Aktuality  |  Články  |  Recenze
Doporučení  |  Diskuze
Grafické karty a hry  |  Procesory
Storage a RAM
Monitory  |  Ostatní
Akumulátory, EV
Robotika, AI
Průzkum vesmíru
Digimanie  |  TV Freak  |  Svět mobilně

Kauza Equifax, aneb stále více absurdní následky hackerského útoku

11.9.2017, Jan Vítek, aktualita
Kauza Equifax, aneb stále více absurdní následky hackerského útoku
Nedávno jsme se věnovali hackerskému útoku na jeden z hlavních amerických úvěrových registrů, Equifax. Ukazuje se, že tato společnost nezačala reagovat způsobem, jaký bychom očekávali a spíše své problémy zhoršuje. 
Do serverů společnosti Equifax se útočníci nabourali už na jaře a celé měsíce z ní vysávali velice citlivé informace o 143 milionech amerických občanů, což je více než polovina tamní dospělé populace. A když říkáme citlivé informace, pak jde nejen o jména, telefony či data narození, ale také o čísla kreditek nebo čísla sociálního zabezpečení, což je dostatek na útoky spojené s krádeží identity. 
 
 
Equifax poté nabídl možnost, jak zjistit, zda se celá věc někoho týká, nebo ne, což jednak minulý týden ještě nefungovalo a pak se objevily i podmínky, kde je zvláště zajímavý jeden odstavec. Ten říká, že pokud se necháte informovat, zda vaše data byla ukradena, zároveň tím přijdete o právo vznést nebo se podílet na jakékoliv žalobě. 
 
To přirozeně vyvolalo rozhořčení a i generální prokurátor státu New York důrazně žádal vysvětlení. Equifax reagoval, že tento odstavec je jen standardní pro služby firmy včetně TrustedID a netýká se problému s únikem informací. 
 
Informace o tom, zda naše data unikla, nebo ne, nabízí Equifax právě pomocí své služby TrustedID, ale asi málokdo si přečte, že ta je na jeden rok zdarma a pak už bude placená, pokud ji sami nezrušíme. Čili všechno zlé je pro něco dobré (a zvláště pro někoho). 
 
bezpečnostní pin dle data a času
 
Nakonec tu máme hezkou perličku, respektive spíše perlu, která dokonale ilustruje schopnosti firmy Equifax zabezpečit své systémy. Firma nabízí možnost zmrazit soubory s informacemi o hodnocení kreditního rizika a k jejich zpřístupnění poskytne uživateli desetimístný pin. To by bylo v pořádku, pokud by tento pin neodpovídal datu a času, kdy jsme o zmrazení požádali. Pokud tak někdo zažádal 10. září 2017 v 11:45, získal pin 0910171145, což prostě a jednoduše značně zlepšuje šance pro jeho uhádnutí. Bezpečnost takového systému samozřejmě závisí i na tom, kolik možností pro zadání pinu je, ale firma, jejíž servery byly nedávno takovým způsobem vybrakovány, by se měla snažit takového faux pas vyvarovat.