Titkos Twitter-dokumentumokat loptak el
A hackerek egyre színesebb módszereket dolgoznak ki, hogy bejussanak egyes cégek rendszereibe, és úgy tűnik a kreativitás meghálálja magát. Egy hónappal ezelőtt a Twitter egyik adminisztratív alkalmazottjának az email fiókját feltörve több száz titkos dokumentumot loptak el a cégtől.
Nem a cloud a hibás
Biz Stone, a Twitter alapítója egy blogbejegyzésében azt írja, hogy \"egy hónappal ezelőtt egy adminisztratív dolgozójuk személyes email fiókját feltörték, és az innen származó információk segítségével bejutottak a dolgozó Google Apps fiókjába is\". Ide belépve pedig tálcán kínálva sorakoztak a Twitter céges dokumentumai, megosztott határidőnaplók, táblázatok. Tartalmilag az egyszerű feljegyzésektől kezdve, táblázatokon át, pénzügyi adatokig bezárólag mindenféle titkos dokumentum kikerült. Azóta a cégen belül egy biztonsági auditálást tartottak, s mindenkit kioktattak a megfelelő személyes biztonsági szabályok betartásának fontosságáról.
A támadás nem egy Google Apps sérülékenység kihasználásával ment végbe, hanem egyszerűen az emberi gyengeséget, butaságot vette alapul a hacker. Az ügy nem is lenne igazából hírértékű, ha nem a Twitterrel történik, de ez eléggé rávilágít arra, hogy az internet felhőbe való költözés nem csak játék és mese, ha valaki nem megfelelően kezeli adatait.
310 titkos dokumentum
A Twittertől szerzett adatok a mai napon már a Techcrunch szerkesztők postaládájában landolt. Michael Arrington, a Techcrunch alapítója azt írja, hogy a magát Hacker Crollnak nevező egyén egy tömörített ZIP-fájlban 310 titkos Twittertől származó dokumentumot juttatott el nekik. A dilemma nyilván az, hogy ezek tartalmával mit kezdjenek. Saját bevallása szerint az egész estét a dokumentumok átolvasásával töltötték, és számos érdekességet találtak benne, mint egyes felsővezetői posztok állásinterjúinak dokumentumait (az illető jelentkezőknek kellemetlen lenne, ha kiderülne). Arrington az etikai kérdésekkel kapcsolatban azt mondja, hogy a fájlok tartalmának nagy része biztosan nem kerül nyilvánosságra, igaz hozzáteszi, hogy legalábbis rajtuk keresztül nem.
A Twitter számára tehát mindenképp komoly kárt okozott vagy fog okozni az eset, de ennél sokkal fontosabb, hogy felhívja a figyelmet a vállalati világban dolgozók számára, hogy az online jelenlét bizonyos tudatosságot is igényel. Az elmúlt években a biztonsági szakértők egybehangzó állítása szerint nagy mértékben növekedett az olyan támadások száma, melyek vállalatok alkalmazottjaként dolgozó emberek személyes adatait vették célba, leggyakrabban masszív spamkampányokkal, ahol a sikerhez elegendő ha a célbavett cégek emberei közül csak néhány fennakad a hálón.
A legnagyobb biztonsági kockázat a felhasználó
Ugyan már sokszor elhangzott a múltban, de John Pirc, a CIA korábbi cyberbiztonsági specialistája (jelenleg az IBM Internet Security Systems vezetője) is azt hangsúlyozta, hogy a legjobb jelszavak 8-9 karakter hosszúságúak, tartalmaznak betűket és számokat is, de ennél is fontosabb, hogy egy jelszót nem érdemes több helyen használni. Az elv ugyan egyszerű, mégis a legtöbb ember képtelen egy megfelelő biztonsági gyakorlatot tartani online életében.
Szintén számtalanszor, sok helyen megállapították már, de még mindig aktuális: a legnagyobb biztonsági rés nem a beléptető rendszerekben van, hanem az emberek azon szokásában, hogy kitalálnak egy jelszót, ami akár közepes vagy erős is lehet, majd ezt használják mindenhol. Egyszerűbb, mint minden különböző szolgáltatáshoz külön karaktersorokat kigondolni és megjegyezni, de ezáltal egy gyenge láncszem révén borulhatnak az egyébként atombiztos szolgáltatások is. A közös munka és a közösségi szolgáltatások, illetve a cloud-szolgáltatások terjedésével pedig valóban elegendő egyetlen felhasználó személyes jelszavaihoz is hozzájutni, s nem kell többé rendszereket feltörni, szuperbiztos vállalati tűzfalakon áthatolni.
Visszakozás
\"A cloud computing egyik szépsége, hogy a felhasználóknak nem kell megértenie a technológia működését, amit használnak. Ez az egyszerűség viszont amennyire nagyszerű a fogyasztóknak, olyan veszélyesek a vállalatoknak és a kormányzatnak\" -- szummázta az esetet Dennis Quan, az IBM autonóm számítástechnikai igazgatója. Illetve szkeptikusan hozzátette, hogy amíg az email alapú közös munka működik külső szolgáltatókkal, addig bizonyos funkciókat és alkalmazásokat érdemes lenne bent hagyni a tűzfalak mögött. Amennyiben ez a felfogás teret hódít a közeljövőben, akkor a Google mellett több nagy cég fejlesztései is meginoghatnak, akik a nyilvános cloud szolgáltatások mellett tették le a voksukat.