Nedávno jsme se věnovali hackerskému útoku na jeden z hlavních amerických úvěrových registrů, Equifax. Ukazuje se, že tato společnost nezačala reagovat způsobem, jaký bychom očekávali a spíše své problémy zhoršuje.
Do serverů společnosti Equifax se útočníci nabourali už na jaře a celé měsíce z ní vysávali velice citlivé informace o 143 milionech amerických občanů, což je více než polovina tamní dospělé populace. A když říkáme citlivé informace, pak jde nejen o jména, telefony či data narození, ale také o čísla kreditek nebo čísla sociálního zabezpečení, což je dostatek na útoky spojené s krádeží identity.
Equifax poté nabídl možnost, jak zjistit, zda se celá věc někoho týká, nebo ne, což jednak minulý týden ještě nefungovalo a pak se objevily i podmínky, kde je zvláště zajímavý jeden odstavec. Ten říká, že pokud se necháte informovat, zda vaše data byla ukradena, zároveň tím přijdete o právo vznést nebo se podílet na jakékoliv žalobě.
To přirozeně vyvolalo rozhořčení a i generální prokurátor státu New York důrazně žádal vysvětlení. Equifax reagoval, že tento odstavec je jen standardní pro služby firmy včetně TrustedID a netýká se problému s únikem informací.
Informace o tom, zda naše data unikla, nebo ne, nabízí Equifax právě pomocí své služby TrustedID, ale asi málokdo si přečte, že ta je na jeden rok zdarma a pak už bude placená, pokud ji sami nezrušíme. Čili všechno zlé je pro něco dobré (a zvláště pro někoho).
bezpečnostní pin dle data a času
Nakonec tu máme hezkou perličku, respektive spíše perlu, která dokonale ilustruje schopnosti firmy Equifax zabezpečit své systémy. Firma nabízí možnost zmrazit soubory s informacemi o hodnocení kreditního rizika a k jejich zpřístupnění poskytne uživateli desetimístný pin. To by bylo v pořádku, pokud by tento pin neodpovídal datu a času, kdy jsme o zmrazení požádali. Pokud tak někdo zažádal 10. září 2017 v 11:45, získal pin 0910171145, což prostě a jednoduše značně zlepšuje šance pro jeho uhádnutí. Bezpečnost takového systému samozřejmě závisí i na tom, kolik možností pro zadání pinu je, ale firma, jejíž servery byly nedávno takovým způsobem vybrakovány, by se měla snažit takového faux pas vyvarovat.
