Tudja a kedves olvasó, mi a 21. század hét legnagyobb adatlopásának közös jellemzője? Mindegyikben szerepet játszott az úgynevezett rendszergazdai azonosító ellopása (privileged identity theft), vagyis illetéktelen hozzáférés a jogosultsági hierarchiában magasan állók felhasználói fiókjaihoz. Az erős háttérrel, egyes esetekben állami támogatással lezajlott incidensek során a profi támadók jellemzően kiemelt felhasználói fiókokhoz fértek hozzá, aminek segítségével hatalmas mennyiségű adatot voltak képesek összegyűjteni és kihozni a célba vett szervezetekből.

Noha nehéz pontosan felmérni az adatlopások hatását, milliárdos nagyságrendű tételekről van szó. Többek között hitel- és bankkártya adatok, felhasználói azonosítók, alkalmazotti információk, egyészségügyi rekordok szivárogtak így ki. Köszönhetően a kiemelt felhasználói fiókokhoz való illetéktelen hozzáférésnek, a támadók ipari méretekben szivattyúzhatják ki az információkat, melyek között szinte biztosan akadnak számukra nagyon értékes, vagy éppen könnyedén értékesíthető adatok.

Az amerikaiak zöme érintett

A Forrester piackutató cég elemzése szerint az összes adatlopás négyötöde (80 százalék) során valamilyen formában kiemelt felhasználói azonosítókhoz fértek hozzá a kiberbűnözők. A célzott támadások vagy a folyamatos fenyegetést jelentő fejlett támadások (APT) számos területen fejtették ki negatív hatásukat.

Egy nagy, webszolgáltatásokat nyújtó vállalat renoméját pár éve tépázta meg egy incidens. Amint arról írtunk, 2016 szeptemberében derült ki, hogy a Yahoo mintegy félmilliárd felhasználójának adatai szivárogtak ki. Ráadásul három hónappal később az is napvilágot látott, hogy az előző esettől függetlenül egy második adatlopást is kénytelen volt elszenvedni a webes vállalat, melynek következtében egymilliárd felhasználó információihoz fértek hozzá a támadók. Az FBI beszámolója rávilágított: az egész akció egy, a vállalati hierarchiában középszinten álló alkalmazott célzott megtámadásán alapult, rajta keresztül tudták végrehajtani tervüket a hekkerek. Ezzel közvetve sok százmillió dolláros értékcsökkenést idéztek elő az akkor eladósorban álló vállalatnál.

Hasonló sémát lehet felfedezni annál a nemzetközi e-kereskedelemben érdekelt cég esetében, melyet a 2010-es évek közepén ért utol a rosszakarók virtuális keze. A kibertámadók hozzáfértek pár eBay-alkalmazott bejelentkezési adataihoz, melynek révén jogosulatlan hozzáférést szerezve 150 millió felhasználó digitális bejegyzéseit kaparinthatták meg. Noha az eBay nem állt nyilvánosság elé a támadás részleteivel, a szakértők szerint a támadók kiemelt felhasználói fiókok révén érték el céljaikat.

Információtengerben dúskáló kiberbűnözők

Külső partner lett a veszte a Target nevű, amerikai kereskedelmi láncnak, melynek belső hálózata kiemeltazonosító-lopás miatt kompromittálódott. A támadók számos kiszolgáló felett vették át az ellenőrzést, és ezáltal ártó programokat telepítettek az áruházakban levő PoS terminálokra. Az eredmény: 100 millió ellopott bankkártyaadat, plusz a személyi következmények. A vállalat vezérigazgatója ugyanis kénytelen volt lemondani, az eset elhárításának költsége pedig végül 300 millió dollárra rúgott.

Hasonlóképpen járt a JP Morgan Chase is. Egyetlen alkalmazottjuk számítógépét kellett csak meghekkelnie a támadóknak, hogy ebből a pontból kiindulva sikeresen hozzáférjenek a legmagasabb szintű adminisztrátori jogosultságokhoz, és ezáltal mintegy 100 szerverhez. Több mint 50 millió háztartás és több millió kisvállalkozás bizalmas adatai jutottak így a behatolók kezére.

De nem csak a magánszférát érték a fentivel analóg incidensek. Még az évtized elején esett támadás áldozatául egy amerikai szövetségi ügynökség, a US Office of Personnel Management (OPM), ahol két (igen, két!) évig észre sem vették a történteket. Ez idő alatt nem meglepő, hogy a rosszfiúk szövetségi alkalmazottak több millió személyes információit gereblyézhették össze. Köztük olyan szenzitív adatokat is, mint szexuális irányultság, házastársi hűtlenségre vonatkozó információk és szerencsejáték miatti pénzügyi problémák részletei. A CIA végül kénytelen volt számos emberét visszahívni az USA pekingi nagykövetségéről.

Elég egyetlen kicsi rés is

Pár éve a Sony volt kénytelen beismerni, hogy külső támadás érte PlayStation Network hálózatát, és több mint 100 millió előfizetőjének adatai kerültek illetéktelenek kezébe. Valódi nevek, címek, felhasználói fiókok és jelszavak, születésnapok és e-mailcímek szivárogtak ki a kellemetlen esemény során, melynek következményeként három hétig szünetelt a szolgáltatás. A vállalat becslése szerint az incidens elhárításának végső költsége valahol 150 és 200 millió dollár között tetőzött.

Végül említést érdemel az Anthem nevű, egészségügyi biztosításokkal foglalkozó cég is, mely több tízmillió, a támadáskor meglévő és korábbi ügyfelének adata felett vesztette el kizárólagos ellenőrzését. A behatolás alatt legalább ötven vállalati fiók és közel 100 rendszer kompromittálódott – az egész alapját mindössze egyetlen, sikeres jelszóhalász e-mail adta. Az érintett szervezet jelentős biztonsági változásokat eszközölt hálózatában, a befektetés értékét negyedmilliárd dollárnál is többre becsülték.

A fentiek ismeretében belátható, hogy kevés behatolási pont is elegendő a bizalmas információkra utazóknak. Ha sikerül megszerezniük egy vagy több, kiemelt felhasználó adatait, akkor rajta, rajtuk keresztül már szinte bármilyen szervezeti információt el tudnak érni – és akár tömegesen el is lopni. Éppen ezért alapvetően fontos, hogy tisztában legyünk azzal, mely accountok számítanak kiemelt fontosságúnak, hogyan próbálják megtámadni ezeket a fiókokat a hackerek, és mit lehet tenni ezen kísérletek ellen.

Cikksorozatunk következő részeiben ezeket a témákat járjuk körül.