Wraz z ciągłym wzrostem rynku aplikacji mobilnych, rośnie również zagrożenie dla bezpieczeństwa danych użytkowników. Hakerzy i cyberprzestępcy z każdym dniem stają się coraz bardziej wyrafinowani i potrafią wykorzystać najmniejsze niedoskonałości w zabezpieczeniach. Nawet największe firmy padają ofiarą cyberataków, a wpadki bezpieczeństwa wynikają często z zaniedbań lub popełnionych błędów, których koszty mogą sięgać milionów dolarów.
Według National Cybersecurity Alliance, aż 60% firm nie jest w stanie utrzymać swojego biznesu 6 miesięcy po ataku cyberprzestępców. Bezpieczeństwo powinno być zawsze priorytetem. W tym artykule omówimy największe wpadki bezpieczeństwa w branży aplikacji mobilnych i dowiemy się, czy tak duże firmy jak Uber czy Marriot są w stanie uchronić się przed cyberatakami.
Sekrety Ubera
W 2016 roku hakerzy skradli prywatne dane ponad 57 milionów klientów i kierowców Ubera. Firma przez rok utrzymywała ten fakt w tajemnicy i zdecydowała się zapłacić okup przestępcom, żeby ukryć całą aferę. Choć brzmi to jak historia z filmu, wydarzyła się naprawdę i wstrząsnęła branżą aplikacji mobilnych. Nasuwa się pytanie: Co doprowadziło do, tak dużej wpadki bezpieczeństwa?
Przestępcy nie musieli wykorzystać wyszukanych metod, żeby włamać się do bazy danych firmy. Sprawa była o wiele mniej skomplikowana. Hakerom udało się zdobyć dostęp do prywatnego GitHuba dla programistów Ubera, gdzie znaleźli dane do konta Amazon Web Services, na którym przechowywane były dane użytkowników. Zdziwienie wśród komentatorów wywołał fakt, że inżynierzy Ubera posiadali dostęp do danych aż 57 milionów użytkowników. Brak dobrze przygotowanych zabezpieczeń dla danych klientów i kierowców oraz zaniedbania ze strony firmy okazały się jednym z głównych powodów możliwości przeprowadzenia takiego ataku. Jednak na tym złe decyzje firmy się nie skończyły.
Największe kontrowersje wśród komentatorów nie wywołał sam wyciek danych, a raczej sposób, w jaki firma postanowiła postąpić w związku z tą sprawą. Okazało się, że Uber zdecydował się zapłacić cyberprzestępcom 100 tys. dolarów za usunięcie skradzionych danych oraz za zachowanie całego incydentu w tajemnicy. Nie powiadomiono w żaden sposób użytkowników, których prywatne informacje zostały skradzione. Postanowiono zamieść całą sprawę pod dywan. W konsekwencji, szef ds. bezpieczeństwa informacji oraz jego zastępca zostali zwolnieni.
Zakupy Marriottu
W 2016 roku Marriott International nabyło sieć hoteli Starwood za 13 miliardów dolarów, stając się tym samym największą siecią hotelową na świecie. Niestety, firma nie zdawała sobie sprawy, że wraz z przejęciem Starwood kupuje również swój udział w jednym z największych w historii wycieków danych osobowych konsumentów, w wyniku którego skradziono informacje ponad 500 milionów osób.
Przestępcy mieli dostęp do bazy danych rezerwacji sieci hoteli Starwood już od 2014 roku, jednakże firma nie była świadoma wycieku. Dopiero w 2018 roku atak został zauważony, co oznacza, że hakerzy mieli dostęp do wrażliwych danych gości przez ponad 4 lata. Hotele w zbierały wiele wrażliwych danych, takich jak karty kredytowe, adresy, a nawet numery paszportów. Atak dotknął klientów, którzy dokonywali rezerwacji przez system Starwood. Należały do nich między innymi takie hotele jak Sheraton, Westin, W Hotels czy St. Regis. Eksperci podejrzewają, że dane zostały skradzione do celów wywiadowczych, ponieważ nie wykryto nigdy próby sprzedaży żadnych z nich.
W przeciwieństwie do Ubera, Marriot po wykryciu ataku we wrześniu 2018 roku postawił dedykowaną stronę i call center, które miały pomóc pokrzywdzonym gościom. Poinformowali oni klientów i zaoferowali jeden darmowy rok w serwisie, który śledzi sprzedaż personalnych danych w sieci.
Systemy rezerwacji w aplikacjach mobilnych i na stronach internetowych są szczególnie wrażliwe na ataki hakerskie ze względu na charakter zbieranych w nich danych. Dlatego ważne jest, aby regularnie przeprowadzać szczegółowe audyty systemów bezpieczeństwa oraz monitorować ewentualne naruszenia w bazach danych. Niestety, podobny atak na bazę danych gości miał miejsce już 16 miesięcy później, w 2020 roku, kiedy to hakerzy uzyskali dostęp do poufnych informacji jednego z franczyzobiorców Marriottu. Mark Sangster, wiceprezes firmy eSentire zajmującej się bezpieczeństwem, powiedział dla Wired: „Marriott po raz kolejny pokazuje, że firmy muszą dbać nie tylko o swoje bezpieczeństwo, ale także o bezpieczeństwo swoich partnerów, kontrahentów i franczyzobiorców”.
Zaniedbania Zooma
Przez pandemie COVID-19, Zoom zyskał na znaczeniu. Stał się jedną z najpopularniejszych platform do komunikacji wideo. Również zwiększyły się dzięki temu jego potencjał jako cel dla przyszłych cyberataków. Czy firma przygotowała się na to odpowiednio?
Niestety nie. Zoom miał wiele wpadek bezpieczeństwa odkąd stał się popularny. Przez brak odpowiednich zabezpieczeń przy zakładaniu kont stracili 500 milionów loginów i haseł użytkowników. W przeciwieństwie do wycieku Marriotu, tu hasła i loginy były dostępne i sprzedawane w Dark Webie. Ale jak udało się cyberprzestępcom zdobyć, tak ogromną bazę poufnych danych?
Wykorzystali do tego wcześniejsze wycieki z innych serwisów. Kupowali loginy i hasła, które krążyły w sieci od jakiegoś czasu, a następnie wprowadzali je w Zoomie, za pomocą metod, które nie informowały użytkowników o logowaniu z innego urządzenia. Eksperci uważają, że zoom nie powinien pozwalać na używanie maila, jako loginu oraz skanować sieć i informować użytkowników, jeśli używają haseł, które zostały skradzione. Użytkownicy natomiast nie powinny używać tych samych haseł przez wiele lat i to w wielu różnych serwisach. Zoom od czasu tamtego ataku sprawdza hasła z listą loginów i haseł, które wyciekły do sieci.
Bezpieczeństwo
Pomimo wzrastającej świadomości na temat zapewnienia bezpieczeństwa danych w sieci, zagrożenie pozostaje nadal wysokie. Raport opublikowany przez ITRC wskazuje, że tylko w samym 2021 roku doszło do aż 1862 naruszeń danych w USA, bijąc rekord z 2017 roku, kiedy zarejestrowano 1506 incydentów. Duże i małe firmy muszą stale dbać o bezpieczeństwo swoich użytkowników, ponieważ naruszenia i zaniedbania mogą mieć katastrofalne skutki. Co więcej, cyberprzestępcy ciągle poszukują nowych metod atakowania baz danych, co wymaga od firm ciągłego dopracowywania swoich systemów ochrony.
