Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Prywatność jest dziś już tylko mitem?

25 września 2013, 14:44 | Aktualności | komentarzy 12

Systemy komputerowe największych na świecie korporacji info-brokerskich padły ofiarą ataku, w wyniku którego nielegalne serwisy rozpoczęły masową dystrybucję danych osobowych. Spójrzmy, w jak prosty sposób możliwe jest przejęcie naszej tożsamości.

Brian Krebs opublikował właśnie bardzo interesującą historię nielegalnej działalności serwisu ssndob[kropka]ms, który już za kilka dolarów oferował dostęp do danych osobowych i konsumenckich, historii kredytowej oraz wielu innych informacji dotyczących… praktycznie wszystkich amerykańskich obywateli.

W jaki sposób tego typu serwis zdołał jednak zgromadzić tak obszerne dane o milionach Amerykanów (w SSNDOB można było znaleźć zarówno dane Beyonce, Michelle Obamy, jak i dyreoktora CIA Johna Brennana)?

SSNDOB -- panel użytkownika

SSNDOB — panel użytkownika
źródło: krebsonsecurity.com

W rozwiązaniu tej zagadki nie pomógł nawet niedawny wyciek bazy należącej do nielegalnego info-brokera. Jednak na jego podstawie można było wywnioskować, że serwis SSNDOB zarobił setki tysięcy USD dając swym klientom dostęp do informacji dotyczących ponad 4 milionów amerykańskich obywateli, a na czarnym rynku powstała nawet sieć re-selerów powyższych usług.

Dalsza analiza działalności administratorów SSNDOB wykazała jednak, że źródłem informacji jest niewielki botnet. Nie był to jednak botnet złożony z komputerów zwykłych internautów, a z wewnętrznych serwerów należących do wielkich amerykańskich firm info-brokerskich!

Poszczególne boty zainfekowały:

Moduł zarządzający jednym z botów w LexisNexis

Moduł zarządzający jednym z botów w LexisNexis
źródło: krebsonsecurity.com

Jak to możliwe, że przez wiele miesięcy boty nie zostały wykryte? Z pewnością wynika to po części z faktu, że w momencie wystąpienia infekcji zastosowany agent nie był wykrywany przez żadne z popularnych rozwiązań antywirusowych. Nawet w chwili obecnej, ten konkretny bot jest wykrywany jedynie przez 8 z 48 popularnych antywirusów

Brokerzy informacji w liczbach

Brokerzy informacji w liczbach

Wiemy już więc, jak działają i ile zarabiają nielegalni brokerzy informacji, warto jednak przy okazji wspomnieć jeszcze kilka słów o ich legalnych odpowiednikach, ponieważ w powszechnej świadomości jest to ciągle tematyka mało znana.

O ile działalność SSNDOB jest oczywiście nielegalna, o tyle wielkie korporacje info-brokerskie gromadzą znacznie obszerniejsze bazy danych w zupełnie legalny sposób.

Powszechnie nieznane firmy takie jak Acxiom utrzymują bazy szczegółowych informacji o setkach milionów osób prywatnych i rozmaitych instytucji.

Dane pochodzą z legalnych źródeł, takich jak publicznie dostępne bazy informacji, inne komercyjne źródła danych, rozmaite programy śledzenia internautów online, czy nawet ankiety, które sami przy wielu okazjach wypełniamy.

Brokerzy informacji zarabiają oczywiście udostępniając rozmaitym firmom i instytucjom zgromadzone przez siebie dane. Najbardziej typowe przykłady takich usług to weryfikacja tożsamości i historii kredytowej przez instytucje finansowe, rozmaite badania rynku konsumenckiego, czy też weryfikacja kandydatów w procesach rekrutacyjnych przed ich zatrudnieniem.

Warto więc zdawać sobie sprawę z tego, że szerokie informacje na temat każdego z nas są już prawdopodobnie zgromadzone w wielu bazach danych, a przypadki serwisów takich jak SSNDOB tylko potwierdzają ich realną wartość rynkową oraz to, jak niewiele możemy zrobić by zapobiec ich wykorzystywaniu…

– Wojciech Smol, (wojciech.smol<at>sekurak.pl)

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. bl4de

    No cóż, u nas wydaje się chyba tylko kwestią „kiedy” ktoś dobierze się do baz CEPIK, EWUŚ i innych, planowanych systemów gromadzących dane o praktycznie wszystkich Polakach.

    O ile już taki incydent nie miał miejsca oczywiście… ;)

    Odpowiedz
  2. Michał KNP

    @bl4de
    dlatego opłaca się jeździć bez dowodu i bez tablic, raz na rok zapłacisz jakiś śmiesznie niski mandat (chyba 500 zł max) i żaden fotoradar nie straszny.

    Odpowiedz
  3. wjp458
    Odpowiedz
    • wjp458,
      Porównaj SHA256 z tych plików — są różne, czyli są to różne zbiory.

      Odpowiedz
  4. Paweł

    @Michał KNP
    No nie wiem czy fotoradar niestraszny a rowerzysta który dostał mandat z fotoradaru ?
    Nie miał tablic ani prędkościomierza a i tak dostał mandat:D

    Odpowiedz
  5. pant3k

    @Paweł
    Bo sąsiad jego strażnikiem miejskim jest,a zdjęcie zrobić właśnie fotoradar SM.

    Odpowiedz
  6. MateuszM

    bl4de, „ratuje” nas zacofanie informatyczne względem takich krajów jak USA czy GB. Wymienione przez Ciebie systemy, są dosyć (jakby to powiedzieć nikogo nie obrażając) partyzanckie w wykonaniu. W takim CEPIKU dla przykładu jest więcej zarejestrowanych aut niż ludzi w CHRL a rekordy są zdublowane i w ogóle jeden wielki syf panuje. PESEL to bomba zegarowa – autorska baza danych wykonana przez kilku polskich naukowców (ilu ich jeszcze żyje nie wiem).

    Oczywiście administracja publiczna to tylko jedna strona. Bardziej interesujące mogą być zasoby prywatnych firm.

    Odpowiedz
  7. wjp458

    Wracam do sprawy – wiem, ze SHA256 są rożne – czy to znaczy, ze file vti-rescan jest inny tzn. udoskonalony tak by nie było go łatwo namierzyć! Czy zmieniono tylko SHA256? Pytam Cie Wojtek bo nie jestem expertem?

    Odpowiedz
    • wjp458,
      W jaki sposób łączysz ze sobą te 2 zbiory?

      Odpowiedz
  8. wjp458

    Nie chce być natarczywy ale rozumiem, ze file vti-rescan jest czymś w rozwoju, zmieniany by utrudniać jego rozpoznanie a SHA256 to podpis, stad moje pytanie dwa testy i rożne wyniki gdzie jest ta inność pogrzebana, dzięki za cierpliwość, miłego weekendu!

    Odpowiedz
  9. wjp458

    Thanks, mam info o plikach!

    Odpowiedz

Odpowiedz