Adobe | zloraba podatkov | spletno nakupovanje | gesla | zloraba kreditne kartice

Splača se vdreti v največje podatkovne baze

Še po dveh mesecih po vdoru v bazo podjetja Adobe se čutijo posledice. Milijoni uporabnikov so dobili nove kreditne kartice.

Objavljeno
22. november 2013 17.52
Splača se vdreti v največje podatkovne baze
Matjaž Ropret, Infoteh
Matjaž Ropret, Infoteh
Sredi dopoldneva sem dobil klic s svoje banke, da so mi blokirali kreditno kartico zaradi »vdora v sistem internetnega ponudnika«. Slutil sem, s čim je to povezano, čeprav mi gospa na drugi strani tega ni mogla potrditi, ker ni imela podrobnejših informacij. Ker me je prav ta dan v nabiralniku čakalo pismo iz podjetja Adobe, se je zgodba takoj sestavila.

Ameriška korporacija, med drugim znana po računalniških programih photoshop, acrobat reader in flash, je na začetku oktobra priznala, da so krekerji vdrli v njen informacijski sistem in ukradli množico podatkov. Kasneje so počasi prihajale na dan dodatne, vedno bolj grozljive podrobnosti vdora.

Tudi papirnato pismo, ki je po skoraj mesecu potovanja prišlo iz nam neznanega mesteca v ameriški zvezni državi Minnesota, se bere kot kriminalka, zapakirana v suhoparen, brezoseben pravniški jezik. »Podjetje Adobe systems software bi vas rado obvestilo o incidentu, ki vključuje podatke o vas. Nedavno smo ugotovili, da je med 11. in 17. septembrom nepooblaščena tretja oseba nezakonito dostopala do podatkov o nakupih naših uporabnikov. Tretja oseba je verjetno pridobila določena imena uporabnikov, datume poteka kreditnih kartic, kriptirane številke kreditnih kartic in druge povezane podatke. Poleg tega je tretja oseba uporabila naše sisteme za dešifriranje nekaterih številk kreditnih kartic. Ne moremo potrditi, da so napadalci pridobili kakršnekoli dešifrirane številke kartic, priporočamo pa, da spremljate dogajanje na svojih bančnih računih. Obžalujemo, da se je ta incident zgodil in vam povzročil nevšečnosti ali skrbi.« To je nekoliko skrajšana vsebina pisma, ki pove glavna dejstva, zaradi česar so banke po vsem svetu po priporočilih podjetja Adobe in procesnih centrov izdajateljev kartic (Mastercard, Visa ...) blokirale milijone kreditnih kartic in izdale nove.

Napadi na največje potencialno prinašajo največ

Čeprav je bilo sprva videti, da je bil vdor omejen in da so se napadalci dokopali »zgolj« do nekaj milijonov uporabniških imen in gesel - Adobe je uporabniške račune takoj blokiral in pozval uporabnike, naj za ponoven dostop zamenjajo gesla - se je nato izkazalo, da bi lahko bilo prizadetih več deset milijonov ljudi. Poleg tega, da so krekerji Adobeju ukradli izvorno kodo za nekatere programe, med njimi acrobat.

To še zdaleč ni edini tako obsežen napad v zadnjem času, spomnimo se samo vdorov v spletne storitve Sonyja. »Tovrstne kraje so zelo dragi podvigi, zato so tarče tisti naslovi, kjer je mogoče priti do zelo velikega števila kreditnih kartic naenkrat in jih potem v zelo kratkem času obremeniti,« pojasnjuje direktor spletne trgovine Enaa Aljoša Domijan.

Napadalcem se taki podvigi splačajo samo, če se dokopljejo do milijonov številk kreditnih kartic in gesel naenkrat. Zato so na udaru največji svetovni ponudniki. Kar hkrati pomeni, da tak napad prizadene veliko več ljudi kot pri kakšnem lokalnem spletnem trgovcu ali drugem ponudniku. Predvsem pa lahko napadalci računajo še na to, da se uporabniki z istimi e-poštnimi naslovi in gesli prijavljajo tudi v druge spletne storitve.

Večino transakcij s karticami, »ukradenimi« v takih operacijah, sicer banke oziroma procesni centri zavrnejo ali pa uporabnikom povrnejo škodo. »Uporabnike naših kartic v večini držav ščitimo pred kakršnimikoli stroški v takih primerih. Takoj ko ugotovimo potencialno nevarnost, obvestimo banke, ki so izdale kartice, naj zaščitijo uporabnike,« so nam odgovorili z Mastercarda.

V zadnjem času sami (poleg osebne izkušnje) slišimo za vse več primerov preklicanih kartic zaradi vdorov v podatkovne baze, podoben občutek ima tudi Domijan. »Ponudniki kreditnih kartic so zelo skopi z informacijami, tako da nekateri kar naravnost vprašajo, ali so vdrli k nam. Nekateri sploh ne kupujejo na spletu, pa se jim je zaradi vdora v podatke banke ali ponudnika kreditnih kartic prav tako zgodilo, da so morali menjati kartico.« Z Mastercarda nam niso odgovorili, koliko kartic blokirajo vsako leto, češ da se o blokadah odločajo banke na podlagi njihovih informacij.

Sodeč po tem, da uporabnikom v tovrstnih primerih večinoma niti ni treba dokazovati zlorab, ampak banke kar same poskrbijo za zamenjavo kartice in povrnitev morebitne škode, so stroški takih vdorov še vedno manjši od prihodkov in dobičkov, ki nastajajo s ponujanjem spletnih storitev in uporabo kreditnih kartic pri spletnem plačevanju. »Možnosti za uporabo ukradenih kartic je zaradi elektronskega nadzora v praksi vse manj. Še največji dejanski strošek je izdaja novih kartic in gesel, vendar je za izdajatelje kreditnih kartic razmeroma majhen v primerjavi s celotno količino denarja, ki se vrti prek njih,« zatrjuje Domijan.

Hraniti ali ne, to je glavno vprašanje?

Ponudniki imajo dva pristopa glede hrambe podatkov o kreditnih karticah. Tisti, ki želijo omogočati čim bolj prijazno spletno nakupovanje (»z enim klikom«), jih shranjujejo. Med njimi sta največja zagotovo Amazon in Google, ki številke kartic hrani za nakupovanje v trgovini z aplikacijami google play. Drugi pa kartic zaradi varnosti ne shranjujejo. Tega pristopa se držita tudi spletni trgovini Enaa in Mimovrste.

Direktorica druge Lea Benedejčič poudarja, da teh podatkov niti ne vidijo, saj vse poteka prek procesnega centra. »Podatki o kreditni kartici se nikamor ne zapisujejo in jih mora kupec vpisati vsakič znova,« še pojasnjuje. Po besedah Aljoše Domijana v trgovini Enaa že od vsega začetka ne shranjujejo številk kreditnih kartic in drugih podatkov z njih. »Pred leti je bil strah pred morebitnim vdorom in krajo prevelik. Danes menimo, da je zaščita ustrezna, a smo vseeno ostali pri varnejši, čeprav za kupca nekoliko manj prijazni različici.«

Zagotovo se marsikdo sprašuje, zakaj na spletu pri plačevanju s kreditno kartico ni nobene dodatne zaščite, treba je vnesti zgolj podatke s kartice in vpisati »varnostno« trimestno kodo na zadnji strani kartice. Dodatnega gesla in številke pin ni treba vtipkati. Vendar se to utegne spremeniti. Pri Mastercardu se hvalijo s svojo tovrstno rešitvijo, ki že deluje, podobno dodatno varnost pa omogočajo tudi kartice visa. V trgovini Mimovrste so napovedali, da bodo tovrstno zaščito vpeljali v kratkem.

Kako pa je napadalcem »z uporabo Adobejevih sistemov« uspelo dešifrirati številke v bazi? Najbolj verjetno tako, da so ugotovili, da je veliko gesel enakih in enostavnih. Nekaj dni po razkritju napada je namreč postalo jasno, da je približno tretjina uporabnikov za geslo imela 123456 ali kaj podobno osnovnega - kot so pokazale že druge raziskave in vdori. Če so napadalci razgalili ta gesla, so lahko iz tega že sklepali, kakšne šifrirne algoritme uporabljajo sistemi podjetja Adobe, in s tem dekriptirali še kakšne druge podatke.

Za zdaj podatkov o milijonskih krajah sicer ni, pa tudi če bi se dogajale, bi banke te podatke verjetno skrivale. Tudi sam in moji znanci, ki so jim zaradi istega dogodka prav tako zamenjali kreditno kartico, nismo imeli nobene škode. Zdi pa se, da se podobne nevšečnosti z menjavo kartic utegnejo še kdaj ponoviti.