A lefoglalt okostelefonokat úgy árverezték el, hogy azon rajta volt az eredeti tulajdonos minden adata – az áldozataikról összegyűjtött információk is!
Hirdetés
 

A Marylandi Egyetem nem véletlenül kutatóegyetem, és nem véletlenül van Washington közelében: egy sor, az államnak (is) fontos kutatást végez. Egy friss tanulmányukban azt vizsgálták, hogy a rendőrség hogyan kezeli adatbiztonsági szempontból a lefoglalt elektronikus eszközöket, mindenekelőtt a mobilokat. A summás eredmény: sehogy. Az okostelefonokat például úgy árverezték el, hogy semmit sem töröltek róluk. Az illetékesek azonban a kritika hatására hamut szórtak a fejükre, és letették a nagyesküt, hogy mostantól nagyon odafigyelnek, és elvégzik az adattörlést.

A rend őrei annak ellenére nem foglalkoztak az érzékeny adatok kikerülésével, hogy az USA-ban jó ideje létezik előírás arra vonatkozóan, mikor kell ún. minősített adattörlést végezni (az EU-ban a GDPR-nek vannak erre vonatkozó előírásai).

Az egyetem kutatói gyakorlati kísérletet végeztek. Fillérekért (átlagosan 18 dollárért) vettek 228 okostelefont a PropertyRoom.com-on, amely az USA egyik legnagyobb rendőrségi aukciós portálja. A készülékeket alaposan bevizsgálták. 49 készüléket nem védett PIN-kód vagy jelszó, 11 PIN-kódot kitaláltak, mert szerepeltek a 40 legnépszerűbb PIN-t tartalmazó listán. Összesen 61 készülékhez fértek hozzá a legegyszerűbb módszereket használva. (Állításuk szerint komolyabb hekkermódszerekkel a beszerzett mobilok jelentős részét fel tudták volna törni.) Így aztán gyorsan kiderült az is, hogy a készülékek többségéről nem is töröltek semmit – és ez valószínűsíthetően így van a fel nem tört 167 telefonnál is.

Komplett forgatókönyvek egy újabb támadáshoz

A kutatócsapat hozzáfért mindenféle szöveges üzenetekhez, képekhez, e-mailekhez, böngészési előzményekhez, helymeghatározási előzményekhez stb. Az adatok között számos olyant találtak, amely konkrét bűncselekményekre vonatkozott – például az áldozatok adatait.

És itt jön a képbe az, hogy miért kerültek ezek a készülékek a rendőrséghez. Nem csak a drogdílerek kommunikációhoz használt telefonját foglalták le, hanem olyan készülékeket is, melyeket például személyazonosság-lopáshoz használtak. Sok telefonon voltak személyes információk korábbi vagy tervezett bűncselekmények célpontjairól. Tucatnyi készülékről kerültek elő kormányzati hivatalnokok igazolványainak fényképei. Három készülék közülük valószínűsíthetően szexmunkásoké volt, akik a kliensekkel folytatott kommunikáció egy részét is rögzítették.

Az egyik telefonon nyolc ember teljes hiteltörténete, egy másikon olyan képernyőkép, amelyen 11 lopott hitelkártya látható (valószínűleg egy dark netes "bolt" küldte az érdeklődőnek), a harmadikon egy Telegram-csoport komplett beszélgetése, benne egy részletes útmutatóval arról, hogyan kell személyazonosság-lopást végrehajtani...

A kutatók szerint ha egy ilyen eszköz egy gyakorlott bűnöző kezébe kerül, újra elkövetheti vele azokat a bűncselekményeket, melyeket az előző tulajdonos, főleg amikor az áldozat adatai is ott vannak.

Mint a kutatócsapat egyik tagja mondta Brian Krebs IT-biztonsági szakírónak, annyi eredménye már volt a kutatásuknak, hogy a PropertyRoom.com felülvizsgálta a gyakorlatát. Az újabb próbavásárlásnál már csupán négy olyan készüléket találtak, amit nem tisztítottak le teljesen.

Biztonság

MI buktatja le a tudományos cikkeket író ChatGPT-t

Sárkány ellen sárkányfű - gondolta egy tudóscsapat, és betanított egy algoritmust arra, hogy kiszúrja a generatív mesterséges intelligenciával gyártott kamu tudományos cikkeket.
 
Hirdetés

Sokkolja a magyar cégeket, hogy ilyen támogatás is létezik

Mennyibe kerülhet, hogy a hoszting szolgáltató éjjel-nappal 60 másodpercen belül felvegye nekünk a telefont, és vezető rendszergazdái azonnal foglalkozzanak a problémánkkal? A vshosting~ szerint nem is biztos, hogy annyira sokba.

Valószínűleg soha. A piackutatók szerint a felhő mellett is dinamikusan növekszik a hosting iránti igény.

a melléklet támogatója a vshosting

Létezik egy ortodox irányzat, mely szerint a jelszavak legyenek minél hosszabbak és összetettebbek, valamint cseréljük azokat minél gyakrabban. Valóban ettől lesznek a rendszereink biztonságosabbak? Pfeiffer Szilárd (Balasys) írása.

Miért ne becsüljük le a kisbetűs jelszavakat? 2. rész

Miért ne becsüljük le a kisbetűs jelszavakat? 3. rész

A felmérésekből egyre inkább kiderül, hogy az alkalmazottak megtartása vagy távozása sokszor azon múlik, amit a szervezetük nem csinál, nem pedig azon, amiben egymásra licitál a többi munkáltatóval.

Ezért fontos számszerűsíteni a biztonsági kockázatokat

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2023 Bitport.hu Média Kft. Minden jog fenntartva.