Po įsilaužimo į svarbią „Facebook“ paskyrą – žvilgsnis į daugelio vartotojų pamėgtą funkciją

Praėjusią savaitę nuvilnijo žinia apie tai, kad programišiai įsilaužė į atsargos karininko Aurimo Navio „Facebook“ paskyrą.

Apie tikrąsias šio incidento priežastis kalbėti kol kas anksti, tačiau verta aptarti, nuo ko tokie įsilaužimai dažniausiai prasideda.  

Kartais nekaltai išsaugoti prisijungimo duomenys naršyklėje gali sukelti nemalonias pasekmes tiek privatiems asmenims, tiek ir įmonėms.

Pastarųjų dviejų savaičių neramumai skaitmeninėje erdvėje taip pat galėtų tapti geru paskatinimu prisiminti svarbiausius socialinių tinklų paskyrų ir kitų asmens duomenų apsaugos principus. 

Įsilaužus į slaptažodžių tvarkyklę, nebelieka kliūčių 

Įsilaužimui yra reikalingi įrankiai. Programišiai tam naudoja įvairias kenksmingas programėles, kurių veikimo principai gali būti skirtingi, tačiau tikslas visuomet toks pat – nuskaityti slaptažodžius, asmens duomenis ir kitą jautrią informaciją. 

Vienas iš pagrindinių taikinių tokiais atvejais – slaptažodžių tvarkyklės. Jas siūlo ne tik didieji mobiliųjų įrenginių gamintojai, bet ir daug nepriklausomų programinės įrangos kūrėjų.

Daugumos jų veikimo principas yra labai panašus – po pagrindinio slaptažodžio užraktu saugomi užkoduoti įvairių paskyrų prisijungimų duomenys. 

„Apple“ slaptažodžių tvarkyklėje saugoma užšifruota informacija vartotojui yra prieinama tik įvedus sugeneruotą kodą arba naudojant biometrinius duomenis.

Šis įrankis sukuria atsitiktinius sudėtingus slaptažodžius ir juos įsimena. Taip pat saugomi vartotojo prisijungimo vardai, kreditinių kortelių numeriai ir visa automatinio užpildymo informacija.

Slaptažodžių tvarkykles turi ir „Android“ telefonai (pvz., „Samsung Pass“), taigi jomis naudojasi absoliuti dauguma vartotojų. 

Saugumas – pagrindinis šių sistemų prioritetas. Pavyzdžiui, „Apple“ slaptažodžių tvarkyklėje duomenys yra apsaugoti šifravimu. Tam naudojamas pagal unikalią įrenginio informaciją sudarytas raktas, kuris yra susietas su prieigos kodu.

Pastarąjį žino tik pats vartotojas, todėl teoriškai niekas neturėtų pasiekti duomenų nei juos perduodant, nei saugant. Paskyrą taip pat galima papildomai apsaugoti dviejų žingsnių autentifikavimu.

Tik šia priemone taip pat reikia tinkamai naudotis. Svarbiausia, iššokus pranešimui apie bandymą prisijungti, neskubėti patvirtinti tapatybės. Vartotojas turi įsitikinti, kad tai yra tikrai jo inicijuotas prisijungimas.   

„iCould Keychain“ funkcija ar „Android“ įrenginiuose naudojamas jos analogas turėtų būti tarsi duomenų seifas telefone.

Teoriškai visas jo turinys turėtų būti pasiekiamas tik tam, kas turi raktus. Užfiksavus galimą įsilaužimą, visi slaptažodžių tvarkyklėje saugomi duomenys turėtų būti sunaikinti, tačiau tam pavojus, turi visų pirma būti pastebėtas.

Tuo pačiu reikia neužmiršti naršyklėje išsaugotų slaptažodžių. Turint omenyje, kad pagrindinė naršyklės paskirtis – leisti vartotojams patogiai naudotis internetu, o ne saugiai koduoti slaptažodžius.

Piktavaliams programišiams gali užtekti nuskaityti pastaruosius slaptažodžius bei panaudoti juos prieš privačius ar juridinius asmenis.  O tai – dar lengvesnis grobis įsilaužėliams. 

„Viskas vienoje vietoje“ – patogu, bet pavojinga 

Slaptažodžių tvarkyklės ilgą laiką buvo laikomos saugiomis, tačiau šios programos taip pat turi pažeidžiamų vietų. Itin populiaraus slaptažodžių saugojimo programos „LastPass“ kūrėjas yra tapęs tikru programišių taikiniu.

Jei įsilaužėliams galiausiai pavyks užvaldyti šios sistemos šifravimo raktus, jiems taps prieinami visi saugomų paskyrų prisijungimo duomenys ir slaptažodžiai.  

Galimybė sinchronizuoti slaptažodžius ir asmens duomenis skirtinguose įrenginiuose yra pagrindinis slaptažodžių tvarkyklių privalumas. Tuo pat metu tai yra ir didžiausias jų trūkumas.

Piktavaliams užtenka gauti prieigą prie vieno iš įrenginių ir visos vartotojo paskyros jiems taps lengvai pasiekiamos.

Nors dažniausiai kalbama apie įsilaužimo atvejus, tačiau toks pat pavojus kyla, pavyzdžiui, ir pametus įrenginį arba įvykus vagystei. Ekrano užraktai ir identifikavimo programos padidina saugumą, tačiau rizika visuomet išlieka.  

Mažinant ją reikėtų ne tik saugoti savo įrenginius, bet ir vengti slaptažodžių išsaugojimo svetimuose telefonuose, kompiuteriuose ar išmaniuosiuose televizoriuose.

Rasti „Youtube“, „Netflix“ ar „Spotify“ prisijungimai leidžia trinti ir keisti grojaraščius, skelbti komentarus kito asmens vardu ar pratęsti prenumeratos paslaugą. Jeigu prisijungiant buvo įvesti ir išsaugoti mokėjimo kortelės duomenys, jie gali būti panaudoti apsiperkant el. parduotuvėse.  

Dar didesnį pavojų kelia svetimame kompiuteryje išsaugoti prisijungimai prie socialinių tinklų ar el. pašto profilių.

Apsimesdami paskyros savininku piktavaliai gali kreiptis į artimuosius ir draugus finansinės pagalbos arba šantažuoti grasindami paskelbti jautrią asmeninę informaciją. Gali nutikti ir taip, kad už paskyros grąžinimą bus prašoma išpirkos. 

Tvarkyklės leidžia įvairiose paskyrose naudoti skirtingus ir sudėtingus slaptažodžius, todėl visiškai jų atsisakyti nereikėtų. Vienas iš variantų – išjungti jas svarbiausiose paskyrose.

Bet tuomet šioms paskyroms reikėtų naudoti ne tą patį slaptažodį, o renkantis naujus slaptažodžius laikytis pagrindinių taisyklių: naudoti kuo įvairesnius simbolius, didžiąsias raides, tyčia įvelti klaidų ir pasitelkti kuo įvairesnius derinius. Ir niekada nenaudoti tarp populiariausių slaptažodžių vis dar patenkančių „123456“ ar „qwerty“ sekų.  

Komentaro autorius: „Baltic Amadeus“ informacijos saugumo architektas Tomas Stamulis