W lipcu 2019 roku badacz Sam Jadali odkrył, że niektóre rozszerzenia dla przeglądarek Chrome i Firefox gromadzą historię przeglądania i wysyłają ją firmie zewnętrznej. Co więcej, znalazł platformę, na której takie dane są kupowane i sprzedawane.
Może to się dziać potajemnie. A jeśli atakujący zorientuje się, że jeden z Twoich pracowników otworzył stronę kontrahenta lub zalogował się do konta firmowego w sieci społecznościowej? Wtedy zdobędzie tylko adres, więc teoretycznie to nie problem. W praktyce jednak zdarza się, że takie rozszerzenia udostępniają wewnętrzne dane firmowe. Jak to się odbywa?
Łącza, które ujawniają o Tobie wszystko
Sieci społecznościowe i oficjalne strony internetowe Twoich kontrahentów i partnerów prawdopodobnie nie ujawniają żadnych poufnych informacji. Bardziej należy zwracać uwagę na strony „zamknięte”, do których dostęp jest możliwy tylko poprzez unikatowe łącza. Mogą one zostać użyte do zdobycia informacji. W rzeczywistości jedyną rzeczą, która sprawia, że mają one uchodzić za bezpieczne, jest ich niejawność: osoby z zewnątrz nie znają ich adresów. Oto kilka przykładów takich stron.
Konferencje internetowe
Załóżmy, że Twoja firma intensywnie korzysta z konferencji internetowych, podczas których pracownicy z różnych działów omawiają bieżące plany, organizuję tzw. burzę mózgów czy zwyczajnie otrzymują informacje z zarządu. Istnieje wiele platform umożliwiających zorganizowanie takich konferencji. W niektórych przypadkach potrzebny jest klucz dostępu, jednak małe firmy często używają darmowych lub budżetowych rozwiązań, które wymagają posiadania tylko łącza zawierającego unikatowy identyfikator spotkania, wysyłany przez organizatora do wszystkich zainteresowanych. To wystarczy, aby móc uczestniczyć w wydarzeniu.
A teraz wyobraź sobie, że jeden z pracowników, który otrzyma takie łącze, ma w swojej przeglądarce zainstalowane rozszerzenie, które zdobywa informacje dla osób postronnych. Gdy taka osoba dołączy do konferencji, pozbawiona skrupułów wtyczka wysyła swój adres na giełdę. Ktoś, kto chce zgromadzić informacje na temat Twojej firmy lub szuka okazji, by kupić historię przeglądarki Twojego pracownika, może się z niej dowiedzieć, że właśnie odbywa się jedno ze spotkań, do którego może dołączyć.
Osoba, która kupi takie łącze, z pewnością bez problemu dołączy do spotkania. Oczywiście pozostali uczestnicy otrzymają powiadomienie, że ktoś dołączył do wydarzenia, jeśli jednak uczestniczy w nim kilkadziesiąt osób, a wzajemnie się one nie znają, nikt raczej nie zapyta, kim jest nieznajomy. W efekcie wszystko, co zostanie powiedziane podczas konferencji, usłyszy również osoba nieuprawniona.
Faktury online od dostawców
Część kontrahentów Twojej firmy może korzystać z serwisów do wyciągów online. W niektórych faktury można zobaczyć przy użyciu unikatowego łącza, które nie jest publicznie dostępne. Jeśli atakujący posiada dostęp do takiej faktury, może poznać nazwę i adres Twojej firmy oraz firmy dostawcy, kwotę i inne informacje.
Prawdą jest, że w większości przypadków jeśli takie informacje wpadną w niepowołane ręce, nie stanie się nic złego. Jednak dla kogoś, kto potrafi stosować socjotechnikę, faktury takie zawierają cenne informacje.
Dokumenty związane z pracą
Wiele firm wykorzystuje serwisy online typu Dysk Google do współpracy. Teoretycznie umożliwiają one ograniczenie dostępu do plików, tak aby osoby niepowołane nie mogły ich otworzyć. Jednak nie każdy nakłada takie ograniczenia na pliki współdzielone. Często każda osoba dysponująca takim łączem do pliku może wyświetlać, a nawet edytować dokument.
Z kolei wspomniany dokument może zawierać różne informacje, od cenników po dane osobiste pracowników.
Jak zapewnić sobie bezpieczeństwo przed wyciekami danych na dużą skalę
Aby zminimalizować ryzyko takiego wycieku, przypomnij pracownikom, aby z ostrożnością podchodzili do kwestii instalacji jakichkolwiek rozszerzeń przeglądarki, a także że mogą ustawić w serwisach online ograniczenie dostępu do dokumentów, zanim je udostępnią. Najlepsze podejście to takie, w którym akceptowane jest używanie wtyczek znajdujących się na specjalnie przygotowanej liście oraz zablokowanie pozostałych, które stwarzają potencjalne zagrożenie.
Ponadto warto przeprowadzić analizę serwisów online, jakie wykorzystuje firma, i znaleźć te, które umożliwiają dostęp poprzez łącze bez konieczności autoryzacji. Jeśli serwis umożliwia dostęp każdej osobie posiadającej link, poszukaj bezpieczniejszej alternatywy.
Oprócz tego należy zainstalować na każdym komputerze w firmie niezawodne rozwiązanie bezpieczeństwa, które zablokuje wszelkie próby instalacji szkodliwych rozszerzeń oraz innych cyberzagrożeń.