uchovávají digitální data o občanech EU bez ohledu na to, kde se daná společnost nachází. Chrání spotřebitele tím, že vyžaduje od společností, aby zavedly určité standardy vysokého zabezpečení a informovaly o jakémkoli úniku dat do 72 hodin od zjištění. Pokud nějaká společnost tato pravidla poruší, je jí udělena pokuta až 4 % z ročního obratu nebo až 20 milionů liber (24 milionů USD) podle toho, jaká částka je vyšší.

Úřady i nadále zkoumají, jak by bylo možné GDPR zavést šířeji. V květnu udělil německý regulační úřad pokutu policistovi ve výši 1 400 eur (1 700 USD) za to, že zavolal řidiči poté, co vyhledal číslo jeho mobilního telefonu za použití poznávací značky.

Co mohou kyberzločinci s ukradenými daty dělat?

Kyberzločinci často tyto údaje prodávají nebo je zneužívají k těmto účelům:

  • Výběr peněz z bankovních účtů
  • Získání nových platebních karet a nakupování drahého zboží
  • Přístup k daňovým informacím
  • Odstavení obětí od bankovních účtů a účtů na sociálních sítích

Co dělat, když jsem obětí úniku dat?

Společnosti Equifax a Capital One jistě nejsou jediné firmy, ve kterých nedávno došlo k úniku dat. Toyota, Lexus, Adventist Health a velká společnost Quest Diagnostics uchovávající lékařské záznamy – ve všech těchto společnostech došlo v červnu k úniku dat, jak vyplývá ze zprávy neziskové organizace Identity Theft Resource Center, která je částečně financována Ministerstvem spravedlnosti Spojených států amerických. Pokud bylo narušeno zabezpečení vašich osobních údajů, použijte následující kontrolní seznam akcí, které je potřeba při takové události provést:

Zjistěte, jakých dat se únik týká

Zjistěte u společnosti, ve které k úniku dat došlo, co se přesně stalo. Pokud vám neposkytne veškeré podrobnosti, zjistěte další informace od agentury FTC a zkontrolujte, jaká data jste se společností sdíleli.

Změňte všechna hesla

Vytvořte si nová silná hesla a pro každý účet použijte jiné heslo a také dvojúrovňové ověření. Tady najdete tipy na vytvoření silných hesel.

Dávejte pozor na odkazy v podivných e-mailech nebo textech

Pokud obdržíte jakýkoli e-mail nebo text, ve kterém se tvrdí, že se týká úniku dat, a obsahuje odkaz ke kliknutí nebo soubor ke stažení, neklikejte. Často se jedná o phishingové útoky, během nichž se vás kyberzločinci snaží zmást a přimět ke kliknutí. Více informací o phishingových e-mailech najdete zde.

V případě krádeže kreditní nebo debetní karty kontaktujte svoji banku

Pokud vám budou ukradena čísla kreditní nebo debetní karty, kontaktujte banku a požádejte o nová čísla. Také si změňte svůj PIN kód. Nastavte si textové nebo e-mailové zprávy, které vás upozorní na veškeré podezřelé poplatky, nákupy nebo výběry.

Používejte antivirus

Chcete-li se ochránit proti škodlivému spamu, infikovaným odkazům a malwarem jakéhokoli typu, nainstalujte si antivirus. Avast Free Antivirus je oborovými experty neustále hodnocen jako vynikající, důvěřuje mu 400 milionů lidí z celého světa, při porovnávání antivirových aplikací je hodnocen jako „antivirus s nejmenším dopadem na výkon počítače“ – a je zdarma.