Ma már senkinek sem újdonság, hogy az “adat az új olaj”. Az információs gazdaságban a digitális adat lett a legfontosabb erőforrás, amelynek felhasználása új utakat nyit az üzleti világban, és nem egy vállalat csillagának gyors felíveléséhez vezetett.

Kitüntetett szerepe miatt azonban sajnos az adatgazdaság kitermelte a saját feketepiacát is – ahol leginkább személyes adatokkal kereskednek a világháló orgazdái.

Korábbi cikkeinkben már foglalkoztunk a kiberbűnözés különféle formáival, és tárgyaltuk a szervezett kiberbűnözés működését is. Ezen esetekben a hackerek, vagyis kiberbűnözők túlnyomórészt megtévesztő akciókat vagy valódi “betöréseket” hajtanak végre, és védett adatokat lopnak el. A legújabb, legalább ennyire ijesztő metódus azonban az adatlopás szürke zónájának zavarosában halászik.

Adatkaparás: publikus adatok ipari tételben

2021. júniusában egy zömmel hackerek által használt titkos fórumon helyezett el egy hirdetést egy titokzatos Tom Liner nevű felhasználó. A hacker 700 millió (!) LinkedIn-felhasználó személyes adatait gyűjtötte adatbázisba, ezt pedig potom 5.000 dollárért, vagyis kb. 1,5 millió forintért kínálta megvásárlásra. Saját bevallása szerint több elégedett vásárlója is akadt.

Az eset azért is kavart nagy vihart, mert valójában nem klasszikus hackertámadásról volt szó: nem történt betörés, Liner az egyébként is publikusan elérhető információkból állított össze egy adatbázist.

A szaknyelven adatkaparásként (scraping) hivatkozott metódus automatizált adatlopást jelent. Ennek során a hacker a szoftverfejlesztők által használt adatcsere-interfészeket (API, vagyis alkalmazásprogramozási felület) használja ki, azok segítségével gyűjt be olyan személyes adatokat, amiket kézzel bárki elérhet – adatkaparással viszont pillanatok alatt felhasználók millióinak adatai szervezhetők jól kereshető, rendezett adatbázisba.

A kiszivárgott adatok között szerepelt a felhasználók teljes neve, email címe, neme, de egyes esetben telefonszámok és munkahelyi adatok, például a munkahely iparágának megnevezése is. Amitől igazán veszélyes az adatkaparás gyakorlata, az az a tény, hogy a különféle közösségi média és egyéb felületekről összegyűjtött adatok összekötésével hihetetlen mennyiségű és nagyon pontos személyes adatunk kerülhet rossz kezekbe.

Miután nyilvánosságra került a fent említett eset, a LinkedIn azzal védekezett, hogy valójában nem történt betörés, és tagadták, hogy a támadó az API kihasználásával fért volna hozzá a felhasználók adataihoz. Egy másik esetben a Facebook hozzáállása is hasonló volt. A sajtóosztályuk egy ízben véletlenül el is ismerte: kifejezett stratégiájuk, hogy az egész iparágat sújtó általános problémának állítsák be az adatkaparás gyakorlatát, így normalizálva azt, hogy mára rémisztő méreteket öltenek az efféle adatlopási akciók.

Mit tehetünk adataink védelmében?

Felhasználóként korlátozottak a lehetőségeink az adatkaparással szemben, hiszen az adatainkat kezelő nagy szolgáltatók (LinkedIn, Facebook) felelőssége biztosítani a technológiai infrastruktúra biztonságát. Ők azonban csak széttárják a kezüket, hogy semmi törvénybe ütköző nem történt. A legjobb, amit tehetünk, ha pontosan nyomon követjük, hogy milyen oldalakon mit osztunk meg magunkról – és persze, ha minimalizáljuk a rólunk elérhető információkat.