Czy takie dane mogą się komuś do czegoś przydać?
Mając imiona i nazwiska oraz adresy e-mail zapisane na urządzeniu, wystarczyło trochę “pogooglać”, aby dowiedzieć się, że niektórzy z użytkowników byli osobami publicznymi pracującymi dla rządu państwa, w którym przebywał ekspert z Kaspersky Lab. Co gorsza, większość sesji online nadal była otwarta, co pozwalało na wysyłanie wiadomości (także na portalach społecznościowych) w imieniu poprzedniego użytkownika.
Z punktu widzenia bezpieczeństwa takie działania są nie do przyjęcia. Potencjalny atakujący mógł nie tylko przeczytać wysyłane i otrzymywane wiadomości, ale również podszyć się pod ofiarę, wysyłając wiadomości w jej imieniu. To również doskonała okazja dla osoby zbierającej dane osobiste w celu wykorzystania ich do przeprowadzania ataków ukierunkowanych na znane osoby. Z drugiej strony, gdyby potencjalny atakujący wywodził się z klasycznych kręgów cyberprzestępczych, mógłby szantażować swoje ofiary. Co więcej, mógłby zrobić to z ogromną łatwością, ponieważ posiadałby wszelkiego rodzaju dane dotyczące ofiar, w tym tytuły filmów pornograficznych oglądanych w określonym dniu i o określonej godzinie. A biorąc pod uwagę to, że niektóre z potencjalnych ofiar to osoby publiczne pracujące dla rządu, taki szantaż miałby spore szanse powodzenia.
Gdzie popełniono błąd?
Co zatem ci użytkownicy zrobili nie tak? Można powiedzieć, że wszystko. Po pierwsze, nie jest rozsądne korzystać z darmowego urządzenia publicznego do celów związanych z prywatną komunikacją. Nigdy nie wiadomo, czy na urządzeniu nie znajduje się trojan ani kto stoi za taką gościnnością. Po drugie, jeśli obiekt publiczny chce oferować swoim gościom darmowe urządzenia przenośne na czas ich pobytu, istotne jest, aby przede wszystkim takie urządzenia były poprawnie skonfigurowane i ujęte w rozsądnych politykach bezpieczeństwa, z takimi założeniami jak nieprzechowywanie informacji osobistych, niezapisywanie haseł itd.
“Może jestem zbyt podejrzliwy, ale mając w swoim pokoju nieznane i niezabezpieczone urządzenie, takie jak tablet, które dodatkowo jest wyposażone we wbudowaną kamerę i mikrofon, wolałem je wyłączyć i schować do szuflady” – wspomina Dmitrij Bestużew, analityk zagrożeń, Kaspersky Lab.