Gdy wszystko co masz nagle staje się publiczne – analiza wycieków danych

Wyobraź sobie, że wszystko, co masz na swoim służbowym komputerze – od plików firmowych po prywatne dokumenty – nagle staje się publiczne. Jak wyglądałaby Twoja reputacja i reputacja twojej firmy? Czy jesteś na to gotowy aby pokazać swój pulpit?

Analizując publicznie dostępne informacje na temat treści wycieków danych oraz portale branżowe, dochodzę do wniosku, że większość ludzi zachowuje się tak jakby ich pliki nigdy nie miałyby być upublicznione. Czy słusznie? Tymczasem atak hackerski zaskakuje, gdy jesteśmy w „piżamie” i obnaża wszystko co mamy w swoich zasobach IT… a pracownicy dokładają do tego cegiełkę.

Nieumyślne działania pracowników bez sensu zwiększają skutek ataku Ranosmware. Dlaczego? Ponieważ trzymają na swoich komputerach mnóstwo danych nadmiarowych, które nie są potrzebne a mogą kompromitować firmę/instytucję oraz niepotrzebnie zwiększają wolumen danych, które później na stronach hackerów przegląda cały świat.

Sprawdźmy jakie „prezenty” przygotowali hackerom pracownicy firm i instytucji, z których dane wyciekły?

Disclaimer: Celem artykułu jest edukacja i podnoszenie świadomości w zakresie cyberbezpieczeństwa. Na potrzeby artykułu przeanalizowałem różne źródła, w tym informacje opublikowane przez portale tematyczne w Polsce, USA oraz UK. Celowo nie podane zostały żadne szczegóły ataków.

Od ataku do publikacji danych

Hackerzy udostępniają dane swoich ofiar w przeróżne sposoby. Ogólnie zasada jest prosta i znana.  Hacker po pobraniu plików z komputera lub zasobów sieciowych wyznacza czas na zapłatę okupu. Jest to szantaż, który polega na tym, że jeżeli firma nie zapłaci żądanej kwoty ukradzione dane zostaną opublikowane w Internecie. Zazwyczaj (choć to nie jest reguła) publiczność świata wie, że twoja firma została zaatakowana, a licznik pozostałego czasu na dokonanie płatności jest uruchomiony na stronie grupy hackerskiej – co oczywiście ma dodatkowo motywować do zapłaty.

Grupy hakerskie w swoich działaniach często publikują fragmenty danych jako ‘dowody’ włamania, co ma potwierdzić ich skuteczność i zwiększyć presję na ofiarę. Chodzi o to, aby ofiara nie miała wątpliwości, że atak nie tylko spowodował uszkodzenie plików, ale że faktycznie dane zostały pobrane, a groźba ich upublicznienia jest realna. Czasami dokumenty udostępniane są partiami.

W przypadku braku zapłaty cyberprzestępcy często realizują groźby publikacji danych.  Historia pokazuje, że nawet po zapłaceniu okupu firma może być dalej szantażowana. Nie mniej można znaleźć przypadki, gdzie widnieje informacja o ataku, ale pliki nie zostały upublicznione. Trzeba założyć możliwość, że organizacja, która nie uznaje zasad etyki i dokonuje włamań równie dobrze, może podawać nieprawdziwe informacje.

W zależności od grupy hackerskiej dane publikowane są jako paczki do pobrania, zrzuty ekranów lub w formie bardzo wygodnego eksploratora, umożliwiającego przeglądanie plików. Niektóre z grup podchodzą do tematu „profesjonalnie” i tagują dane w formie infografik, a więc przeglądanie czyjegoś „cyfrowego bałaganu” staje się równie proste, co przeglądanie plików na własnym komputerze. Ponadto hackerzy udostępniają przejrzyste materiały informujące jak zakupić bictocoiny niezbędne do transakcji. Jest to rażąco nieetyczne, ale niestety dla setek firm bolesne i prawdziwe.

TOP 10 – błędy popełniane przez pracowników

Wypisałem największe błędy popełniane przez pracowników, które sprawiają, że atak staje się dodatkowo niepotrzebną kompromitacją firmy w opinii publicznej oraz wzrastają koszty wypłacanych odszkodowań. Co ważne zakładamy tu atak, który polega na uzyskaniu dostępu do stacji roboczej np. po tym, gdy nasz pracownik otworzy załącznik ze złośliwym skryptem – standardowy scenariusz ataku ransomware.

1. Pracownik IT, który trzyma wszystko w jednym miejscu

Dewiza: I am almighty – I am IT!

To jest top na tej liście. Analizy raportów i incydentów wskazują, że często zdarza się, iż pracownicy IT umieszczający wszystko w jednym miejscu na swojej stacji roboczej/profilu użytkownika, na którym pracują na co dzień. Także te rzeczy, do których hacker nie miałby normalnie dostępu albo wymagałyby dodatkowego wysiłku np.

• zrzut bazy danych z aplikacji biznesowej (CRM, HR, e-shop),
• ręczne backupy całych systemów
• backupy plików z profili innych pracowników,
• eksporty OneDrive.zip pracowników, którzy zakończyli pracę.

To wszystko zamiast znajdować się w dedykowanych miejscach infrastruktury IT trzymane jest na stacji roboczej pracownika. Jest to prawdziwy prezent dla hackera, który po prostu pobiera wszystko jak leci z „dysku twardego”.

Nie jest to regułą, ale hackerzy zazwyczaj nie atakują zasobów, do których z danego komputera/systemu operacyjnego teoretycznie mają dostęp, zwłaszcza gdy komplikuje sprawę multi factor authenticator. Nie zawsze próbują dostać się do aplikacji biznesowej czy webowej, której używa zaatakowany użytkownik. Zazwyczaj skupiają się na tym, aby po nawiązaniu sesji „po cichu” skopiować dane już obecne na dysku maszyny roboczej/profilu użytkownika i dyskach współdzielonych. Pobranie danych z dysku jest dla hackerów bardziej opłacalne niż rozszerzanie ataku na inne aplikacje i systemy. W tym modelu „biznesowym” chodzi o prostotę i skalowalność 😉 Nie mniej trzeba oddać, że nawet są reklamowane narzędzia powalajace na sterowanie komputerem ofiary z poziomu widocznego pulpitu, które pozwalają na stosunkowo proste wykonanie innych działań niż pobieranie i szyfrowanie danych za pomocą komend.

Zdarza się, że pracownicy działów IT przechowują na swoich pulpitach backupy przeróżnych zasobów przez co potem de facto wycieka o wiele większa część danych niż standardowo dokumenty operacyjne. Stąd mamy często informacje o wyciekach całej lub części bazy danych. Nie jest to wynik ataku na aplikację per se tylko wynik tego co użytkownicy IT akurat mieli np. w folderze „Pobrane”.

Warto zatem przemyśleć co pracownicy przechowują na swoich stacjach roboczych i czy naprawdę jest to niezbędne akurat w tym miejscu?

2.  Mania eksportowania

Eksport Master!

Przechodzimy płynnie do kolejnego problemu: Pliki eksportów wykonywane na potęgę! Excele, zipy, csv i pdfy. Raporty z ataków pokazują, że użytkownicy w ogromnej skali tworzą eksporty z systemów kadrowych, rozliczeniowych, operacyjnych, OneDrive czy poczty e-mail.

To wszystko chomikują bez limitu czasowego. Rekordzista pewnej firmy z UK miał kilkadziesiąt tysięcy plików umieszczonych w katalogu pobrane. Hacker nie dostał się do aplikacji, ale mógł spokojnie odtworzyć jej zawartość z licznych eksportów przechowywanych przez użytkownika.

Pojawia się pytanie w jaki sposób firma panuje nad prawidłową retencją danych osobowych, skoro użytkownicy operują danymi poza aplikacją – w takiej skali? Dla przestępców i wywiadu gospodarczego to kopalnia informacji – wystarczy, że znajdą jeden taki folder, by mieć dostęp do informacji o klientach, pracownikach czy procesach firmy. Gdyby te dane były tylko w aplikacji, a eksporty zahasłowane (w tym przypadku!) byłyby bezpieczniejsze.

Warto zadać pytanie, czy eksporty zawsze muszą dotyczyć tak szerokiego zakresu danych? Czy fakt eksportowania nie oznacza, że brakuje istotnej funkcjonalności? Czy nie należałoby eksportów objąć dodatkową atencją i stworzyć odpowiednie polityki?  Programy do modelowania danych posiadają funkcję automatycznego uwierzytelniania się w pliku źródłowym, więc może zabezpieczanie plików hasłem nie byłoby „katastrofalne” dla biznesu?

3.   Rozrzucone dokumenty rekrutacyjne

HR Hider Master!

W upublicznionych danych można oczywiście znaleźć CV-ki kandydatów do pracy – są to osoby poszkodowane. Pracownicy niepotrzebnie pogłębiają skutki ataku przechowując w swoim bałaganie na stacjach roboczych nadmiarowo stare i nieaktualne dokumenty rekrutacyjne, które ogólnie mówiąc, po zakończonej rekrutacji zgodnie z prawem powinny być usunięte. Jak się okazuje takie pliki mogą być pochowane wszędzie…

Nieaktualne CV-ki nie dość, że niepotrzebnie zwiększają wartość i volumen wycieku to zwiększają także szanse na wyższą karę administracyjną nakładaną przez PUODO, ze względu na przechowywanie danych nadmiarowo bez ważnego celu i podstawy prawnej, czyli brak zachowania właściwej retencji.

Ponadto po ataku trzeba wykonać dodatkową prace i „przekopać” pliki, które wyciekły, skontaktować się z kandydatami do pracy celem poinformowania o fakcie ataku oraz możliwych skutkach wycieku ich danych osobowych.

Obserwacja jest taka, że w firmach szczególnie tam, gdzie nie wdrożono centralnego systemu do obsługi procesu rekrutacji dane są przechowywane w różnych nietypowych miejscach np. w folderach związanych z jakimś projektem, zipach pobranych z onedrive, w folderze „Pobrane” itp.

Mało kto przegląda historię chatów aplikacji Teams – a tam podobnie zazwyczaj jest kopalnia danych, które naruszają zasady retencji danych niezgodnie z RODO.  – Bywa, że cześć z tych danych powinna być dawno usunięta, ale ktoś gdzieś wrzucił je jako komentarz, a ktoś inny skopiował, a potem dział IT to zarchiwizował.

Gdyby CV-ki były przechowywane jedynie w centralnym systemie lub były usuwane na bieżąco to skutki prawne ataku byłyby mniejsze. Tymczasem oprócz kary administracyjnej za nieodpowiednie zabezpieczenia techniczne może być dołożona kara finansowa za nieprawidłowe zarządzanie danymi osobowymi.

4.        Niezręczne komentarze działu HR :/

PR Complicator!

Przechodzimy do dość niezręcznej części. Niekorzystnie na PR firmy wpływa fakt, że zostają ujawnione niezbyt szczęśliwe sformułowania o innych pracownikach oraz przede wszystkim kandydatach do pracy. Nota bene warto pamiętać, że w związku z RODO kandydat (jak każdy inny podmiot danych) ma prawo dostępu do swoich danych osobowych w tym zapisanych komentarzy na temat swojej osoby.

Przed zapisaniem notatki na temat osoby rekrutowanej warto zadać sobie pytanie czy ta ocena jest obiektywna i na odpowiednim poziomie tzn. oparta na faktach i zakładająca szacunek do kandydata, niedyskryminująca – jednym słowem zgodna ze standardami przyjętymi w biznesie.

Po wycieku takich „niewłaściwych” komentarzy zarówno kandydat do pracy czuje się niezręcznie jak i firma jest postawiona w niekorzystnym świetle. Uwaga także dotyczy ocen kontrahentów w systemach CMR. Patrząc na treść komentarzy można dojść do wniosku, że pracownicy zakładają, że one nigdy nie ujrzą światła dziennego tymczasem może się okazać, że będzie je przeglądać cały świat…

5.        Mój prywatny świat przestał być prywatny?

Householder Master!

Pracownicy często na swoich komputerach przechowują swoje dokumenty. Można powiedzieć – to jego sprawa. Może to jednak rodzić problemy prawne w zakresie odpowiedzialności za wyciek tych danych. Zwłaszcza gdy znajdują się tam prywatne pliki i dokumenty innych osób.

Co znajdziemy w Prywatnych plikach, które może przeglądać obecnie cały świat np. wyniki badań medycznych, pisma urzędowe i treść pozwów, dokumentów sądowych, polisy, informacje o mieszkaniu, budowanym domu, wynajmowanych kawalerkach, grafik opiekunki, raporty bik, bilety, dowody osobiste i paszporty swojej rodziny i znajomych/uczestników wycieczki itp.

Potem gdy tego typu dane pojawiają się na stronach hackerów może się pojawić zdziwienie, skąd tego typu dokumenty np. paszporty pojawiły się w próbce, którą opublikował hacker?

6.        Dane poufne udostępnione przez inne osoby

Share Master!

Kolejne problem, który może umykać to dane poufne udostępnione przez inne osoby, które są synchronizowane ze stacją roboczą przez OneDrive. Pojawia się pytanie czy wszystkie zasoby dostępne w chmurze publicznej muszą być synchronizowane ze stacjami roboczymi? Katalog z bardzo wrażliwymi danymi na Onedrive może być wyłączony z synchronizacji. Oczywiście można powiedzieć, że hacker przejmując kontrolę nad stacją roboczą może dowolnie pobrać wszystkie udostępniane dane, ale to jest rzadszy scenariusz. Zazwyczaj, gdy firma korzysta z OneDriva wszystkie pliki trafiają do hackera ponieważ znajdowały się lokalnie na dysku twardym.

7.        Dokumentacja dot. Bezpieczeństwa danych

Cyber-sec Master!

Spodziewam się uwagi 😉 „Panie autorze nie mów, że widzisz problem w tym, że ktoś przechowuje lokalnie dokumentację dotyczącą bezpieczeństwa?” Nie o to jednak w tym punkcie chodzi. Problem w tym, że zazwyczaj tej dokumentacji w raportach nie ma w ogóle! Można znaleźć dokumentację dotyczącą RODO/GDPR ale…

Raporty z incydentów pokazują, że w przypadkach wycieku danych zdarza się, iż na światło dzienne wychodzi brak dokumentacji procesów bezpieczeństwa czy choćby budżet prezentujący brak wydatków w tym obszarze. Może to mieć związek z samym faktem ataku i niskim poziomem cybersecurity ale oczywiście nie musi.

W jednej z firm w UK w sieci znalazł się cały plan rozbudowy strategii cyberbezpieczeństwa, ale jak się okazało był to jedynie patetyczny opis przeznaczony dla klientów nie pokrywający się z rzeczywistością co dodatkowo pogorszyło wizerunek firmy po ataku.

Oczywiście w sieci krążą o ironio! dokumenty, w których zapisane są wnioski, iż trzeba podnieść bezpieczeństwo.

8.        Dokumenty niepowiązane z działalnością firmy

Intelligence Master!

Zadziwiające jest to, że w opublikowanych plikach danej firmy można znaleźć dokumentację sądowa z postępowań wobec innych osób w tym osób z świata mediów i polityki. Rodzi to pytania po co?

9.        Niezabezpieczone pliki ze spisanymi loginami i hasłami –

bez komentarza…

10.  Łamanie prawa autorskiego

Torrent Master!

Pracownicy zapewne nieświadomie, potrafią chomikować dokumenty objęte prawem autorskim ale bez licencji np. materiały szkoleniowe z innych firm, na których mamy wyraźną informację dla kogo jest licencja i nie jest to firma z której dokonany został wyciek. To wszystko wychodzi na jaw…

11.  Dane przeróżne przeznczone do usunięcia

Trash Master!

„Do wywalenia”, „stare”, „usunąć” – to nazwy folderów, którym nie było dane aby zostały usunięte ponieważ już zostały opublikowane, a w nich wszystko co powinno być dawno „wywalone”. Jak jest coś przeznaczone do usunięcia to czemu tego nie usunąć? Takie nieformalne „śmietniki” niejednokrotnie zawierają dane nadmiarowe.

Podsumowując

Mam nadzieję, że udało mi się wyjaśnić, dlaczego pracownicy czasami niepotrzebnie podnoszą skutki ataku hackerskiego. Jest to argument, za tym, aby przeprowadzać działania uświadamiające, audyty oraz stosować narzędzia inwentaryzujące pliki.

Można powiedzieć, że to o czym tu piszemy nie ma większego znaczenia, ponieważ: ważniejsze jest, aby zapobiegać atakom hackerskiem niż zakładać, że wszystkie nasze dane zostaną udostępnione na światowym „sharepoincie”.

Oczywiście będzie w tym dużo racji, jednakże trzeba mieć na względzie:

1.        Nie ma idealnych bezpiecznych systemów, więc nie możemy zakładać, że scenariusz ataku nigdy się nie wydarzy.

2.        Zmniejszenie skutków ataku o powyższe zalecenia to tak naprawdę poprawa zgodności z prawem, higieny i porządku pracy.

3.        Działania niezbędne w celu ograniczenia ryzyka nie są tak drogie versus skutki wycieku danych.

Myślę, że na świecie są setki firm, które doszły do podobnych wniosków, gdy zobaczyły swoje dane na stronach internetowych hackerów. Warto uczyć się na czyiś błędach 😉

…

Zrób szybki audyt swojego komputera. Co znajdzie haker, jeśli włamie się właśnie teraz?

P.S Tekst napisany przez człowieka, dowodem są literówki 😉