Digiturvatulkki

takaisin etusivulle

Massiivinen tietomurto: Hakkerin epäillään varastaneen yli 100 miljoonan ihmisen tiedot Capital Onelta

Tulkkaamme caseja, joissa digiturva on syystä tai toisesta pettänyt.
Tulkkaamme ilmiöitä, jotka vaikuttavat digiturvan toteuttamiseen.
Tulkkaamme teknologiauutisia, joilla on vaikutuksia digiturvaan.
case
ilmiö
teknologia
tietoturvaloukkaus
capital one
ohjelmistopäivitykset

Tulkattava artikkeli

Viitattu
6.8.2019
osoitteessa
https://www.is.fi/digitoday/tietoturva/art-2000006188726.html?ref=rss
Yhdysvallat kertoo uutistoimisto Reutersin mukaan pidättäneensä naisen, jonka epäillään varastaneen miljoonien ihmisen henkilö- ja taloustietoja Capital One -pankin tietokannasta. Seattlessa toimivassa teknologiayhtiössä aiemmin työskennellyt ohjelmistoinsinööri Paige Thompson , 33, kävi maanantaina ensimmäisen kerran oikeuden edessä. Uutistoimisto AFP kertoo epäillyn tietomurron tapahtuneen tänä vuonna maaliskuun 12. päivän ja heinäkuun 17. päivän välisenä aikana. Capital Onen mukaan hakkeri sai muun muassa haltuunsa Yhdysvalloissa noin 100 miljoonan ihmisen nimiä, osoitteita, puhelinnumeroja ja luottotietoja. Kanadassa tietomurto koski noin kuutta miljoonaa ihmistä.
Lue koko alkuperäinen artikkeli

Tiivistelmä

eli avainasiat yläpuolen artikkelista
Hakkeri pääsi Capital Onen väärin konfiguroidulle AWS-pilvipalvelimille ja varasti yli 100 miljoonaan luottokorttihakemuksen tiedot, mm. nimiä, puhelinnumeroja, osoitteita, syntymäpäiviä sekä tulotietoja, osalta jopa henkilötunnuksia, luottopisteytyksiä sekä maksuhistoriaa.

Tulkin kommentit

Tiivistämme uutisten ydinsisällön ja opetukset selkokielellä.

Amazon Simple Storage Servicen, eli Amazon S3:n avulla organisaatio voi varastoida tiedostoja, lähdekoodia, salasanoja tai mitä tahansa tietokantoja virtuaalipalvelimella fyysisten serverihyllyjen sijaan. Se on vähän kuin kuluttajille tuttu Dropbox IT-tiimeille suunnattuna.

Tämä tietovuoto oli merkillinen sen puolesta, että tekijä oli työkokemukseltaan S3-insinööri, tapauksesta organisaatiolle ilmoittanut henkilö oli tekijän läheisiä tuttuja ja tiedot oli jaettu suoraan tekijään viittaavalla GitHub-tilillä. FBI:ltä ei vaatinut erityistä nokkeluutta saada tekijä hyvin nopeasti kiinni.

Mikä meni pieleen?
Capital one kertoi syyksi "haavoittuvan konfiguraation" palvelimella

Tämä "haavoittuva konfiguraatio" voi hienosta sanavalinnasta huolimatta tarkoittaa esimerkiksi niin yksinkertaista asiaa, että joku on jättänyt luottohakemustietojen osalta pääsyvalinnan kohtaan "objects can be public". Tällöin hyökkääjä voi päästä vapaasti juttelemaan rajapinnalle ja käsiksi tiedostoihin ilman sen kummempia temppuja. Kyse voi toki olla myös poistamatta jääneistä käyttäjätileista tai muuten solmussa olevista, useisiin eri kohtiin liittyvistä käyttöoikeuksista.

Vuoto huomattiin vasta tekijän siitä ilmoittaessa

Toiminta aloitettiin vasta yrityksen saatua sähköpostiviestin vuodettujen tietojen ilmestymisestä GitHub-palveluun. Tällainen tapaus voi olla kuitenkin hankalaa havaita itse, mutta organisaatio toimi hyvin ilmoittaessaan siitä viipymättä eteenpäin. Hyvin ennalta suunniteltu ilmoitusprosessi on erittäin tärkeä häiriöiden tapahtuessa.

Kuinka vältät vastaavan?
Selkeä vastuunjako palvelinten suhteen

Kuka tuntee kussakin sijainnissa säilötyn datan ja vastaa sen turvallisuudesta? Mikäli vastuunjako digiturvan parissa on selkeää ja asioita seurataan, ongelmia ilmenee selvästi vähemmän. Iso osa digiturvaongelmista johtuu tilanteista, jossa helppo mutta tärkeä toimenpide putoaa ihmisten väliin ja jää siksi huolehtimatta.

S3-palvelimien oikean konfiguraation testaamiseksi on myös olemassa myös palveluja, mm. Detectify, jotka etsivät automaattisesti sivustoilta yleisiä ongelmiin johtavia konfiguraatioita.

Huomioita ja vinkkejä
Tapauksen uutisointi ei ollut erityisen negatiivista

Nykyään on selvästi siirrytty siihen suuntaan, että nopeasti ja avoimesti viestityt tapaukset saavat osakseen vähemmän negatiivista julkisuutta, olipa syy tapaukselle mikä tahansa. Capital One toimi hyvin kertoessaan tapahtuneesta avoimesti, heti saadessaan siitä tiedon.

case
ilmiö
teknologia
tietoturvaloukkaus
capital one
ohjelmistopäivitykset