4 sposoby na wyciek danych firmowych z przytupem

Kilka historii o tym, jak łatwo można przez przypadek doprowadzić do wycieku wrażliwych informacji w przestrzeni publicznej.

Jeśli udostępnisz zdjęcie biletu na koncert w serwisie Instagram, nie zakrywając kodu kreskowego, ktoś może pójść na niego za Ciebie. Tak samo może się stać, gdy zakryjesz wspomniany kod, ale przy użyciu niewłaściwego narzędzia.

Warto więc pamiętać o odpowiednim zakryciu kodu kreskowego przed pochwaleniem się jakimikolwiek biletami. Są jednak sytuacje, gdy umieszczasz w internecie zdjęcie i nie zauważasz, że widnieje na nim wspomniany bilet lub, na przykład, kartka samoprzylepna z zapisanym na niej haśle. Oto kilka przypadków, w których ludzie opublikowali w internecie dane poufne, nie zdając sobie z tego sprawy.

1. Publikowanie zdjęć z hasłem w tle

Zdjęcia i filmy zrobione w biurach i innych budynkach ujawniają hasła i tajemnice znacznie częściej, niż myślisz. Pstrykając fotki znajomym, niewiele osób zwraca uwagę na tło, a efekty mogą wpędzać ich w zakłopotanie lub… kłopoty.

Wywiad wojskowy

W 2012 roku taka niezręczna sytuacja przydarzyła się siłom lotniczym Wielkiej Brytanii. Na zdjęciach przedstawiających księcia Williama, który służył wówczas w jednostce RAF, upubliczniono dane logowania do systemu MilFLIP zawierającego informacje o lotnictwie wojskowym. Nazwa użytkownika i hasło zapisane na kawałku kartki ozdabiały ścianę za księciem Cambridge.

Wkrótce po publikacji na oficjalnej stronie internetowej rodziny królewskiej zdjęcia zostały zastąpione wersją wyretuszowaną, a dane logowania zostały zmienione. Nie wiadomo, czy ponownie zawisły na ścianie.

Dane logowania do MilFLIP jako dekoracja wnętrza. Źródło

Incydent z księciem Williamem nie jest unikatowy. Mniej znany personel wojskowy również udostępnia tajemnice w internecie, zarówno z pomocą prasy, jak i osobiście. Na przykład jeden z oficerów opublikował w sieci społecznościowej selfie na tle monitorów wyświetlających tajne informacje. Żołnierz wyszedł z tego obronną ręką, trafiając na kurs dokształcający.

Wyciek na wizji

W 2015 roku francuska stacja telewizyjna TV5Monde padła ofiarą cyberataku. Nieznane osoby zhakowały i oszpeciły stronę internetową tej organizacji i jej stronę w serwisie Facebook, a także zakłócały transmisję przez kilka godzin.

Następne wydarzenia sprawiły, że historia ta stała się farsą. Pracownik TV5Monde udzielił reporterom wywiadu na temat ataku — a za nim można było dostrzec hasła do profili firmy w mediach społecznościowych. Na zdjęciach tekst jest trudny do odczytania, ale znaleźli się entuzjaści, którzy odczytali hasło do konta firmy TV5Monde w serwisie YouTube.

Nawiasem mówiąc, była to również lekcja, jak nie tworzyć haseł: tajna fraza brzmiała „lemotdepassedeyoutube”, co można przetłumaczyć jako „haslodoyoutube”. Na szczęście należące do firmy konta w różnych serwisach pozostały nietknięte. Jednak historia z hasłem w tle to dobry przykład w temacie początków cyberataku.

Pracownik TV5Monde udziela wywiadu na tle haseł. Źródło

Podobny incydent miał miejsce tuż przed wydarzeniem Super Bowl XLVIII, w 2014 roku, gdy wewnętrzne dane logowania do stadionowej sieci Wi-Fi wpadły w obiektyw operatora kamery. Co gorsza, autorem materiału było centrum dowodzenia odpowiedzialne za bezpieczeństwo wydarzenia.

Dane logowania do sieci Wi-Fi wyświetlane na ekranie w centrum dowodzenia stadionu. Źródło

2. Używanie opasek fitnessowych

Urządzenia, których używamy do monitorowania stanu zdrowia, mogą umożliwiać osobom postronnym monitorowanie nas, a nawet zdobywanie danych poufnych, takich jak kod PIN do karty kredytowej odczytany po ruchu ręki. Oczywiście ten ostatni scenariusz jest bardzo mało prawdopodobny.

Jednak wycieki danych związanych z lokalizacją tajnych obiektów niestety są realne. Na przykład aplikacja do fitnessu, o nazwie Strava, posiadająca bazę ponad 10 milionów użytkowników, oznacza trasy biegania użytkowników na publicznej mapie. Ponadto wskazuje także lokalizację baz wojskowych.

Mimo że aplikację można skonfigurować tak, aby ukrywała pokonywane trasy, wygląda na to, że nie wszyscy użytkownicy w mundurach znają te sztuczki technologiczne.

Trasa poruszania się żołnierzy w amerykańskiej bazie wojskowej w Afganistanie pokazana przez mapę ciepła w aplikacji Strava. Źródło

W kwestii wycieków warto też przytoczyć przypadek z 2018 roku, w którym Pentagon zwyczajnie zakazał rozmieszczonym żołnierzom amerykańskim używania opasek fitness. Oczywiście dla osób, które nie spędzają czasu w bazach wojskowych Stanów Zjednoczonych, rozwiązanie to może być przesadą. Jednak my zalecamy poświęcenie czasu na skonfigurowanie ustawień prywatności w aplikacji do fitnessu.

3. Przesyłanie metadanych

Bardzo łatwo jest zapomnieć (lub w ogóle o tym nie wiedzieć), że tajne informacje mogą czasami być ukryte w informacjach o plikach, zwanych metadanymi. W szczególności zdjęcia zawierają często współrzędne miejsca, w którym zostało zrobione zdjęcie.

W 2007 roku amerykańscy żołnierze opublikowali w internecie zdjęcia helikopterów przybywających do ich bazy w Iraku. Metadane tych zdjęć zawierały dokładne współrzędne lokalizacji. Według jednej z wersji wydarzeń informacje te zostały użyte we wrogim ataku, który kosztował Stany Zjednoczone cztery helikoptery.

4. Nadmierne publikowanie w mediach społecznościowych

Niektórych sekretów można dowiedzieć się, zwyczajnie przeglądając czyjeś grono znajomych. Na przykład jeśli sprzedawcy z danego regionu nagle zaczynają pojawiać się na liście znajomych menedżera firmy, konkurencja może wywnioskować, że organizacja ta szuka nowych rynków i próbuje zdobyć swój kawałek tortu.

W 2011 roku dziennikarka magazynu Computerworld, Sharon Machlis, przeprowadził eksperyment, którego celem było zebranie danych dostępnych w serwisie LinkedIn. W zaledwie 20 minut przeglądania strony poznała ona liczbę moderatorów for internetowych należących do firmy Apple czy konfigurację firmowej infrastruktury kadrowej.

Jak przyznaje autorka, nie znalazła na przykład tajemnic handlowych, jednak Apple chwali się poważniejszym traktowaniem kwestii prywatności niż przeciętna firma. Tymczasem z obowiązków firmowych wiceprezesa HP, także znalezionego w serwisie LinkedIn, każda osoba mogła dowiedzieć się, nad jakimi usługami chmurowymi pracowała firma.

Jak unikać przypadkowego udostępniania danych

Wiele informacji na temat firmy mogą niechcący udostępnić jej pracownicy. Aby tajemnice nie stały się wiedzą powszechną, ustaw ścisłe reguły publikowania informacji w internecie i poinformuj o nich cały zespół:

  • Podczas robienia zdjęć i kręcenia filmów, które mają trafić do mediów społecznościowych, upewnij się, że w zasięgu obiektywu nie znalazło się nic niepożądanego. To samo dotyczy sytuacji, gdy ktoś fotografuje lub filmuje Ciebie lub biuro. Za to, że Twoje hasła będą krążyć w internecie, możesz ponieść surowe konsekwencje. Zatem nie licz na litość dziennikarzy i rób zdjęcia w miejscach do tego przeznaczonych. Jeśli w firmie nie ma takiego miejsca, przynajmniej przyjrzyj się najpierw ścianom i biurkom.
  • Zwracaj także uwagę na to, co mogą widzieć inne osoby podczas wideopołączeń i telekonferencji, bez względu na to, z kim rozmawiasz.
  • Ukryj wrażliwe kontakty osobiste i firmowe w sieciach społecznościowych. Pamiętaj, że konkurencja, oszuści i ogólnie osoby źle Ci życzące mogą ich użyć przeciwko Tobie.
  • Zanim udostępnisz plik, usuń jego metadane. Na komputerze Windows możesz skorzystać z właściwości pliku; w przypadku smartfonów musisz skorzystać ze specjalnej aplikacji. Twoi czytelnicy nie muszą wiedzieć, gdzie zdjęcie zostało zrobione i na czyim komputerze dokument został utworzony.
  • Zastanów się, czy chwalenie się sukcesami w pracy może zdradzić tajemnice handlowe. Na pewno nie warto szczegółowo się rozpisywać.

Pracownicy z kolei powinni wiedzieć, które informacje są poufne, a także wiedzieć, jak z nimi postępować. W naszej platformie zwiększającej świadomość kwestii bezpieczeństwa znajdziesz poświęcony temu tematowi specjalny rozdział.

Porady