Újabb tanulságos esettel bővült a hogyan ne kezeljük a biztonsági incidenseket fejezet az informatikai piacon. A közel másfél évtizede (!) rekordösszegű közösségi finanszírozást szerző Star Citizen című, még mindig készülő játék mögött álló Cloud Imperium Games (CIG) január 21-én vált egy "szisztematikus és kifinomult" támadás áldozatává. Ennek során a hekkereknek sikerült hozzáférniük bizonyos mentési rendszerekhez, amelyek felhasználói adatokat is tartalmaztak.

Nincs itt semmi látnivaló?

A brit stúdió közleménye szerint a támadók alapvető fiókadatokat (neveket, születési dátumokat, elérhetőségeket és metaadatokat) szereztek meg. Bár a CIG hangsúlyozta, hogy pénzügyi adatokhoz vagy jelszavakhoz nem fértek hozzá, és a behatolás "csak olvasható" jellegű volt, ez a fajta kincstári optimizmus meglehetősen túlzó. Az ilyen típusú adatbázisok ugyanis aranybányát jelentenek a célzott adathalász (phishing) és egyéb rosszindulatú kampányokhoz, különösen, ha más forrásból származó kiszivárgott adatokkal kombinálják őket.

További probléma, hogy a vállalat más módszerekkel is igyekezett az ügy hatását kisebbíteni, és úgy általában a szőnyeg alá söpörni az incidens hírét. Ennek aztán pont az ellenkezőjét érték el, mivel a szintén brit The Register postafiókjába sorra érkeztek a panaszos olvasói levelek.

Az online lap beszámolója szerint a játékstúdió pórul járt ügyfelei a potenciális veszélyek bagatellizálásán túl nehezményezték, hogy csak egy bő hónap után adott egyáltalán tájékoztatást a kibertámadásról a cég. Ráadásul a rövidke közlemény semmilyen formában nem látható vagy érhető el közvetlenül a CIG weboldalának nyitó lapjáról. A különböző fórumokon is hangosan dühöngő játékosok a transzparencia teljes hiányaként értékelték ezt a "trükköt", különösen annak fényében, hogy a cég a közlemény végén cinikus módon éppen az átláthatóságra hivatkozott.

Az EU-ban ez máshogy menne

A CIG értelmezése szerint az incidensnek nincs közvetlen biztonsági kockázata a felhasználókra nézve. Ez abból a szempontból fontos elem, hogy az Európai Unióban érvényes szigorú jelentési és tájékoztatási kötelezettséghez képest Nagy-Britanniában kicsit képlékenyebbek az ilyen akciókkal kapcsolatos előírások.

A brit GDPR szerint a kibertámadás során bekövetkezett adatvédelmi incidenst a cégeknek 72 órán belül kell jelenteni az Information Commissioner’s Office (ICO) felé, amennyiben az kockázatot jelent a felhasználók jogaira. A magas kockázatú esetekben (pl. személyazonosság-lopás, pénzügyi kár) az érintetteket "indokolatlan késedelem nélkül és közvetlenül" kell tájékoztatni. Ennek elmulasztása jelentős, akár 17,5 millió fontos bírságot is vonhat maga után.

Az eset biztonsági kockázatának céges minősítésével a jelek szerint sok kárvallott nem ért egyet, így könnyen lehet, hogy majd egy bírósági tárgyalás keretében kell igazságot tenni az ügyben. Ez a kimeneteltől függetlenül mindenképpen hosszabb és fájdalmasabb lesz a CIG számára, mint ha alapból gyorsan és egyértelműen kommunikált volna a januári hekkertámadásról.