Հաքերները կոտրել են «Hello Kitty»-ն և կորզել ավելի քան 3.3 մլն օգտատիրոջ անձնական տվյալներ

samvel-gevorgyan.jpg
Սամվել Գևորգյան
Տնօրեն, «ՍԱՅԲԵՐ ԳԵՅԹՍ»
Լուսաբանում եմ այնպիսի թեմաներ, ինչպիսիք են կիբեր-հանցագործությունը, գաղտնիությունը և անվտանգությունը թվային տեսքով:

Համացանցում են հայտնվել «Hello Kitty»-ի հաճախորդների ավելի քան երեք միլիոն անձնական տվյալներ:

Տվյալների բազան հայտնաբերվել է անվտանգության մասնագետ Քրիս Վիկերի (Chris Vickery) կողմից և վերաբերվում է ոչ միայն sanriotown.com հասցեում գտնվող ճապոնական մուլտիպլիկացիոն օնլայն համայնքին (community), այլ նաև պարունակում է անձնական տվյալներ բոլոր այն օգտատերերի մասին, ովքեր գրանցված են hellokitty.com, hellokitty.com.sg, hellokitty.com.my, hellokitty.in.th և mymelody.com վեբ-կայքերում:

Վիկերի խոսքերով տվյալների արտահոսքի պատճառով հասանելի են դարձել օգտատերերի անունները, ծննդյան ամսաթվերը, էլ.հասցեներն ու գաղտնաբառերը՝ դրանք հիշացնող հարցերով (password hint) և պատասխաններով հանդերձ:

Ծննդյան ամսաթվերը կոդավորված (encode) են եղել, սակայն այսպես կոչված «reverse engineering» մեթոդի շնորհիվ հեշտությամբ հնարավոր է դարձել բացել դրանք: Ինչ վերաբերվում է գաղտնաբառերին, դրանք գաղտնագրված (encrypt) են եղել «SHA-1» ալգորիթմով և գաղտնագրելիս չեն օգտագործել պատահական տառերից բաղկացած արտահայտություն (password salt), ինչը ինֆորմացիոն անվտանգության պրակտիկայում շատ վատ օրինակ է:

Խնդիրն առաջացել է MongoDB տվյալների բազան սխալ կարգավորելու հետևանքով, ինչի արդյունքում միջադեպի վերաբերյալ տեղեկացվել է Sanrio-ին:

Վերջերս նմանատիպ մեկ այլ խնդիր քաոս է առաջացրել մի քանի վեվ-կայքերի տվյալների գաղտնիության համար, ներառյալ MacKeeper-ը (13 միլիոն տվյալներ) և իմունային անբավարարություն ունեցող մարդկանց ծանոթությունների վեբ-կայքը:

Հաշվի առնելով այն փաստը, որ «Hello Kitty»-ին հանրաճանաչ է երիտասարդների շրջանում, հնարավոր է, որ այս միջադեպը ոչնչով չի տարբերվում վերջերս VTech ընկերությունում կատարված խոշոր տվյալների արտահոսքից:

Բրայն Սպեկտրը (Brian Spector), ով հանդիսանում է MIRACL ինտերնետ անվտանգության կազմակերպության տնօրենը, «Hello Kitty»-ի երկրպագուներին (հաճախորդներին) խորհուրդ է տվել անմիջապես փոխել գաղտնաբառերն իրենց կայքում և բոլոր այն տեղերում, որտեղ օգտվում են նույն ծածկագրից:

Ընկերությունները պետք է ձգտեն օգտվել օգտատերերի ինքնությունը պարզող այն տեխնոլոգիաներից, որոնք կխթանեն տվյալների արտահոսքը բազայից և թույլ չեն տա գողանալ գործածողի հաշիվն ու գաղտնաբառը

— ավելացրել է նա:

Մարկ Ջեյմսը (Mark James), ով աշխատում է Eset ընկերությունում որպես անվտանգության մասնագետ, համակարծիք է այն մտքի հետ, որ հաքերները միտք ունեն վաճառել երեխաներից գողացված անձնական տվյալները և դա նրանց մոտ շատ հեշտ կստացվի:

Մենք հաճախ ենք անցանկալի էլեկտրոնային նամակներ (spam) ստանում, որոնք առաջարկում են ինչ-որ հղումով անցնել կամ գրանցվել ինչ-որ կայքում, և շատ դեպքերում դրանք ուղարկում ենք աղբարկղ (recycle bin): Բայց երեխաներն ավելի անփորձ են այս հարցում և վտանգ չեն սպասում այն նամակներից, որոնք «Նոր խաղ է դուրս եկել, սեղմեք այստեղ» վերնագրով են կամ առաջարկում են ինչ-որ բան, ինչ չունեն նրանք ու կուզեին ունենալ:

Փաստը կայանում է նրանում, որ մեր երեխաներն ունեն իրենց էլ.փոստերն ու վաղ տարիքից սկսած օգտվում են շատ օնլայն ռեսուրսներից, ինչը իրական վտանգ է ստեղծում, երբ նրանց անձնական տվյալները հայտնվում են ցածր վարկանիշ ունեցող կայքերում:

Ծնողներին խորհուրդ է տրվում հետևողական լինել երեխաների նկատմամբ, քանի որ խաբեբաները հաճախ են տվյալներ կորզում երեխաներից և միայն տարիներ հետո դա կարող է դուրս գալ ջրի երես:

Ընկերությունները պետք է հասկանան, որ ցանկացած տեղեկություն ունի իր արժեքը, հատկապես այն ինչ վերաբերվում է փոքրերին: Գիտեմ, հեշտ է կայքում ավելացնել այնպիսի ֆունկցիա, որը ինչ-որ տարիքից ցածր երեխաներին թույլ չի տա օգտվել կայքի ռեսուրսներից կամ գրանցվելիս երեխաներին կառաջարկի դիմել ծնողների օգնությանը, բայց երբևիցե եր՞բ է սա ինչ-որ մեկի համար արգելք հանդիսացել:

— համաձայնել է Ջեյմսը:

Այո, մենք պատասխանատու ենք մեր երեխաների համար, սակայն, որպես օնլայն ռեսուրսի կամ վեբ-կայքի պատասխանատու անձ, դուք նույնպես պարտավոր եք պաշտպանել այն տվյալները, որոնք հարցնում և պահում եք էլեկտրոնային տեսքով:

Աղբյուրը

http://www.infosecurity-magazine.com/news/hello-kitty-goodbye-privacy-3m/

Թեմաներ

Հատկորոշիչներ

Կիսվել հոդվածով

Մեկնաբանություններ ()

Առաջարկվող հոդվածներ


Ակնթարթային ծանուցումներ

Բաժանորդագրվե՛ք «Telegram»-ի մեր խմբին, որպեսզի առաջինը տեղեկանաք կիբերանվտանգության վերջին նորություններին, ռեսուրսներին և վերլուծություններին: