Největší úniky dat v moderní historii

Lucie Kurdiovska
May 20, 2019 · 11 min read
Image for post
Image for post

Úvod

Nabourávání zabezpečovacích prvků e-mailové schránky či účtu na sociální síti není dnes bohužel nic neobvyklého. Často se jedná o individuální útoky, které jsou postaveny na využívání špatně zabezpečených účtů i mezerách v bezpečnosti počítačových systémů. Například hacknutý e-mailový účet může znamenat, že jeho vlastník nevěnoval dostatečnou pozornost bezpečnostním opatřením nebo vznikla chyba na straně poskytovatele e-mailových schránek. Tato situace umožní takzvaným hackerům, kteří se často doslova živí nabouráváním účtů, přístup k vašim zprávám, kontaktům a vzhledem k oblíbené politice dvou či tří rotačních hesel v mnoha případech i k dalším účtům.

Rozvoj komunikačních technologií, a především internetu samozřejmě není ku prospěchu pouze kladným hrdinům příběhu, díky decentralizovanému principu nabízí totiž internet i velice široké a jen sporadicky regulovatelné pole pro vývoj a šíření kybernetické kriminality. Pomyslné bourání hranic i stírání vzdáleností se tak stává důležitým socializačním prvkem v moderní společnosti, ale také nástrojem organizovaného kybernetického zločinu. Od nabouraného e-mailu se tak dostáváme k hromadným únikům dat zahrnujících osobní i citlivé údaje milionů uživatelů.

The near future promises to turn a new paradigm of information technologies from rather futuristic vision into potential realities. Rapid progress in information and communication technologies incereasingly allows the transformation of the visions od ubiquitous computing from the brains of scientists, technology developers and ICT stakeholders into real world applications and services. On one hand, the new paradigm promises to overcome many insufficiencies and inconveniences of current information systems, on the other, it brings about tremendous threats to individual rights and societal values.“[1]

Osobní a citlivé údaje

V kauzách spojených s únikem dat je nutné rozlišovat osobní a citlivé údaje, vzhledem k rozdílnosti podstaty každého z nich. Od dubna roku 2019 byl Zákon o ochraně osobních údajů, který v rámci ČR osobní i citlivé údaje definoval, nahrazen Nařízením Evropského parlamentu a Rady (EU) č. 2016/679 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES.

„Osobní údaje jsou ve stávající směrnici z roku 1995 i v GDPR definovány jako veškeré informace vztahující se k identifikované či identifikovatelné fyzické osobě. Mezi obecné osobní údaje řadíme jméno, pohlaví, věk a datum narození, osobní stav, ale také IP adresu a fotografický záznam.

Obecné nařízení věnuje speciální pozornost zpracování zvláštních kategorií osobních údajů, jimiž jsou údaje o rasovém či etnickém původu, politických názorech, náboženském nebo filozofickém vyznání, členství v odborech, o zdravotním stavu, sexuální orientaci a trestních deliktech či pravomocném odsouzení. Do kategorie citlivých údajů nařízení nově zahrnuje genetické, biometrické údaje a osobní údaje dětí. Zpracování citlivých osobních údajů podléhá mnohem přísnějšímu režimu, než je tomu u obecných údajů.“[2]

Mediálně rozšířené úniky dat

Mezi nejčastěji medializované a často diskutované úniky dat patří především ty, týkající se sociálních sítí, což je v souvislosti s velkým množstvím uživatelů i shromažďovaných dat vcelku logické. Důvodem pro společenskou závažnost konkrétní kauzy pak může být také přímá interakce. Uživatelé považují problematiku za vážnější, jelikož by se jich jako vlastníků účtů na sociálních sítích mohla také dotknout.

Značná pozornost je věnována také případům, ve kterých dochází k úniku dat z gesce vládních orgánů, u nichž je předpokládaná značná míra zabezpečení. Především na bezpečnostních systémech vládních, ale i velkých komerčních institucí si hackeři často a rádi testují své schopnosti. V některých případech jsou hackerské útoky motivované „společenským blahem“, jindy se může jednat pouze o lákavou výzvu. Tak či tak, jsou servery vládních institucí i komerčního sektoru častým terčem útoků, a proto je v jejich případě silná bezpečnostní politika na místě.

Společnost WikiLeaks a utajované vládní dokumenty

Jedním z témat dlouhodobě živících mediální subjekty je už jen samotná existence mezinárodní neziskové společnosti WikiLeaks bojující za transparentnost a volný tok informací, kterou v roce 2006 spoluzakládal australský internetový aktivista Julian Assange. Náplní její činnosti je zveřejňování utajovaných vládních dokumentů, přičemž vychází z článku 19 Všeobecné deklarace lidských práv o právu na svobodu přesvědčení a projevu. Data zveřejňovaná společností WikiLeaks jsou ve většině případech poměrně kompromitující a možná i z tohoto důvodu veřejně a široce propíraná.[3]

Na stránkách WikiLeaks se například objevily dokumenty i audiovizuální materiály odtajňující jednání amerických vojáků během války v Iráku, kteří zde mučili zajatce a zabíjeli civilisty. Velkou vlnu zájmu i kritiky vyvolaly také diplomatické dokumenty, jejichž zveřejnění mohlo ohrozit mírové dohody mezi některými státy. Mezi poslední velké počiny společnosti WikiLeaks pak patří zveřejnění souboru dokumentů Valut 7, které obsahují informace o utajovaných hackovacích nástrojích CIA.[4]

Počiny WikiLeaks jsou vzhledem k obsahu zveřejňovaných dat často terčem ostré kritiky. Zveřejnění kontroverzních materiálů totiž mnohdy vyžaduje rozhodování rozporu mezi právem na informace a veřejným blahem. Tato skutečnost u mnohých vyvolává dojem, že se společnost snaží pouze o bezhlavé zveřejňování tajných informací a demonstraci hackerského umění, aniž by brala v potaz možné dopady pro společnost jako celek. Podporovatelé zase vidí WikiLeaks jako bojovníka za práva na informace. Někteří pak mají na tuto problematiku úplně odlišný názor.

The age of transparency is here: not because one transnational online network dedicated to open information and whistle-blowing named WikiLeaks exists, but because the knowledge of how to build and maintain such networks in now widespread.“[5]

Hacktivismus a uskupení Anonymous

O slovo se uskupení internetových hackerů postrádající jakoukoli hierarchii či organizaci začalo hlásit již v roce 2003. Byť je název Anonymous často spojován spíše s bezcílným „bouráním“ webů a demonstrací hackerského umění, příslušníci tohoto uskupení se při často ilegálních počinech v kyberprostoru dostávali také k velkému množství dat mezinárodních firem i vládních orgánů. Během boje za svobodný přístup k informacím však byly pozatýkány desítky členů tohoto hnutí a od roku 2016 už se ani nepřihlásili k žádné větší akci. Vzhledem k neorganizované struktuře nelze v tomto případě hovořit o rozpadu, tak tedy utichnutí Anonymous bylo pravděpodobně zapříčiněno také vnitřním rozkladem. Během zatýkání totiž mnozí z příslušníků udali své kolegy za příslib nižšího trestu.[6]

Edward Snowden, NSA a monitoring občanů

Edward Snowden ukradl v květnu roku 2013 přibližně 1,7 milionu tajných záznamů z databáze Národní bezpečnostní agentury (NSA), během svého pracovního poměru u Ústřední zpravodajské služby (CIA) Spojených států. Jeho hlavním motivem bylo především odhalit tajné vládní programy, které do značné míry narušovaly soukromí nejen amerických občanů. Informace o monitoringu místních i zahraničních obyvatel prostřednictvím mobilních telefonů i elektronické komunikace předal Snowden britským a americkým zpravodajským agenturám na tajné schůzce v Hong Kongu.

Poté, co se tajné aktivity amerických vládních orgánů spolupracujících s evropskými vládami i telekomunikačními společnostmi dostaly na veřejnost, byl Snowden označen za vlastizrádce a jeho čin považován za veřejné ohrožení. Americké ministerstvo spravedlnosti ho v červnu roku 2013 obvinilo ze špionáže a krádeže vládního majetku. Snowden proto odcestoval do Ruska, kde mu až do současnosti poskytují azyl.[7]

The government and corporate sector preyed on our ignorance. But now we know. People are aware now. People are still powerless to stop it but we are trying. The revelations made the fight more even.”[8]

Soukromí na Facebooku a společnost Cambridge Analytica

S největším únikem dat ze sociální sítě Facebook je spojována britská poradenská společnost Cambridge Analytica (CA), která měla nezákonně shromažďovat údaje z profilů, politické názory, soukromé zprávy i infrastrukturu přátel na Facebooku až od 87 milionů uživatelů. K těmto údajům získala společnost CA přístup prostřednictvím osobnostního dotazníku, který respondentům nabízel finanční kompenzaci za jeho vyplnění. Do rozhraní samotného dotazníku se však dalo přihlásit pouze pod vlastním Facebookovým účtem. CA tak získala všechna potřebná data pro účel celé této nezákonné činnosti, a sice politický motiv.[9]

Uživatelé Facebooku sice za hesly svým profilů ukrývají mnohem důvěrnější informace, CA analytica se ovšem zajímala především o profily vašich přátel a takzvané „lajky“. Na základě nich lze totiž poměrně přesně určit nejen váš oblíbený hudební žánr ale například i vaše náboženské vyznání či politické preference[10], a přesně o ně se CA zajímala především. Sběr informací o politických preferencích měl totiž sloužit k přizpůsobení cílené reklamy na voliče a celkovému posílení vlivu kampaně amerických prezidentských voleb. Společnosti CA se tak podařilo nelegálně sesbírat data milionů uživatelů, ale i upozornit na poměrně děravou strukturu ochrany osobních údajů ze strany společnosti Facebook.

Největší úniky dat[11]

Výše zmíněné datové úniky jsou sice závažnými celospolečenskými hrozbami, ale ve srovnání s mediálně méně známými kauzami jsou, co se týče množství ukradených dat poměrně povrchní. Největší úniky dat nemusí být nutně zapříčiněny útoky hackerů, ale i pouhou nedbalostí v bezpečnostní politice konkrétních subjektů spravujících osobní údaje svých uživatelů. V obou případech se ovšem bohužel lze jen velice těžce bránit a do nepovolaných rukou se tak mohou dostat miliony osobních i citlivých údajů bez vědomí uživatelů i správce.

Quora

· 100 milionů poškozených uživatelů

Sociální platforma Quora založená na komunikaci mezi uživateli s důrazem na pokládání a zodpovídání otázek utrpěla únik dat v rozsahu 100 milionů záznamů v roce 2018. Společnost se velice kulantně vyhnula vysvětlení celé situace a svým uživatelům pouze sdělila, že se do interního systému dostal neoprávněný uživatel. Mezi uniklými daty byla především jména, údaje z profilů, e-mailové adresy a hesla.

Target

· 110 milionů poškozených uživatelů

Do pokladního systému jednoho z největších amerických řetězců supermarketů Target se hackeři nabourali prostřednictvím hesel, které ukradli firmě spravující na pobočkách supermarketu vzduchotechniku. Z pokladního systému pak získali jména i adresy 110 milionů zákazníků a data o 40 milionech kreditních karet. Přesto, že se společnost stala terčem hackerského útoku, čelí kritice především kvůli uchovávání bezpečnostních kódů kreditních karet zákazníků, prostřednictvím nichž mohli hackeři napáchat obrovské finanční škody.

Equifax

· 143 milionů poškozených uživatelů

Společnost Equifax, která v USA spravuje registr dlužníků, je modelovým příkladem nedbalého zabezpečení systému. Díky bezpečnostní chybě se do systému nabourali v roce 2017 hackeři a ukradli osobní údaje 143 milionů osob. V souvislosti s vlastní chybou čelí společnost policejnímu vyšetřování i nutnosti odškodnit své uživatele.

eBay

· 145 milionů poškozených uživatelů

Online aukční síň eBay čelila kybernetickému útoku v roce 2014. Díky kradeným přístupovým údajům několika zaměstnanců se hackeři poměrně pohodlně a rychle dostali do interního systému, odkud ukradli 145 milionům uživatelů jména, adresy i hesla. Číslo není ani tak zarážející, když si uvědomíme, že na celý proces měli skoro osm měsíců. Společnost eBay totiž po celou dobu nelegální dolování dat nezaznamenala.

Exactis

· 340 milionů poškozených uživatelů

Chyba na straně správce údajů nemusí vždy spočívat jenom v nepropracované bezpečnostní politice. Občas se může stát, že nashromážděné údaje o uživatelích prostě omylem zveřejní, stejně jako tomu bylo v případě společnosti Exactis, která se sběrem dat přímo zabývá. V červnu roku 2018 se jim podařilo na webu zveřejnit údaje 340 milionů spotřebitelů i firem. Omylem tak na veřejnost vypustili telefonní čísla, adresy, věk i informace o náboženském vyznání svých klientů. Kolik lidí se k omylem zveřejněným datům dostalo, nedokáže firma vypátrat.

Adult FriendFinder

· 412 milionů poškozených uživatelů

Na nedbalost v oblasti zabezpečení údajů svých uživatelů doplatila také erotická seznamka Adult FriendFinder, která uchovávala ve své databázi téměř nezabezpečená data registrovaných uživatelů. Díky téměř nulové ochraně se k datům nasbíraným za dvacet let fungování seznamky dostali poměrně jednoduše hackeři. Z databáze ukradli osobní údaje uživatelů i hesla. Při vyšetřování se navíc ukázalo, že společnost uchovávala více než 15 milionů záznamů, které měly být dávno vyřazeny.

Starwood

· 500 milionů poškozených uživatelů

Americký hotelový řetězec se sídlem v Connecticutu odhalil úniky dat ze svých serverů v roce 2018, přičemž se nelegální dolování informací v jejich systémech mohlo odehrávat již po několik let. Z databáze hotelového řetězce se tak do nepovolaných rukou dostala jména, adresy, telefonní čísla, čísla pasů, cestovní údaje, informace o účtech i údaje kreditních karet. Z vyšetřování pak vyplynulo, že se jednalo o politicky motivovaný útok.

Aadhaar

· 1,1 miliardy (potenciálně) poškozených uživatelů

V srpnu roku 2017 se podařilo skupině hackerů nabourat do portálu indického identifikačního úřadu a získat tak přístup k údajům prakticky všech občanů Indie. Celého půl roku pak anonymně nabízeli přístup do systému všem uživatelům, kteří byli ochotni zaplatit 500 indických rupií. Záznamy v databázi obsahují jména, adresy, telefonní čísla i fotografie indických občanů.

Yahoo

· 3 miliardy poškozených uživatelů

Doslova alarmující stav zabezpečení systémů internetového portálu Yahoo vyšel najevo v roce 2016. Hackeři se dostali k informacím o 3 miliardách účtů zahrnujících jména, telefonní čísla i hesla. Aby toho nebylo málo, s velice krátkým časovým odstupem na systémy Yahoo úspěšně zaútočila i další hackerská skupina. Společnosti Yahoo se obě kauzy, které se odehrály již na přelomu let 2013 a 2014 podařilo držet v tajnosti skoro 3 roky.

Výše zmíněné kauzy spojené s únikem dat sice (snad jen kromě Yahoo) nebyly příliš medializované, jejich následky však zasáhly soukromí milionů uživatelů. Jak již bylo zmíněno, jsou společnosti shromažďující velké množství osobních údajů svých uživatelů častým terčem útoků. Je proto nezbytné, aby zabezpečování svých serverů přikládali dostatečnou váhu a nebrali si příklad z Exactis nebo Adult FriendFinder. Za uchovávané údaje nesou plnou zodpovědnost a za nedbalé nakládání by tak mohli nést nepříjemné následky.

Závěr

Uživatelé jsou v online prostředí často velice sdílní a nezdráhají se výměnou za slevový kupón nebo přístup k online seriálům prozradit třeba i krevní skupinu domácího mazlíčka. Při svém počínání si ovšem neuvědomují, že nad sdílenými daty už nemají žádnou kontrolu a nezbývá nic než důvěřovat společnostem, kterým je svěřili. Což se ovšem ne vždy projeví jako bezpečné, když se například ani gigant mezi sociálními sítěmi spravující miliardy účtů nedokáže vyvarovat datovému úniku, je bezhlavé sdílení osobních i citlivých údajů opravdu na pováženou.

V případě Facebooku se ovšem nelze spoléhat ani na opatrné a soukromí chránící jednání. Tato sociální síť vlastně ani nepotřebuje, abyste si založili profil, již několik let totiž tvoří takzvané stínové profily. Stačí tedy, pokud někdo z vašich přátel synchronizoval telefonní kontakty s Facebookem nebo využil službu najít přátele a hurá, váš stínový profil je na světě. Vzhledem ke skutečnosti, že navíc lze z většiny facebookových aktivit uživatelů včetně označování oblíbených stránek vyčíst velké množství osobních i citlivých údajů, prakticky na Facebooku nelze fungovat, aniž bychom po sobě nezanechávali charakteristické stopy. V této situaci je již možná na místě zapřemýšlet, jestli chceme, aby o nás věděl Facebook i to, co ani my sami jistě nevíme a rozhodnout se, zda chceme Facebook využívat zdarma, ale platit za něj vlastním soukromím.

While expected to enhance national security (EC, 2004), these technologies are subjecting ordinary citizens to an increasing amount of permanent surveillance, often causing infringements of privacy and a restriction of civil rights.[12]

Použité zdroje:

[1] GUTWIRTH, Serge. Computers, privacy and data protection: an element of choice. Dordrecht: Springer, c2011. ISBN 978–94–007–0640–8. str. 139

[2]Co považuje GDPR za osobní údaje. gdpr.cz [online] [cit. 2019–05–19]. Dostupné z: https://www.gdpr.cz/gdpr/osobni-udaje/

[3] KARHULA, Päivikki. What is the effect of WikiLeaks for Freedom of Information?. Ifla.org [online]. [cit. 2019–05–18]. Dostupné z: https://www.ifla.org/publications/what-is-the-effect-of-wikileaks-for-freedom-of-information

[4] DWILSON, Stephanie Dube. What Is Vault 7 on WikiLeaks?. Heavy.com. [cit. 2018–05–19]. Dostupné z: https://heavy.com/tech/2017/02/what-is-vault-7-wikileaks-theories-vault7-tweets-photos-analysis-clues-twitter-who-where-when-why-how/

[5] SIFRY, Micah L. Wikileaks and the age of transparency. New York: O/R Books, c2011. ISBN 1935928317. str. 14

[6] DOHERTY, Bernard. Hacker, Hoaxer, Whistleblower, Spy: The Many Faces of Anonymous. Nova religio [online]. 2017, 20(4), [cit. 2019–05–20]. ISSN 10926690.

[7] VERBLE, J. The NSA and Edward Snowden: surveillance in the 21st century. SIGCAS Computers and Society, [online]. 2014, 44(3), [cit. 2019–05–18].

[8] Edward Snowden: ‘The people are still powerless, but now they’re aware’. The Guardian [online]. [cit. 2019–05–20]. Dostupné z: https://www.theguardian.com/us-news/2018/jun/04/edward-snowden-people-still-powerless-but-aware

[9] ISAAK, Jim a Mina j. HANNA. User Data Privacy: Facebook, Cambridge Analytica, and Privacy Protection. Computer [online]. 2018, 51(8), 56–59 [cit. 2019–05–20]. DOI: 10.1109/MC.2018.3191268. ISSN 00189162.

[10] KOSINSKI, Michal, David STILLWELL a Thore GRAEPEL. Private traits and attributes are predictable from digital records of human behavior. PNAS [online]. [cit. 2019–05–20]. DOI: https://doi.org/10.1073/pnas.1218772110. ISSN 1091–6490. Dostupné z: https://www.pnas.org/content/pnas/110/15/5802.full.pdf

[11] Seznam úniků dat vychází z článků dostupných na:

https://menzo.cz/5-nejvetsich-uniku-dat-v-historii-desiva-fakta/

https://blog.avast.com/cs/10-nejvetsich-uniku-dat-v-roce-2018

[12] Levi, M., Wall, D.S. (2004) “Technologies, Security, and Privacy in the Post-9/11 European Information Society,” Journal of Law and Society 31(2): 194–220. Dostupné z: https://onlinelibrary.wiley.com/doi/abs/10.1111/j.1467-6478.2004.00287.x

EDTECH KISK

Educational Technology, KISK Masaryk University

Medium is an open platform where 170 million readers come to find insightful and dynamic thinking. Here, expert and undiscovered voices alike dive into the heart of any topic and bring new ideas to the surface. Learn more

Follow the writers, publications, and topics that matter to you, and you’ll see them on your homepage and in your inbox. Explore

If you have a story to tell, knowledge to share, or a perspective to offer — welcome home. It’s easy and free to post your thinking on any topic. Write on Medium

Get the Medium app

A button that says 'Download on the App Store', and if clicked it will lead you to the iOS App store
A button that says 'Get it on, Google Play', and if clicked it will lead you to the Google Play store