Deși toată lumea vorbește despre ele, puțini știu ce este o breșă de securitate cu adevărat.
Publicul larg a auzit prima dată despre breșe de securitate odată cu zumzetul stârnit de GDPR. Citind diverse articole, publicul află că firma X nu a protejat corect datele cu caracter personal colectate de la clienți și că bazele de date cu acestea au ajuns poate să fie vândute ilicit în site-uri obscure, la care nu au acces muritorii de rând. Sau că datele furate au fost folosite pentru a păcăli oamenii să plătească Bitcoin. Sau pentru a goli conturile bancare ale oamenilor. Sau pentru a le instala viruși, keyloggers și alte trăznăi malevolente pe calculatoare.
Necunoașterea tehnică privind funcționarea bazelor de date, a internetului, a mailului, a sistemelor de securitate în general, precum și aura de mister și pericol ascuns pe care o au buzzwords ca: „hackeri”, „phishing”, „Bitcoin”, „dark web”, a determinat publicul neavizat să vadă breșe de securitate în orice, și să invoce GDPR în situații în care nu este cazul. Iată, deci, cum încă o expresie a intrat în uzul colectiv fără să fie suficient de bine înțeleasă. Acest articol are menirea de a clarifica pe scurt și pe înțelesul tuturor ce este și mai ales ce nu este o breșă de securitate.
Ce este o „breșă de securitate”
O breșă de securitate este situația în care date din baze de date sau baze de date întregi sunt expuse. Cheia aici este că „sunt expuse”, adică pot fi accesate sau au fost accesate fără drept, fie pentru că nu au fost protejate deloc, fie pentru că cineva le-a dezvăluit fără să vrea sau cu voie, fie pentru că nu au fost protejate corespunzător și un individ bine pregătit tehnic și cu intenții rele a reușit să treacă de protecție.
Asta este o breșă de securitate. Nimic altceva.
Ce NU este o „breșă de securitate”
Spamul în general NU ESTE breșă de securitate, deși e foarte enervant să primești mesaje comerciale nesolicitate. În general NU SUNT breșe de securitate tentativele de fraudă și nici cele de infectare cu malware (mailuri cu atașamente de tip .jar, .exe etc). Toate aceste mailuri încearcă să impersoneze firme (spoofing), să păcălească userii, să-i sperie ca să acționeze într-un anume fel (de obicei să plătească diverse sume sau să divulge de bună voie date sensibile – datele cardului, parole etc).
Mailurile de tip phishing / spoofing NU SUNT de obicei breșe de securitate ale firmei pe care încearcă să o impersoneze. De obicei, aceste mailuri sunt fie trimise „la plesneală”, către baze de date obținute din breșe de securitate ale altor companii, fie sunt generate automat (și, uneori, țintit) după liste publice de domenii, folosind uzualele office@, sales@, info@, contact@ și chiar și nume uzuale, din baze de date mai vechi (agende telefonice publice digitalizate, contacte publice din liste de firme etc). Cu alte cuvinte, dacă primești un mail dubios care pare că e de la o firmă mare al cărei client ești, de obicei nu este nici vina și nici breșa de securitate a firmei respective.
De ce funcționează? Pentru că cei care nu sunt clienți vor șterge mesajele primite, fiindu-le evidentă încercarea de fraudă, iar cei care sunt clienții firmei în cauză se sperie de mesajul primit și unii chiar cad în plasă, mai ales dacă mailul este binișor făcut (și sunt din ce în ce mai bine făcute, chiar cu site-uri care seamănă cu ale firmelor pe care le impersonează). Clienții WEBGROW sunt obișnuiți să sune imediat sau să ne forwardeze mailurile ciudate înainte de a da clickuri pe orice link dintr-un mail dubios, iar noi trimitem notificări atunci când apare câte o situație mai deosebită (firme românești, mailuri de phishing foarte bine făcute, metode noi de phishing etc).
De reținut, așadar: în general, mailurile de tip phishing, scam, spam, cele cu viruși în atașament NU SUNT datorate unor breșe de securitate (pentru ce înseamnă, pe scurt phishing, scam, spam etc, vezi mai jos, în Micul Glosar de la finalul articolului).
Pe scurt:
- Dacă ți-ai dat datele de logare crezând că ești pe site-ul furnizorului de telefonie sau internet după ce ai dat click într-un mail care îți spunea că ți se suspendă serviciile, nu este breșa de securitate a furnizorului de telefonie sau internet, ci neatenția ta.
- Dacă ți-ai dat datele cardului după ce ai dat click într-un mail care părea de la banca ta, nu este breșa de securitate a băncii, ci neatenția ta.
- Dacă ai plătit Bitcoin pentru că ai primit un mail în care ți se spunea că ești filmat uitându-te la ceva XXX, nu este breșa de securitate a Yahoo-ului sau a Gmail-ului, ci neatenția ta, și nu te mai uita la porcării online, oricum.
Mic Glosar
- scam – orice tentativă de fraudă online, în general prin e-mail
- phishing – tentativă de fraudă prin e-mail, prin care se încearcă păcălirea destinatarului pentru a-l determina să dea de bună voie date sensibile (date de card, parole etc)
- spoofing – tentativă de fraudă prin e-mail, prin care se încearcă impersonarea unei firme de încredere, de obicei o firmă mare, pentru a obține date sensibile de la destinatarul păcălit (date de card, parole etc)
- spam – mesaj comercial nesolicitat
- virus pe mail / mail cu virus – mail care are atașat un virus, de obicei sub formă de fișier executabil