Hotele, restauracje i lotniska często oferują klientom darmowe tablety podczas ich pobytu w takich obiektach. Niedawno, uczestnicząc w konferencji, ekspert ds. bezpieczeństwa z Kaspersky Lab mógł skorzystać z bezpłatnego iPada znajdującego się na wyposażeniu jego pokoju hotelowego. To, co można było w nim znaleźć, pokazuje, w jak niewielkim stopniu użytkownicy dbają o swoje bezpieczeństwo cyfrowe.
Ku zdziwieniu eksperta, hotelowe urządzenie nie tylko zawierało harmonogram konferencji, w której uczestniczył, i zapewniało bezpłatne połączenie Wi-Fi, ale również kryło mnóstwo prywatnych informacji należących do poprzednich gości, którzy nocowali w tym samym pokoju. Informacje te to m.in. konta z zapisanymi wcześniej hasłami, autoryzowane sesje na portalach społecznościowych, wyniki wyszukiwania z przeglądarki (w większości treści pornograficzne), pełne dane kontaktowe automatycznie zapisane w książce adresowej, wiadomości tekstowe, a nawet kalkulator ciążowy z rzeczywistymi danymi. Nie trudno było ustalić tożsamość osoby, która go wykorzystywała, ponieważ zostawiła na urządzeniu swoje informacje kontaktowe.
Czy takie dane mogą się komuś do czegoś przydać?
Mając imiona i nazwiska oraz adresy e-mail zapisane na urządzeniu, wystarczyło trochę „pogooglać”, aby dowiedzieć się, że niektórzy z użytkowników byli osobami publicznymi pracującymi dla rządu państwa, w którym przebywał ekspert z Kaspersky Lab. Co gorsza, większość sesji online nadal była otwarta, co pozwalało na wysyłanie wiadomości (także na portalach społecznościowych) w imieniu poprzedniego użytkownika.
Z punktu widzenia bezpieczeństwa takie działania są nie do przyjęcia. Potencjalny atakujący mógł nie tylko przeczytać wysyłane i otrzymywane wiadomości, ale również podszyć się pod ofiarę, wysyłając wiadomości w jej imieniu. To również doskonała okazja dla osoby zbierającej dane osobiste w celu wykorzystania ich do przeprowadzania ataków ukierunkowanych na znane osoby. Z drugiej strony, gdyby potencjalny atakujący wywodził się z klasycznych kręgów cyberprzestępczych, mógłby szantażować swoje ofiary. Co więcej, mógłby zrobić to z ogromną łatwością, ponieważ posiadałby wszelkiego rodzaju dane dotyczące ofiar, w tym tytuły filmów pornograficznych oglądanych w określonym dniu i o określonej godzinie. A biorąc pod uwagę to, że niektóre z potencjalnych ofiar to osoby publiczne pracujące dla rządu, taki szantaż miałby spore szanse powodzenia.
Gdzie popełniono błąd?
Co zatem ci użytkownicy zrobili nie tak? Można powiedzieć, że wszystko. Po pierwsze, nie jest rozsądne korzystać z darmowego urządzenia publicznego do celów związanych z prywatną komunikacją. Nigdy nie wiadomo, czy na urządzeniu nie znajduje się trojan ani kto stoi za taką gościnnością. Po drugie, jeśli obiekt publiczny chce oferować swoim gościom darmowe urządzenia przenośne na czas ich pobytu, istotne jest, aby przede wszystkim takie urządzenia były poprawnie skonfigurowane i ujęte w rozsądnych politykach bezpieczeństwa, z takimi założeniami jak nieprzechowywanie informacji osobistych, niezapisywanie haseł itd.
– Może jestem zbyt podejrzliwy, ale mając w swoim pokoju nieznane i niezabezpieczone urządzenie, takie jak tablet, które dodatkowo jest wyposażone we wbudowaną kamerę i mikrofon, wolałem je wyłączyć i schować do szuflady – wspomina Dmitrij Bestużew, analityk zagrożeń, Kaspersky Lab.
W Polsce sytuacja wygląda podobnie.