Egy közelmúltban nyilvánosságra hozott adatsértési incidens tökéletesen megmutatja, hogyan működik a pillangó-effektus a behálózott világban. Egy jelentéktelennek tűnő incidens hatására a világ egy másik pontján súlyos adatszivárgás/adatlopás miatt kell intézkedéseket hozni. Feltörték a Canon egyik alkalmazottjának a postafiókját, ami végül ahhoz vezetett, hogy a GE ezernyi jelenlegi és volt dolgozójának, valamint a különböző vállalati kedvezményekbe, juttatásokba bevont hozzátartozóiknak rendkívül érzékeny adatai kerültek illetéktelen kezekbe – írta a CISO Mag.

És ha a pillangó-effektus beindul, a GE-nél itt nem lesz vége a történetnek. A vállalat ugyanis számos iparág legjelentősebb beszállítója (orvosi képdiagnosztikai eszközök vezető globális szállítója, kritikus infrastruktúrához is szállít kulcsfontosságú elemeket, érdekelt a polgári és katonai repülésben stb.), és a lopott adatokban ezekhez a partnercégekhez is lehetnek "kulcsok".

Bedolgozásból lett a baj

A GE és a Canon az adatok terén elég nagy felületen érintkezik. A Canon Business Process Services nevű leányvállalata dolgozta fel ugyanis a GE jelenlegi és volt alkalmazottainak, valamint a különböző vállalati ellátásokra jogosult kedvezményezetteknek a dokumentációját.

Az adatszivárgáshoz csak annyi kellett, hogy illetéktelen személyek hozzáférjenek a Canon BPS egy olyan alkalmazottjának az email fiókjához, aki a GE-adatok karbantartásán dolgozott. Az ügy azért is kacifántos és beláthatatlan hatású, mert nem egyszerűen csak egy-egy érzékeny adat jutott illetéktelen kezekbe, hanem minden érintettről egy olyan komplex adathalmaz, amiből szinte tökéletesen megalkotható a digitális (ál)profiljuk, amivel további visszaélések sorát lehet elkövetni.

Megszerezték többek között az érintett személyek nevét, címét, társadalombiztosítási számát, útlevélszámát, jogosítványszámát, bankszámlaszámát, születési idejét is. Csakhogy az adatok sora itt még nem ért véget. Mint a General Electric HR-igazgatója, Paul Davies által jegyzett közlemény írja, olyan adatok is kikerültek mint születési, házassági és halotti anyakönyvi kivonatok, különböző juttatási kérelmek, adózási információk, béren kívüli juttatásokra vonatkozó adatok (nyugdíj, végkielégítés, halálesettel kapcsolatos juttatások) stb.

Az elkövetők egyelőre ismeretlenek, de a cégek szerint egyelőre semmi sem mutat arra, hogy az adatokkal más támadások során visszaéltek volna. Az viszont erősen kétséges, amit a HR-igazgató a hatással kapcsolatban ír: tudniillik, hogy a GE rendszereit, valamint az ott tárolt személyes információk biztonságát nem befolyásolja a Canonnál történt incidens.

Mire jó ennyi adat?

A kiberbűnözők számára egy ilyen adatkészlet nagyon nagy kincs, mivel rájuk építve számtalan további támadást lehet felépíteni az adathalászattól kezdve a személyazonosság-lopáson át akár a pénzügyi, banki és biztosítási visszaélésekig. Ráadásul olyan adatokkal dolgozhatnak, melyeket hosszabb távon is tudnak használni: még egy bankszámlaszám módosítása sem egyszerű, az olyan adatoké pedig egyszerűen lehetetlen, mint az útlevélben szereplő azonosító adatok, vagy a társadalombiztosítási szám. (A témával korábban itt foglalkoztunk alaposabban.)

Ezeknek az adatoknak a birtokában nem csak a GE-t lehet támadni. Potenciális fenyegetést jelentenek azokra a vállalatokra is, akik az adatszivárgási incidensben érintett alkalmazottakon keresztül tartanak üzleti kapcsolatokat a GE-vel. Erre hívja a fel a figyelmet Graham Cluley brit infobiztonsági megmondóember is a Tripwire biztonsági cég vállalati blogján írt cikkében.

Az ilyen adatsértések után a vállalatoknak nem csak a saját biztonságuk miatt kell aggódniuk – írta Cluley. Joggal merül fel ugyanis a kérdés, hogy vajon mennyire hatékonyan védik az egyes partnercégek a velük megosztott érzékeny adatokat. Ez azért is fontos kérdés – fejtegeti a brit szakértő –, mert ma nagyon kevés olyan cég van, amely a napi üzleti tevékenységét harmadik felek segítsége nélkül tudja kezelni.

Miután az incidensre fény derült, a GE felvette a kapcsolatot a Canonnal, hogy mielőbb azonosíthassák az érintettek körét, a Canon pedig külső adatbiztonsági szakértők bevonásával indított vizsgálatot a támadás részleteinek feltárásához. Minden érintett kap személyazonosság-védelmi és hitelfigyelési szolgáltatást – igaz, a számlát a Canon állja.