Kradzież danych Instagrama – jak łatwo można stracić prywatność

UseCrypt
6 września 2017
Kradzież danych Instagrama – jak łatwo można stracić prywatność
2017-09-06 Artur Szachno - UseCrypt
Mimo, że temat bezpieczeństwa rozwiązań teleinformatycznych coraz częściej podnoszony jest w mediach w tej materii niewiele się zmienia. Masowe wykorzystanie rozwiązań udostępnianych użytkownikom urządzeń mobilnych służących do zbierania, przetwarzania i udostępniania danych, jak Facebook czy Instagram, bije rekordy popularności. Korzystanie z aplikacji mobilnych staje się nawykiem podobnym do czytania gazet przez starsze pokolenia. Jest to efekt transformacji społeczeństwa informacyjnego. Niski stopień skomplikowania oraz przystępne koszty urządzeń do tworzenia produktów cyfrowych w postaci zdjęć i filmów zachęcają rzesze twórców do dzielenia się efektem.
 
Cyfryzujemy ważne, interesujące i zabawne zdarzenia z naszego życia. Dokumentujemy prace oraz korzystamy z aparatu jak z notatnika – zamiast zapisać, wykonać szkic czy narysować schemat konstrukcji lub urządzenia. Ilość danych wytwarzanych cyfrowo lawinowo wzrasta. Takie podejście wymaga istotnych zmian w sposobie wykorzystania rozwiązań IT. Jest to istotne ze względu na migrację procesów biznesowych i rozwoju działalności gospodarczych w cyberprzestrzeni. Szeroka gama używanych technologii w istotny sposób komplikuje projektowanie, budowę i zarządzanie systemami zapewnienia bezpieczeństwa w cyfrowym świecie.

Przykładem może być szeroko komentowany atak na serwis Instagram, gdzie doszło do kradzieży danych uwierzytelniających w serwisie. Cyberprzestępcy wykorzystali błąd w starszej wersji aplikacji mobilnej Instagrama. Z systemu korzysta 700 milionów osób na całym świecie, przy czym codziennie aktywnych jest od 150 do 200 milionów, co obrazuje skalę zagrożenia. Materiały udostępniane w portalu służą do promocji, kontaktu z fanami, wykorzystywane są przez grupy o wspólnych zainteresowaniach, jak również jako substytut klasycznego albumu ze zdjęciami.
 
W związku z tym kwestie bezpieczeństwa danych są kluczowe dla milionów użytkowników wierzących w bezpieczeństwo danych osobowych, jak i gromadzonych multimediów, przetwarzanych i udostępnianych przez portal. Oprócz funkcji gromadzenia danych ważne jest kreowanie wizerunku. Odbywa się to niezależnie od tego czy jesteśmy osobą prywatną czy też powszechnie znaną. W ostatnich miesiącach nie tylko profile gwiazd światowego show–biznesu – np. Seleny Gomez, Adriany Grande, ale i popularnego sportowca Wojciecha Szczęsnego – zostały zhakowane na portalu Instagram. W poprzednich latach zostały przejęte konta m.in. blogerki Sary Boruc (2016). Nie wszystkie z gromadzonych zdjęć użytkownicy udostępniają publicznie. Niektóre z nich przechowują w prywatnych kolekcjach. Takie pikantne zdjęcia z komentarzem pojawiły się na profilach Seleny Gomez i Wojciecha Szczęsnego.
 
Luka występuje w aplikacji mobilnej Instagrama w wersji 8.5.1 opublikowanej w 2016 r. (bieżąca wersja to 12.0.0. ), lecz wielu użytkowników nie przykłada wagi do aktualizacji oprogramowania.
 
O problemach z bezpieczeństwem systemu Instagram pisał portal defence24 w maju 2016 r. Zgłoszone do właściciela portalu – Facebooka – błędy zostały usunięte, ale nie były to wszystkie usterki w kodzie systemu. Atak w 2016 r. dotyczył 7 mln kont zawierających zdjęcia, wideo i inne pliki.
 
Inne incydenty, które miały miejsce w 2016 r. dotyczyły użytkowników portalu mail.ru, gdzie skradziono dane 64 milionów kont, około 40 milionów wykradzionych haseł to konta klientów Yahoo, 33 mln – Hotmail, 24 mln – Gmail. Sumarycznie zagrożonych było około 272,3 mln kont e-mail. Musimy mieć świadomość, że wiele z luk w bezpieczeństwie systemów i aplikacji jeszcze nie zostało opublikowanych. Mogą być one wykorzystywane przez grupy przestępcze do czasu ich ujawnienia i narażać na straty użytkowników.
W takiej sytuacji skuteczną ochroną wrażliwych danych jest szyfrowanie. W przypadku nieuprawnionego dostępu do danych, które przechowane są w formie zaszyfrowanej, nie ma możliwości wglądu do nich. Pozostają bezpieczne mimo ich przejęcia.
 
Propozycję pozwalającą na rozwiązanie problemów związanych z bezpieczeństwem danych przesyłanych pomiędzy interesariuszami możemy znaleźć w ofercie rodzimej firmy, jest to UseCrypt, czyli rozwiązanie oparte o algorytm HVKM, który – dzięki zastosowaniu podziału klucza szyfrującego – uniemożliwia usługodawcy wgląd do danych klientów, wpływa bezpośrednio na zapewnienie pełnej poufności tych danych. Wykorzystuje on UST (UseCrypt Secure Tunel), czyli własny szyfrowany kanał transmisji danych pomiędzy użytkownikami. Ten polski system pozwala na bezpieczne przekazywanie danych wrażliwych. Każdy dokument składowany lub udostępniany w systemie zaszyfrowany jest bezpieczny. Stosowanie systemu gwarantuje, że poufne informacje zostaną udostępnione tylko upoważnionym osobom w postaci zaszyfrowanej. Poza wspomnianym szyfrowaniem, a następnie przechowywaniem danych w zaszyfrowanej na serwerze usługodawcy lub w infrastrukturze prywatnej, aplikacja zabezpiecza stacje robocze dzięki możliwości szyfrowania plików na dysku urządzenia.
 
Nie bez znaczenia jest fakt, że UseCrypt przeszedł pozytywnie testy penetracyjne przeprowadzone przez zespół Red Team firmy Delloite oraz uzyskał pozytywną opinię Wojskowej Akademii Technicznej i Instytutu Łączności – Państwowego Instytutu Badawczego.
 
Artur Szachno,
CISA ekspert ds. systemów bezpieczeństwa informatycznego i ochrony danych, UseCrypt
Foto: UseCrypt

Newsletter

Czy chcesz otrzymywać informacje o nowościach i ważnych wydarzeniach na naszej stronie?
Netplozja - wybuchowe strony internetowe

EMIL - Elektroniczny miesięcznik informacji logistycznej

EMIL - 12-2021EMIL - 12-2021EMIL - 11-2021EMIL - 11-2021EMIL - 10-2021EMIL - 10-2021EMIL - 09-2021EMIL - 09-2021Zobacz więcej publikacji

Bezpieczny Magazyn - miesięcznik o bezpiecznym magazynie

Zobacz więcej publikacji