Viac ako 50 % trestných činov spáchaných za rok 2017 v EÚ predstavovali kybernetické útoky a hacknutia. Výnimkou nie je ani Slovensko a Česká republika. Až 44 % tuzemských spoločností už má skúsenosť s kybernetickým útokom. Ešte stále si myslíte, že vás sa hackerské útoky netýkajú?
Prípady hacknutí na Slovensku a v Českej republike
My si to nemyslíme a máme aj niekoľko dôkazov, ktoré potvrdzujú, že otázka IT bezpečnosti sa týka aj vás a vašej spoločnosti. Pripravili sme pre vás prehľad najväčších nelegálnych hacknutí firiem a ich systémov na území Slovenska a Českej republiky.
Aby ste si aj vy vedeli predstaviť potenciálne riziko, ktoré vám hrozí, pokiaľ máte webstránku, infraštruktúru alebo mobilnú aplikáciu, ktorá je akýmkoľvek spôsobom prepojená na internet.
Napadnutie Mall.cz kvôli zraniteľnosti v systéme a slabému šifrovaniu uložených hesiel
Jeden z najväčších kybernetických útokov sa v roku 2017 podaril black-hat hackerom na webe Mall.cz. Odcudzili 766 421 hesiel v čitateľnej podobe, 735 956 unikátnych e-mailových adries a obdobný počet telefónnych čísel. Všetky ukradnuté dáta sa dali voľne stiahnuť z internetu.
Aký dopad malo toto hacknutie?
Útočníci získali údaje a heslá viac ako 750 000 používateľov. Ich šifrovanie nebolo bezpečné a údaje sa dali dešifrovať hrubou silou. Okrem toho, že ich zlí black-hat hackeri zdieľali na internete v plne čitateľnej podobe, ich mohli zneužiť aj v iných službách – v prípade, že klienti používali rovnakú kombináciu e-mailu a hesla.
Mall pri tejto príležitosti zriadil špeciálnu podstránku, kde si klienti môžu dodnes skontrolovať, či bol ich účet kompromitovaný. Spoločnosť tak asi utrpela vážne poškodenie dobrého mena a stratila časť klientov. Ak by bolo v tomto období v platnosti nariadenie GDPR, zrejme by sa Mall nevyhol ani vysokej pokute, a to na úrovni možno až miliónov EUR.
Zraniteľnosť v systéme 3. strany viedla k hacknutiu e-shopu Xzone.cz
V roku 2015 zlí hackeri napadli známy herný portál Xzone.cz, odkiaľ ukradli citlivé informácie týkajúce sa 108 000 používateľov. Odcudzené citlivé dáta (vrátane hesiel) boli zašifrované pomocou hashovacej funkcie MD5, ktorá sa dá prelomiť hrubou silou. Všetky ukradnuté dáta boli, rovnako ako v prípade hacku Mall.cz, dostupné voľne na stiahnutie z internetu.
Aký dopad malo toto hacknutie?
Okrem poškodenia dobrého mena serveru, pravdepodobne utrpel Xzone.cz aj stratu klientov. Tí mohli stratiť dôveru v bezpečnosť svojich dát a prestať využívať služby tejto spoločnosti. Xzone vyzval všetkých dotknutých klientov, aby si vytvorili nové heslo, no nie je jasné, koľko z nich tak aj urobilo. Potenciálne tak je ešte stále ohrozená časť klientov, ktorých dáta útočníci získali.
Únik dát z hostingu Czechia
Hostingu Czechia ukradli v roku 2013 black-hat hackeri prihlasovacie údaje do webhostingu a e-mailových účtov 7 % zákazníkov (6500 firiem). Dáta boli šifrované dnes už prelomenou hashovacou funkciou SHA-1. Únik dát spôsobila diera v zabezpečení hostingu. Únik dát zistila spoločnosť až o 4 roky neskôr, aj to iba náhodou. Prípad sa týka aj používateľov zo Slovenska.
Aký dopad malo toto hacknutie?
Útočníci získali kontrolu nad hostingom 6500 firiem a prístup ku kompletnej e-mailovej komunikácii. Mohli tak zneužiť údaje zo získaných e-mailov, znefunkčniť hostingy daných spoločností alebo nahradiť ich webstránky inými, pokojne aj infikovanými webstránkami.
Útok na poskytovateľa webhostingu Banan.cz
Nie práve najšťastnejším príkladom, ako má či skôr nemá firma reagovať na kybernetický útok, je prípad českého webhostingu Banan.cz. Ten na prelome rokov 2009 a 2010 napadli zlí hackeri, ktorí získali kompletný prístup k serverom, na ktorých bežia weby prevádzkovateľa aj jeho klientov.
Hacknutie banan.cz
Aký dopad malo toto hacknutie?
Zlí hackeri zverejnili na všetkých napadnutých weboch (hostingoch) správu o ich hacknutí. Neskôr útočníci poslali všetkým zákazníkom e-mail, kde ich upozornili na to, že ich hosting bol napadnutý a majú k nemu prístup.
Prevádzkovateľ webhostingu reagoval na kybernetický útok veľmi vlažne, čo pravdepodobne viedlo k poškodeniu dobrého mena spoločnosti a strate časti klientov. A to aj napriek tomu, že útočníci okrem napadnutia serverov odcudzili aj viaceré používateľské dáta.
Napadnutie verejného systému merania rýchlosti
V roku 2016 napadli neznámi crackeri systém automatického merania rýchlosti na českých diaľniciach. Využili fakt, že prenos dát z meracích zariadení do obvodných oddelení Polície ČR nebol šifrovaný.
Aký dopad malo toto hacknutie?
Black-hat hackeri upravili fotografie zachytené automatickým meracím systémom. Zmenili identitu vozidla (ŠPZ), ako aj fotografiu vodiča, ktorú nahradili postavičkou Alzáka (maskota obchodu Alza). Nie je známe, či došlo ku krádeži citlivých dát alebo bolo cieľom black-hat hackerov len marenie nazbieraných dôkazov.
Hacknutie systému na meranie rýchlosti
Kybernetické útoky hackera Igigi
V roku 2009 napadol black-hat hacker s pseudonymom Igigi niekoľko slovenských webstránok, z ktorých ukradol citlivé informácie (zrejme pomocou zraniteľnosti typu SQJ Injection). Išlo o weby Orange.sk, Atlas.sk, Union.sk, Zoner.cz či CSFD.cz. Ukradol z nich státisíce citlivých dát o používateľoch, v niektorých prípadoch aj celé databázy spoločností.
Aký dopad malo toto hacknutie?
Možným dôsledkom hacknutí bolo jednak poškodenie reputácie daných spoločností, ale aj nutnosť zvýšiť úroveň zabezpečenia napadnutých serverov. Za napadnutia bol nepriamo zodpovedný poskytovateľ IT služieb – spoločnosť Aston ITM – ktorá prevádzkovala servery všetkých spomínaných firiem. Zlý hacker navyše získal citlivé údaje o státisícoch používateľov, mnohé nezašifrované, v plne čitateľnej forme.
Azet a 760 000 prihlasovacích údajov
Rovnaký black-hat hacker Igigi napadol v roku 2010 aj známy web Azet.sk. Podľa portálu DSL získal citlivé dáta o 760 000 (92 %) používateľoch, ktoré dokázal dešifrovať do čitateľnej podoby. Chránené totižto boli len hashovacou funkciou MD5.
Aký dopad malo toto hacknutie?
Azet na hackerský útok reagoval veľmi vlažne, až ironicky. To mohlo viesť jednak k strate reputácie ako aj časti klientov, ktorých dáta boli jednoducho zneužiteľné v iných online účtoch. Po spustení GDPR by Azetu pravdepodobne za takýto únik dát hrozila možno až likvidačná pokuta.
Napadnutie webu Domina.sk
Koncom roka 2016 napadol cracker stránku Domina.sk. Médiám rozposlal ukradnuté citlivé dáta ako dôkaz útoku. Súbor obsahoval informácie o viac ako 30 000 používateľov vrátane ich prihlasovacích údajov a správ posielaných cez túto online službu.
Aký dopad malo toto hacknutie?
Nakoľko ide o stránku s naozaj citlivými informáciami, jej používatelia prestali službe dôverovať a časť z nich ju prestala používať. Navyše, dáta boli verejne dostupné, a tak boli jednoducho zneužiteľné. A to aj na iných online účtoch používateľov, ktorí používajú jednotné heslo pre viaceré služby. Charakter uniknutých informácií navyše umožňoval pošpiniť meno samotných používateľov.
Únik údajov Komerční banky
Česká Komerční banka mala v roku 2013 chybu vo svojom internetovom bankovníctve, ktorá umožňovala bežnému klientovi vidieť záznamy penzijného sporenia ostatných klientov. Nachádzali sa medzi nimi aj viacerí prominenti, napríklad český exminister M. Kalousek. Dáta boli dostupné priamo vo webovom prehliadači klienta, po jeho prihlásení do bežného internet bankingu.
Hacknutie Komerční banky
Aký dopad malo toto hacknutie?
Dotyčný klient o chybe v systéme Komerční banky informoval médiá a napísal aj verejný status na sociálnych sieťach. Prípad prešetroval aj Úřad pro ochranu osobních údajů ČR. Komerční banka týmto spôsobom nechtiac sprístupnila cudzej osobe dáta o 47 947 klientoch, pričom na situáciu nezareagovala príliš adekvátne – prehlásila, že sa vlastne nič nestalo. Banka tak mohla stratiť časť klientov a z dlhodobého hľadiska aj reputáciu.
Únik dát z Jabb.im
Česká služba Jabb.im ohlásila v roku 2014 rozsiahli únik dát z webov jabbim.cz, jabbim.com, jabbim.pl, jabbim.sk, njs.netlab.cz, jabber.cz, jabster.pl a jabber.root.cz. Odcudzené dáta, ktoré útočník získal pomocou útoku typu SQJ Injection, obsahovali aj prihlasovacie údaje a heslá desaťtisícov používateľov.
V roku 2017 služba ohlásila ďalší únik dát, tentokrát zo sekcie Jabbim Archive. Dáta mali veľkosť 8 GB a obsahovali citlivé informácie z rokov 2015 – 2016 o približne 300 VIP klientoch. Tí si za služby Jabb.im dokonca platili mesačný členský poplatok.
Aký dopad malo toto hacknutie?
Spoločnosť asi stratila značnú časť klientov aj renomé. Navyše, všetci poškodení používatelia si museli zmeniť svoje heslá. V rámci GDPR by za takýto únik dát pravdepodobne hrozila spoločnosti vysoká pokuta od príslušných kontrolných orgánov.
Elektronické občianske preukazy
Skupina študentov z Masarykovej univerzity v Brne objavila zraniteľnosť v RSA kľúčoch, ktoré vydala firma Infineon. Tie používajú aj estónske a slovenské elektronické občianske preukazy, ale aj rozliční výrobcovia počítačov a smartfónov. Závažná bezpečnostná chyba si vyžadovala opätovné generovanie bezpečnostných kľúčov.
Hacknutie slovenského elektronického občianskeho preukazu
Aký dopad malo toto hacknutie?
Elektronický podpis bol v prípade slovenských a estónskych elektronických preukazov falšovateľný, pretože sa dal hrubou silou dešifrovať a použiť na podpísanie úradného dokumentu. Týmto spôsobom bolo možné prepisovať majetok, podpisovať zmluvy, či inak zneužiť identitu obete. Potenciálna výška škôd tak bola obrovská. Reakcia na tento bezpečnostný incident zo strany štátu bola ale dlhšiu dobu viac ako problematická.
Zvýšte svoju online bezpečnosť
Jedným z cenovo najefektívnejších spôsobov, akým môžete svoju webstránku, mobilnú aplikáciu alebo infraštruktúru ochrániť proti útoku zlých hackerov, je vytvorenie bug bounty programu. Ten predstavuje dlhodobý spôsob testovania vašej bezpečnosti pomocou komunity viac ako 400 etických hackerov.
Tí majú podobné znalosti ako black-hat hackeri, ale pracujú pre vás – nájdenú chybu vám za odmenu nahlásia, aby ste si ju vy mohli opraviť. Prečítajte si viac o histórii bug bounty programov a zistíte, že hackeri nie sú len tí zlí. V prípade akýchkoľvek otázok nás kontaktujte.
