Do kuriozalnej sytuacji doszło na facebookowym profilu gdańskiego sądu. Od dwóch dni profil instytucji umieszcza filmy z przepisami kulinarnymi kuchni wietnamskiej. Możemy znaleźć tam teraz przepisy m.in. na grilowanego bakłażana, kurczaka z warzywami, popkorn z chleba w karmelu czy gulasz rybny Kho Quet. Zaplanowano również dwie transmisje na żywo, te się jednak prawdopodobnie nie odbyły.
Jak przejęto profil gdańskiego sądu?
Przede wszystkim trudno tu mówić o „ataku hakerskim”. Najprawdopodobniej dane logowania do profilu sądu obywatel Wietnamu znalazł w jednej z baz danych, jakie wyciekły do sieci. Warto zauważyć, że nie musiał być to nawet wyciek z Facebooka. Jeśli używamy tej samej kombinacji loginu i hasła do różnych portali, cyberprzestępcy uzyskujący dostęp do skompromitowanych danych niejednokrotnie będą próbować użyć tej samej kombinacji na różnych popularnych portalach. Portal Spidersweb uzyskał już komentarz do całej sprawy od Dyrektor Sądu Rejonowego Gdańsk-Południe, Anety Konkel:
Sprawa przejęcia konta na Facebooku została zgłoszona do Prokuratury. Fanpage był prowadzony poza siecią sądu i z prywatnych komputerów i tel. komórkowych, treści udostępniane dotyczyły wyłącznie informacji o pracy sądu, nie zawierały informacji o stronach postępowania ani o prowadzonych sprawach, nie ma więc żadnego ryzyka zainfekowania czy wycieku danych z komputerów służbowych lub poczty sądowej. Pracownicy Sądu nie mają dostępu do Facebooka na komputerach służbowych. Nie wiemy, w jaki sposób doszło do przejęcia, ani kto tego dokonał. Nie jesteśmy w stanie tego ustalić, administracja Facebooka nie reaguje na nasze zgłoszenia. Najprawdopodobniej nie będziemy reaktywowali strony.
Aneta Konel, Dyrektor Sądu Rejonowego Gdańsk-Południe w Gdańsku
Czy zgłoszenie sprawy do prokuratury odniesie jakiekolwiek skutki? Bardzo mało prawdopodobne. Zamiast tego może lepiej zorganizować pracownikom instytucji publicznych, szczególnie operujących na tak wrażliwych danych, jak instytucja sądu, szkolenia z zakresu ochrony swoich danych i dostępu do kont?
Jak uchronić się przed kradzieżą konta?
Niestety proceder przejmowania i sprzedawania kradzionych kont kwitnie w sieci. Nawet na dużych portalach aukcyjnych, takich jak Allegro czy Ebay, można trafić na oferty dostępu do kont platform streamingowych czy serwisów dystrybucji gier. Wśród nich znajdują się oferty „dostępu na wyłączność”, gdzie kupujący ma być jedyną osobą korzystającą z konta. Często tego typu konta pochodzą właśnie z kradzieży. Tak jak pisałem wyżej, czasami wystarczy wyciek z jakiejś małej strony czy sklepu internetowego, by utracić dostęp do większości portali i usług, z których korzystamy.
Najbezpieczniejszą metodą jest korzystanie z menedżerów haseł. Istnieją płatne usługi oferujące taką funkcjonalność, jednak osobiście używam Bitwarden. Jest to darmowy, otwartoźródłowy projekt pozwalający na bezpieczne przechowywanie swoich danych logowania w zaszyfrowanej chmurze i uzyskaniu do nich dostęp na praktycznie każdym urządzeniu za pomocą dedykowanych aplikacji, wtyczek do przeglądarki i przez stronę internetową projektu. Dzięki posiadaniu menedżera możemy używać do każdego portalu i usługi osobne, losowo generowane hasło. Wówczas, jeśli ktoś uzyska dostęp do naszych danych logowania na jednym portalu, nie będzie mógł ich użyć na innych. Jest to bardzo wygodna i bezpieczna metoda, wymagająca od użytkownika wymyślenia i zapamiętania tylko jednego hasła głównego, którego nie powinien używać nigdzie indziej. Oczywiście wiele współczesnych przeglądarek posiada wbudowane menedżery haseł, jednak często dane nie są szyfrowane przez przeglądarkę, więc mogą nie zapewnić aż tak dużego poziomu bezpieczeństwa.
Drugą metodą, która powinna być używana równolegle, jest autoryzacja dwuetapowa. Jest to proste zabezpieczenie polegające na dodatkowej weryfikacji logowania poza podaniem poprawnego loginu i hasła. Czasem wymaga to kliknięcia w link przesłany w wiadomości e-mail, czasem podanie kodu wysyłanego esemesem. O ile potwierdzanie przez e-mail nie jest zalecane, to potwierdzenie kodem SMS wymagałoby od włamywacza posiadania fizycznego dostępu do telefonu właściciela konta, a przynajmniej przechwytywania jego wiadomości tekstowych. Wiele portali oferuje też wsparcie dla tzw. authenticatorów, czyli apek generujących jednorazowe klucze uwierzytelniające do autoryzacji dwuetapowej. Z polecanych programów mógłbym wymienić Aegis na telefony z urządzeniem Android i Tofu dla urządzeń Apple.
Gorąco polecam i zachęcam do używania tych porad w codziennym korzystaniu z internetu. Nie wymaga to dużo zachodu, a pozwoli wam uniknąć utraty dostępu do swoich kont.
