Több mint 400 millió Twitter felhasználó adata szivároghatott ki, a hackerek 200 ezer dollár váltságdíjat kérnek az adatok törléséért.

Még tavaly, 2022. december 28-án derült fény arra, hogy a Twittert meghackelték és közel 400 millió felhasználó adatai kerültek napvilágra. Az ellopott adatokból csak egy kis részét publikálták a tolvajok, de abból kiderült, hogy telefonszámok, email címek is voltak a bejelentkezési adatok mellett.

A hackerek nyilván hírességek Twitter fiók adataival illusztrálták sikeres munkájukat. A Ryushi nevű adatlopó 200 ezer dollárt kért az adatokért cserébe, és azért, hogy törölje a nála lévő adatbázist.

No comment

A Twitter nem kommentálta az esetet, holott nem más, mint Brian Krebs kiberbiztonsági újságíró szólította fel annak vezetőjét, Elon Musk-ot, hogy reagáljon – stílusosan egy Twitter üzenetben. A mostani vezető mentségére legyen mondva az adatokhoz nagy valószínűséggel azelőtt fértek hozzá az illetéktelen személyek, mielőtt az átvette volna a közösségi oldalt.

Az ír adatvédelmi hivatal jelezte, hogy az adatszivárgási incidenst komolyan kezeli és elkezd vizsgálódni az ügyben.

Szolgáltató segítségével törölnék az adatokat

Az esetre egyébként a Hudson Rock kiberbiztonsági vállalat hívta fel a közvélemény figyelmét. Szerintük minden jel arra mutat, hogy a hackerek nem egy korábbi Twitter adatszivárgásban is napvilágot látott adatokat mutattak be példának, hanem teljesen új információkkal jelentkeztek.

Az is az adatincidens valódiságát támasztja alá, hogy a hackerek egy szolgáltató segítségével próbálják eladni az adatokat. Ez a szolgáltató a garancia arra, hogy a fizetés csak akkor történik meg, ha a bűnözők valóban átadták és törölték a szóban forgó adatokat.

A jelszavak a mai IT jellemezte világ velejárói. A Reboot elemzése szerint az elmúlt három hónapban 4 felhasználó az ötből felejtette el jelszavát, hogy pontosan milyen szolgáltatásé, cikkünkből kiderül.

 

Ha akarjuk, ha nem a jelszavak mindennapjaink velejárója. Még nagyszüleinknek is van egy mobiltelefonja, melyhez legalább egy jelszó szükséges – ha ezt elfelejtjük, akkor eléggé nagy pácban találhatjuk magunkat.

A Reboot a legtöbbet használt online alkalmazást elemezve derítette ki, hogy melyek azok a szolgáltatások, amelyek jelszavát hajlamosak vagyunk kitörölni fejünkből, vagyis elfelejteni. A szervezet a Google keresőben indított „elfelejtettem a XY szolgáltatás jelszavát” jellegű keresések számát rögzítette és rendezte táblázatba.

Szolgáltatás neve „Elfelejettem a jelszavat” jellegű éves keresések száma
1 Apple ID 3,361,200
2 Gmail (Google Mail) 2,511,600
3 Instagram 1,192,800
4 iCloud 546,000
5 Facebook 523,200
6 Discord 369,600
7 Microsoft Windows 10 346,800
9 Amazon 144,840
10 Sony PlayStation Network (PSN) 81,000

#1 Apple ID 

Az első helyezett ezen a listán az Apple ID, több mint három millióan kerestek rá az elfelejtett, netán véletlenül kitörölt jelszó visszaállításának módszerére a Google-ban. Az Apple ID-t az almás eszközökbe való bejelentkezéshez használják, összesen csak iPhone felhasználóból 1,2 milliárd van a világon – ehhez képest a hárommillió szinte semmiség.

#2 Gmail 

Második ezen a listán a Gmail, két és félmillió ember felejti el évente Gmailes számláját. A memóriából törölt jelszavak magas mennyisége itt sem meglepő, ha tudjuk, hogy a 2021-ben világszerte megnyitott emailek 36,5 százaléka a keresőóriáshoz tartozott. Ha valakinek ilyen óriási a piaci részesedése, akkor sokan vannak, akik a jelszavaikat keresik. Szerencsére a törölt vagy elfelejtett gmailes jelszavak visszaállítására van lehetőség, ha korábban egy telefonszámot, vagy másik email címet megadtunk.

#3 Instagram

A népszerű képmegosztó alkalmazás lett a harmadik ezen az érdekes listán, több mint egymillió ember keres rá évente az elfelejtett jelszó visszaállításának lehetőségére. A Meta tulajdonában lévő Instagram az utóbbi időben igen népszerű lett főleg a fiatalabb generáció körében, havonta a világ embereinek 12,9 százaléka nézi meg rendszeresen account-ját.

Az Access Now emberjogi szervezet arra kért egy kenyai mobilszolgáltató vállalatot, törölje az emberektől törvénytelenül gyűjtött biometrikus adatokat.

 

Az afrikai országban egy komoly kampányt indított el a kormány: arra kötelezte a mobilszolgáltatókat, hogy a kiadott SIM kártyákat regisztrálják, ezzel próbálják a bűnözést csökkenteni. A kelet-afrikai országban a Safaricom nevű távközlési vállalat azonban adatgyűjtés közben kicsit túllőtt a célon.

Biometrikus adatokat gyűjtöttek

A társaság ugyanis a SIM kártya tulajdonosok neve, születési adatai, nemre vonatkozó információ, postai cím és a személyazonossági igazolványok másolata mellett az emberek arcát is tárolta. Az Access Now emberi jogi védő szervezet szerint a biometrikus adatokat törvénytelenül gyűjtötték, így azokat a szolgáltatónak törölnie kell.

Az emberi jogokat védő szervezet keresetet indított a távközlési vállalat ellen, aminek hatására a telkó leállt a biometrikus adatok törvénytelen gyűjtésével. Azonban az emberi jogi szervezet szerint még most is túl sok információt gyűjt a vállalat az emberekről.

Töröljék a tárolt adatokat

A szervezet most az szeretné elérni az első siker után, hogy a Safaricom törölje a már tárolt adatokat, illetve, hogy a törlésről értesítse az előfizetőket is.

A biometrikus adatok gyűjtése és azonosítás céljából történő tárolása több veszély is magába hordoz. Ha véletlenül egy ilyen adatbázis kikerülne a világhálóra, akkor a felhasználók nagy bajban lennének. A jelszótól eltérően a biometrikus adatok nem módosíthatóak, így, ha kikerülnek, elvesztik azonosító funkciójukat.

Az Európai Legfelsőbb Bíróság december 8-án kelt határozata szerint a Google-nak a jövőben törölnie kell a keresési találatok közül azokat az adatokat, melyekről a felhasználók nyilvánvalóan be tudják bizonyítani, hogy pontatlanok.

Az Európai Unió még 2012-ben fogalmazta meg a feledés jogát, ami később a GDPR adatvédelmi direktívában a törléshez való joggá finomodott. A gyakorlatban ez azt jelenti, hogy ha például valaki az interneten számára nem kedvező, ámde okafogyottá vált információt törölni szeretne, akkor az adatra mutató keresési találat törlését kérheti a Google-tól. Hiszen sok esetben az internetre felkerült adat örökre ott marad, miután nem minden oldalról lehet törölni az adott információt.

A feledéshez való jog gyakorlását kérték

A december 8-i ítéletben ebben a feledéshez való jog gyakorlásában kért segítséget a német bíróság. Az eredeti ügy arról szólt, hogy egy befektetési csoport két vezetője arra kérték a Google-t távolítsa el azokat a keresési eredményeket, amelyek nevüket a csoport befektetési modelljét bíráló cikkhez kapcsolták.

A két vezető nemcsak a keresési eredmények törlését kérték, hanem a róluk készített miniatür fotók eltávolítását is, ami a keresési találatok listázásakor jelentek meg. A Google első körben elutasította a vezetők adattörlési kérését, arra hivatkozva, hogy nem tudják eldönteni, a cikkben szereplő információk pontosak vagy sem.

Törölni kell a nyilvánvalóan pontatlan adatokat

Az Európai Unió Bírósága döntésében egyértelműen jelezte, hogy a keresőmotor üzemeltetőjének törölnie kell a hivatkozott tartalomban található információkat, ha a hivatkozások törlését kérő személy bizonyítja, hogy az információk nyilvánvalóan pontatlanok.

Rekordösszegű bírságot fizet a Google többek között a lokációs adatok helytelen tárolásáért.

November elején egy sor amerikai tagállam (összesen 40) jelentette be, hogy megegyeztek a Google-lal egy rekordösszegű bírság kifizetésében. A megállapodás rögzíti, hogy a Google a közel 400 millió dolláros bírság mellett elismeri, hogy félrevezette a felhasználóit a lokációs adatok kezelése területén.

2018-ben indult az ügy

Az ügyben a vizsgálódás 2018-ban kezdődött az Associated Press cikke nyomán, mely szerint a Google akkor is követi a felhasználók mozgását, mikor kifejezetten tiltják ezt a tevékenységet. A keresőóriás akkor is rögzítette a felhasználók lokációs adatait, amikor azok kifejezetten kikapcsolták ezt a lehetőséget. Nyilván, az adatokat a hirdetések jobb célzásához használták fel.

A rekordösszegű bírság mellett a Google elvállalta, hogy jelentősen javítja jövő évtől a lokációs adatokkal kapcsolatos irányelveit, tiszteletbe tartva a felhasználók magánszféráját. A megegyezés azt is kiköti, hogy a keresőóriás több olyan eszközt fejlesszen ki, melynek segítségével a felhasználók jobban át tudják látni saját adataik kezelését.

Az adatok alaposabb törlését vállalják

Ahogy azt a Google a november 14-én keltezett blogposztjukba részletezi, a megállapodás részeként, többek között a következő új eszközöket fejlesztették ki:

A Facebook akkor is tudja telefonszámunkat, ha mi azt soha nem adtuk meg. Egy új eszköz segítségével azonban szerencsére, tudjuk ezt a számot törölni.

 

A Facebook rengeteg adatunkat tárolja, így próbálja meg minél pontosabban belőni a hirdetéseit. Azonban a mobilszámunkat sok esetben nem adtuk ki a közösségi oldalnak, mégis megvan neki. A mobilszám szerepelhet számtalan ismerőseink egyikének a telefonkönyvében, amit megosztott a közösségi oldal tulajdonosával.

A Meta, a Facebook tulajdonosa ősz elején rukkolt ki, mondhatni eléggé csendben, egy olyan új szolgáltatással, melynek segítségével megnézhetjük, hogy milyen kapcsolati adatainkkal rendelkezik a közösségi oldal. Az eszköz immár 2022 májusa óta van fen a neten, de csak szeptemberben kezdett szélesebb körben ismertté válni.

A help centerbe bújtatták

Az eszközt a help centerben egy eléggé érdektelen oldalon bújtatták el, ahol 780 szóban magyaráznak el dolgokat azoknak az embereknek, akik nem használják a Meta termékeit. A szövegben semmi sem utal arra, hogy a mobilszámot vagy e-mail címet ellenőrző eszközről van szó. Csupán annyit mond, hogy “ha további kérdései vannak jogairól, akkor kattintsanak ide”.

Így törölhetjük az adatokat

Ha ezt az ellenőrző oldalt valaki megtalálta, eléggé egyszerű és egyértelmű segítségével a mobilszámot, vezetékes számot vagy e-mail címet törölni. Első körben meg kell adni, a felsorolt három közül melyiket szeretnénk ellenőrizni.

Miután megadjuk a számot, amit keresünk, a Facebook egy ellenőrző kódot küld rá. A kód megadása után közösségi oldal üzemeltetője töröli azt nyilvántartásából. Az adat akkor sem kerülhet újból vissza az adatbázisba, ha ezután újabb ismerősünk osztja meg telefonkönyvét.

Igaz, az eszközt eredetileg azon emberek adatainak eltávolítására találták ki, akik soha nem használtak Meta termékeket, de rendkívül jó törlési szolgálatot tesz aktív felhasználók esetében is.

A Twitter új tulajdonosa sok embernél kiverte a biztosítékot, mindenkit megértünk. Ha törölni szeretnéd fiókodat, azt a következő módon teheted meg.

Szinte egy évig tartó csiki-csuki végének lehettünk tanúi idén októberben: hosszas gondolkodás és bírósági eljárásokkal való fenyegetés után Elon Musk, a világ leggazdagabb embere úgy döntött, végül mégis megvásárolja és kivezeti a tőzsdéről a Twittert.

Tavasszal kezdődött a történet

A történet még áprilisban kezdődött, amikor kiderült a gazdag Tesla gyáros 9,2 százalékos részesedést vásárolt meg a Twitter részvényeiből. Elon Musknak nem tetszett, ahogy a mikroblog szolgáltató moderálja az oldalon megjelenő hozzászólásokat, véleményeket. Egy sokkal liberálisabb, sokkal több véleménynek teret adó közösségi oldal kívánt faragni ebből az oldalból.

A közel 10 százalékos részesedéssel azonban ezt még nem tudta befolyásolni, így kéretlen vételi ajánlatot tett a Twiterre, 44 milliárd dollár értékben. Ezt az összeget ő sem tudja a mellényzsebéből kihúzni, a tranzakció finanszírozásához több pénzügyi partner segítségét igénybe vette volna. Az ellenséges vételi ajánlatot némi gondolkodás után a tulajdonosok elfogadták.

Majd Elon Musk meggondolta magát: szerinte a Twitter félretájékoztatta őt a hamis, robotprofilok arányáról, és így ki akart szállni a felvásárlásból. Ellenlépésben a közösségi oldal beperelte a furcsa üzletembert. Majd a per elindulása előtt, október elején Elon Musk újból meggondolta magát és kifizetődőbbnek látta, ha tartja magát az eredeti ajánlatához.

Nos, ezek után nem csoda, sokan dönthetnek úgy, hogy nem kérnek többet a mikroblog szolgáltatóból. Nekik szól ez a kis törlési tájékoztató.

Törlés előtt töltsük le az adatokat

Törlés előtt érdemes azonban adatainkat letölteni, hogy ha nosztalgiázni szeretnénk elmés megjegyzéseinken, legyen hozzá alapanyag.  Ehhez számítógépről a Twitter oldalára belépve baloldalon lévő oszlop alján kattinsunk More lehetőségre, majd a Settings and Support > Settings and privacy > Your account > Download an archive of your data menühöz látogassunk el.

Ha az appot többnyire mobiltelefonunkon használjuk, kattintsuk bal felső sarokban lévő profil képünkre, majd a Settings and Support > Settings and privacy > Your account > Download an archive of your data utat kövessük.

Itt az oldal elkéri újból jelszavunkat, és akkor kérhetjük is, hogy archiválja az adatokat. Ez azonban nem egy azonnali folyamat, 24 óra alatt készíti el az adatokat a Twitter. Ha kész van, emailben értesítenek. Mivel egy nagy adag csomagolt adatot kapunk, érdemes számítógépről intézni azok kicsomagolását.

Így töröljük a fiókot

Az archiválás után eléggé könnyű törölni a fiókot: látogassunk el erre az oldalra. Vagy pedig a Settings and Support > Settings and privacy > Your account menünél a legalján a megjelenik a Deactivate your account lehetőség. Ide kattintva egy figyelmeztető üzenet jelenik meg, hogy fiókunkat végleg töröljük és hogy onnan semmi.

Illetve mégis valami: a törlést megelőző figyelmeztetésből kiderül, hogy fiókunk megszűnik, de 30 napunk van arra, hogy meggondoljuk magunkat. Második, várnunk kell adataink letöltésére mielőtt töröljük a fiókot. Ez a gyakorlatban azt jelenti, hogy az adatok letöltésének kérése után várjuk meg az emailt, töltsük le az adatokat, majd töröljük a fiókot.

Azt gondolnánk, hogy a technológia szeretetéért közismert Japánban mindig a legutolsó technológiát használják. Hát tévedtünk.

Japán idén kinevezett digitális ügyekért felelős miniszterére volt szükség ahhoz, hogy az ország elkezdjen elbúcsúzni a floppy lemeztől. A digitális ügyekért felelős miniszter, Taro Kono 2022 augusztusa végén indított háborút a floppy lemez és egyéb idejétmúlt adathordozó ellen. Az országban összesen 1900 olyan kormányzati eljárás létezik, ahol még mindig a régi adathordozókat használják az ügyek intézésére.

Akciócsoport alakult a floppy eltörlésére

A miniszter egy sajtótájékoztatón jelentette be az új háborút. A cél, hogy a régi adathordozókat online adatbenyújtási folyamatokkal helyettesítsék. Az igazsághoz az is hozzátartozik, hogy törvényi problémák akadályozták eddig, hogy a keleti országban a kormányzat is a felhő technológiát és az online adatkezelést használja. A lakosság és a vállalatok floppy lemezen vagy MiniDisc-en nyújtották be a kormányzat által kért adatokat vagy indították el az ügyeket.

A miniszter egy külön akciócsoportot állított fel erre a célra, mely az év végéig eldönti, hogy a kérdést hogyan rendezzék, de valószínű, hogy a felhő technológia lesz a befutó. A digitális ügyekért felelős kormánytag azt sem tartja jónak, hogy a covid járvány alatt faxgépek segítségével tartották a kapcsolatot a kormányzati szervek.

Fél évszázados technológia

A floppy lemez 50. születésnapját tavaly, vagyis 2021-ben ünnepelte a világ. Az IBM 1971-ben vezette be a lyukkártyákat felváltó diszket. Az adathordozó méretének kialakulásánál azt vették figyelembe, hogy beleférjen a mérnökök ingének zsebébe. Az adathordozó a személyi számítógép elterjedésével vált népszerűvé, a Sony például 1983-ban vezette be az 1,4b Mb adat tárolására képes lemezt.

A japán cég 2011-ben állt le a floppy lemezek gyártásával, így a japán miniszter joggal csodálkozott sajtótájékoztatóján, hogy vajon honnan vásárolják a kormányzati szervek a lemezeket?

El is veszítették őket

A floppy lemezek egyébként 2021 decemberében egy kínos adatvesztési incidens főszereplői voltak. A tokiói rendőrség egyik tagja két floppy lemezt veszített el, melyen 38 ember házkérelmével kapcsolatos adatok voltak rajta. A lemezeket a rendőrség tárolta, hiányukat akkor vették észre, amikor használniuk kellett őket. A lemezen támogatott lakhatás iránt folyamodó 38 férfi személyes adatát tárolták: nevüket, születési időpontjukat és nemüket.

Ausztrália legnagyobb adatszivárgásának tanulságai: GDPR jellegű büntetéseket vezetnének be.

Ausztrália legnagyobb adatszivárgásának hatására az európai GDPR-hoz hasonló büntetések bevezetésén gondolkodnak a hatóságok. Ugyanakkor köteleznék a vállalatot, hogy fizesse meg az adatszivárgásban érintett személyi okmányok cseréjének költségét. A nagy médiafigyelem miatt a hacker törölte az adatokat és visszalépett a váltságdíjtól is.

Kibertámadás fél Ausztrália ellen

Optus Ausztrália második legnagyobb távközlési szolgáltatója. Összesen 10 millió ügyfele van (Ausztrália lakosságának 40 százaléka), ezeknek pedig sok adatát összegyűjtötte és tárolta. A távközlési szolgáltató szeptember 22-én jelezte egy rövid közleményben, hogy rendszereit kibertámadás érte, ennek következtében az ügyfelek adatai illetéktelenek kezébe került.

A szolgáltató olyan adatokat tárolt az ügyfelekről, mint nevek születési adatok, az útlevelek sorszáma, a jogosítvány sorszáma, az egészségbiztosítói azonosító szám (ami nemzeti személyazonossági igazolvány hiányában az adott személyt azonosítja), telefonszámok és otthoni címek.

Törölték az adatokat

Az azonosítatlan támadó első körben 1 millió dollárt kért az adatokért cserébe, miután egy online webes fórumon 10 ezer ügyfél adatát nyilvánosságra hozta – ezzel is bizonyítva, hogy ő az igazi támadó. Majd a támadás nagyságát és a szolgáltató válaszát látva (aki bevonta közben a helyi nyomozó hatóságokat is), a hacker meggondolta magát: azonnal törölte a már közzétett adatokat, elnézést kért és próbált eltűnni.

Politikai vihart kavart az ügy

Az ügy azonban innen önálló életre kelt. Az Optus vezetője, Kelly Bayer Rosmarin azt mondta, hogy a vállalat egy bonyolult támadás áldozata lett, a támadás az első adatok szerint egy európai IP címről érkezett és hogy a nyomozó hatóságok forró nyomon vannak. Azonban a köd leszálltával kiderült, hogy a hackernek eléggé könnyű dolga volt bejutni a rendszerbe: a távközlési vállalat egy olyan alkalmazás programozási interfészt működtetett, mely nem kérte a felhasználók azonosítását, de hozzáférést biztosított az ügyfeleik adataihoz. Egyszerűen egy amatőr hackernek szerencséje volt.

Azonban a kiberbiztonsági miniszter, Clare O’Neill megkérdőjelezte az Optus szavahihetőségét és aggasztónak nevezte, hogy mennyire egyszerű volt bejutni a távközlési szolgáltató rendszerébe, hiszen a vállalat egyszerűen nyitva hagyta az ablakot a hacker előtt.

Szankciók GDPR mintára

Az ügy hatására az is felmerült, hogy az ausztrál adatvédelmi intézkedésekbe az európai GDPR mintájára komoly szankciókat kellene beépíteni, ami arra sarkalná a cégeket, hogy sokkal jobban odafigyeljenek az adatok biztonságára. Egy kormányzati forrás azt a lehetőséget is megszellőztette, hogy a távközlési vállalat fizesse ki a támadás következtében kicserélendő útlevelek és vezetői jogosítványok költségét.

Az biztos, hogy az ausztrál rendőrség egy külön projektet indított annak a 10 ezer ausztrál állampolgárnak a megvédésére, kinek az adatait a hacker első körben nyilvánosságra hozta, majd törölte is őket, a többi 10 millió adattak együtt.

Telephely: 1111 Budapest, Krusper utca 3.

Telefon: +36 70 625 5100

Email: info@dataclear.hu

2021 Dataclear Service Kft. Biztonságos adatmegsemmisítés - Adattorlés - Használt Informatikai eszközök felvásárlása - Adatvagyon femérése