RIA maailma suurimast paroolivargusest: veel ei ole teada, kuidas see Eesti kasutajaid mõjutab
6. august 2014, 12:20
Juhime tähelepanu, et artikkel on rohkem kui viis aastat vana ning kuulub meie arhiivi. Ajakirjandusväljaanne ei uuenda arhiivide sisu, seega võib olla vajalik tutvuda ka uuemate allikatega.
Riigi infosüsteemi ameti intsidentide käsitlemise osakonna infoturbe eksperdi Triin Niguli sõnul pole USA küberturbefirma avastatud ulatusliku kasutajaandmete varguse kohta praegu piisavalt infot, et oletada, kui palju see Eesti internetikasutajaid mõjutab.
USA väljaanne New York Times kirjutas eile, et ilmselt vene päritolu küberkurjategijate grupeering on varastanud kokku 1,2 miljardit kasutajatunnust ja salasõna, tegu on teadaolevalt ajaloo suurima sellise intsidendiga. Probleemist teatas USAs Milwaukees tegutsev internetiturbefirma Hold Security, kelle andmetel saadi andmed 420 000 leheküljelt, kaasa arvatud mitmete rahvusvaheliste suurfirmade lehekülgedelt.
Niguli sõnul teeb juhtumi mõju hindamise lisaks praegu olemasoleva info nappusele keeruliseks ka asjaolu, et inimestel on reeglina mitu meiliaadressi ning ühte ja sama meiliaadressi, rääkimata salasõnast, kasutatakse tihtipeale mitme veebikonto juures.
«Samas on intsidendi avalikustanud Hold Security kinnitanud, et sissemurtud veebisaitide omanikke üritatakse teavitada, kuigi alati pole see õnnestunud. See tähendab, et auklike veebisaitide haldajad peaksid pärast info saamist saidi turvameetmeid parandama ning omakorda klientidega suhtlema. Umbropsu igal pool paroole vahetama hakata ei ole vast mõistlik,» leidis turbeekspert.
«Oht, millele aga tingimata peaks seoses intsidendiga tähelepanu juhtima, seisneb paroolide ristkasutuses. Ehk siis, mugavast harjumusest mitmel veebilehel sama salasõna kasutada, tuleks kiiremas korras võõrduda. Isegi, kui Facebook ja teised suured tegijad suudavad oma rakendused turvalisena hoida, pole sellest abi, kui FB konto ülevõtmiseks piisab kuskilt suhteliselt tähtsusetust saidist pihta pandud paroolist,» tõi Nigul näite ristkasutuse ohtikkusest.
Ta lisas, et väidetavalt plaanib lekkeinfo valdaja Hold Security välja tulla veebiteenusega, mis võimaldab internetikasutaja identiteedi kuritarvituse kahtlust kontrollida, kuid see eeldab Hold Security «Identity Protection Service» nimelise toote tarbijaks hakkamist. Teenust lubatakse küll esialgu tasuta pakkuda, kuid abipalvete tulva tõttu palutakse huvilistel olla Niguli sõnul kannatlik.
«Kindlasti ei tohiks reageerida tõenäoliselt õige pea tekkivatele paljudele libasaitidele ja kavalmeilidele, mille kaudu pakutakse võimalust kontrollida, kas ka teie andmed suurlekkes võõrastesse kätesse sattusid. Andmete varguseks olevat ära kasutatud SQL haavatavusi, seega peaksid veebisaitide omanikud kontrollima, ega nende saidid pole haavatavad SQL injection ründele,» hoiatas ekspert.