Használt Tesla modulokon találtak egy rakás személyes adatot

Tudjuk, első világbeli probléma mind, amire bejegyzésünkben rávilágítunk, de tanulságos: a Tesla nem törölte az autóiban használt, de kicserélt számítógépekről a személyes adatokat, amelyeket bárki megvásárolhatott az eBay-en.

A Tesla elektromos autó, de ugyanakkor egy négykeréken járó számítógép is: külön egység gondoskodik az utasok szórakozásáról, egy másik az önvezető funkciókat vezeti. A régebbi Tesla modellekben ezek az egységek 4-5 év használat után a sok eltárolt adat miatt használhatatlanná váltak. A tulajdonosok nyomására a gyártó úgy döntött, ezeket az egységeket ingyen kicseréli az érintett autókban. Ennek hatására egy sor, személyes adatot tartalmazó számítógépes egység került szemétdombra, onnan pedig élelmes vállalkozók az eBay-re pakolták.

eBay-en vásárolt modulok

Egy ehhez hasonló eBay-es aukción vásárolt ezekből a kiszuperált darabokból a GreenTheOnly becenevű fehérkalapos hacker, melyeket elvileg az előírások szerint a Tesla alkalmazottai el kellett volna pusztítsanak – annyit tettek csupán, hogy egy-két kalapácsütéssel próbálkoztak, de ezek masszívabb daraboknak bizonyultak.

Az aukciós portálon megvásárolt modulokon egy rakás személyes adat volt, az adatfertőtlenítéssel senki sem törődött: a biztonsági szakembernek sikerült hozzájutnia az előző tulajdonos otthoni és munkahelyi címéhez, az összes elmentett wifi jelszóhoz, telefonos naptárbejegyzésekhez, híváslistákhoz, névjegyzékhez. Ugyanakkor több szórakoztató alkalmazás, mint Netflix és Spotify sütiket is talált a modulon – ezek segítségével visszafejthető az adott alkalmazás jelszava – a Spotify-nál még ezt sem kell, hiszen ott a jelszót szöveges állományban tárolják.

A cikk írói megkerestek négy személyt, akinek személyes adatait a biztonsági szakember megtalálta a kidobott modulokon, közülük egy jelezte csupán, hogy jogi lépéseket fontolgat a Tesla ellen, és csodálkozott, hogy az autógyártó ilyen könnyedén kezeli a személyes adatokat, ahogy azon is, hogy az adatokat titkosítás nélkül tárolták ezeken a modulokon.

Katonai gépen is voltak adatok

Az eBay úgy tűnik, kiapadhatatlan kincsesbánya az adatok után kutató számára. Korábban a G DATA kutatói találtak egy rakétahordozóra vonatkozó adatokat a aukciós portálon vásárolt katonai lapotopon.

A cikk forrása: InsideEVS

Mi is az az adatmegsemmisítés?

Az adatmegsemmisítést többféle módon is meghatározták a technikai kiadványok és iparági szereplők. A gond az, hogy az adatmegsemmisítést az adatfertőtlenítés szinonimájaként használják, és nehéz első hallásra megkülönböztetni, hogy hol ér véget az egyik és hol kezdődik a másik. És ha még olyan kifejezéseket is bedobnak, hogy fizikai megsemmisítés és adattörlés, teljes a káosz – ennek a visszaállítható adatunk ihatja meg a levét.

A TechTarget meghatározása szerint az adatmegsemmisítés az a folyamat, melyen a szalagon, merevlemezen vagy más formájú elektronikus adathordozón tárolt adatok úgy megsemmisítjük, hogy azok teljesen olvashatatlanok, nem lehet hozzájuk férni és engedély nélkül felhasználni. Azonban annak érdekében, hogy megbizonyosodjunk az adat tényleg elérhetetlen és megsemmisült, és hogy a szabványoknak és előírásoknak megfeleljünk, ennél sokkal többre van szükség. És itt jön képbe az adatfertőtlenítés, melyről korábbi bejegyzésünkben már beszéltünk.

Ami nem adatmegsemmisítés

Az biztos, hogy az adatmegsemmisítés az nem adatfertőtlenítés. Az adatfertőtlenítéstől eltérően, az adatmegsemmisítésből hiányzik több lépés: például az ellenőrzés, hogy az adatokat ténylegesen törölték az adott adathordozóról. Jöjjön két gyakorlati példa a két folyamat közötti különbség szemléltetésére:

Amikor egyéni fájlokat törölnek, adatmegsemmisítéssel nem magát az információt, csupán a rá mutató hivatkozást törlik. Ez olyan, mintha valaki a róla fellelhető internetes információt nem törölné, csupán a kereső találatait. Az adat még ott marad a gépen (és az internet bugyraiban), de nem lehet könnyen visszahozni, ehhez megfelelő szakértelen szükséges.

Amikor például el szeretnénk adni használt számítógépünket, gyakran teljesen formázzuk a merevlemezt, de sajnos ez a módszer után is maradhat még adat a merevlemezen. Nem egyszerű ezek visszanyerése sem, különleges eszközökkel, de a maradék adatok visszanyerhetők.

Az adatmegsemmisítés nem fizikai megsemmisítés

Az is fontos megjegyezni, hogy az adatok megsemmisítése nem egyenértékű az adathordozók fizikai megsemmisítésével. A fizikai megsemmisítés során valóban apró darabokra daráljuk az adathordozót, de az adat attól még rajta marad. Az SSD-k esetében például az adatokat annyira sűrűn írják az adathordozóra, hogy még az apróra vágott eszközdarabkáról is kiolvasható adat.

A demágnesezés sem vezet mindig eredményre, hiszen minden merevlemez esetében megfelelő erősségű demágnesezőt kell használni annak érdekében, hogy a kifejtett mágneses erő olvashatatlanná tegye az adatokat. A demágnesezés SSD meghajtók esetén nem is működik. Mindezt az jelenti, hogy egyedül az adathordozó fizikai megsemmisítése még nem garancia arra, hogy az adatok tényleg olvashatatlanok, erről meg is kell győződni valahogy – például ellenőrzéssel, ami az adatfertőtlenítéskor járható út.

Melyik adatfertőtlenítési mítoszban hiszel? – harmadik rész

Előző két cikkünkben (első cikk, második cikk) részletesen foglalkoztunk hat adatfertőtlenítési mítosszal: terítékre került az egyszerű adattörlés, a formázás és a fizikai megsemmisítés körüli téveszmékről. Második cikkünkben a demágnesezés, a kriptográfiai törlés és a DATA D által is kedvelt adatfertőtlenítésről volt szó. Harmadik és egyben a témát lezáró cikkünkben a T2-es chipekkel ellátott Apple Mac gépek adattörléséről, az adattörlés felhasználási területéről, a szerverek adattörlési idejéről és az adatfertőtlenítés költségéről kapcsolatos mítoszokat porlasztjuk szét.

Mítosz 7 – a T2-es Mac gépek törlésbiztosak

Az Apple kiemelten ügyelt a biztonságra, a 2017 második felében bevezetett T2-es chippel ellátott iMacPro (és a későbbi modellek, mint a MacBook Pro, MacBook Air és Mac Mini) gépeknél lapkaszinten is figyel a biztonságra. A T2-es chipre több olyan kontrollert építettek be, mely emeli a gép biztonsági szintjét.

A secure boot funkció például korlátozza, hogy milyen operációs eszköz tölthető be a macOS eszközökre, vagyis csak egy legitim, megbízható operációs rendszer indulhat el a gép bekapcsolásakor. Azt sem engedélyezi, hogy esetleg USB memóriáról bootolják a gépet, vagyis gyakorlatilag megakadályozzák, hogy például hackerek más operációs rendszer indításával férjenek hozzá adatainkhoz. Ez a lapka a hagyományos adattörlési megoldásokkal sem működik együtt: a Blancco Drive Eraser megoldása is operációs rendszerként működik telepítéskor. Azonban a T2-es gépek törlésére a Blancco kidolgozta a LUN Eraser megoldását, mely ezt a kérdést nyugtatóan kezeli.

Mítosz 8 – az adatfertőtlenítés csak a fizikai meghajtókra alkalmazható

Mindenképp szakszerűen törölnünk kell a régi és már nem használt merevlemezeket és SSD meghajtókat, még mielőtt azok elhagyják vállalatunk falait – vagy megbízható cégre taksáljuk ezt az érzékeny feladatot. Azonban az aktív, élő IT környezetnél is szükség van a biztonságos adatfertőtlenítésre, így tudjuk az adatokat teljes életciklusuk alatt az előírásoknak megfelelően kezelni.

Ha mindezt a feladatot automatizáljuk, akkor biztosak lehetünk abban, hogy egyetlen végfelhasználói ponton sem marad helyi másolata az ügyfélinformációnak vagy a bizalmas adatnak.  A rendszeres adattörlés megelőzi az adatfelhalmozást, olyan helyeken, melyek célpontjai lehetnek egy külső támadásnak – ezzel a magas kockázattal járó adatszivárgást előzhetjük meg. Minél több lejárt, redundáns, régi adattól szabadulunk meg rendszerezetten, annál kisebb a kockázata, hogy a sikeres támadás nem várt adatveszteséget okoz.

Mítosz 9 – a szerverek adatfertőtlenítése hosszas kimaradást eredményez

Sokkal gyorsabb a több tíz, száz vagy akár ezer szerver adatfertőtlenítése, mint hinnénk. Még akkor is, ha élő IT környezetben végezzük az adatfertőtlenítést vagy életciklusuk végén lévő hardverekről van szó. A biztonságos adatfertőtlenítési megoldások nemcsak minimalizálják a kiesési időt, hanem a szabályzat által működtetett automatizáció és a helyi megoldások csökkentik a törléshez szükséges élő emberi erőforrást is. Főleg azoknál a szervezeteknél, ahol nagyon sok a manuális munkafolyamat, a biztonságos és automatikus adatfertőtlenítés meggyorsítja az egész vállalatot. Bizonyítékra van szüksége? Akkor olvassa el a Blancco esettanulmányát, melyből megtudja, hogyan fertőtlenítettek egyszerre 4000 szervert.

Mítosz 10 – az adattörlés költséges

Ez a legkönnyebben szétszedhető mítosz, ugyanis az adattörlés nem költséges. Ha a DATA D-re bízza számítógépes flottájának, esetleges merevlemezeinek biztonságos adatfertőtlenítését a legtöbb esetben maga az eszköz értéke fedezi a menedzselt adattörlés költségeit. A vállalatok így két gondjuktól szabadulnak meg egyszerre: a régi adathordozókon lévő adatoktól biztonságosan és auditált módon semmisülnek meg, miközben egy újrahasznosítható eszközhöz jutnak.

Ezt a működőképes eszközt maguk az alkalmazottak vásárolhatják meg jelképes áron vagy jótékonysági akció keretében egy rászoruló szervezetnek adományozhatjuk. De ha nem is szeretnénk hardverjeinktől megszabadulni, akkor az adatfertőtlenítés árát az esetleges hatósági bírságokkal vagy az adatveszteség miatt bekövetkező reputáció csökkenésének költségeivel érdemes összehasonlítani – biztosan tudjuk, hogy az adatfertőtlenítés kevesebbe kerül.

2015-ös adatbiztonsági jelentés

2015-ös adatbiztonsági jelentés

Évi 79.790 adatbiztonsági incidens

Regisztráció ellenében immár hozzáférhető a Verizon 2015-ös adatbiztonsági (Data Breach) jelentése, amely 70 közreműködő cég és szervezet segítségével 61 országból összesítette és elemezte a 2014-es év 79.790 adatbiztonsági incidensét. http://news.verizonenterprise.com/2015/04/2015-data-breach-report-info/

1. A fordító nyöszörgései

Kezdjük mai blogbejegyzésünket azzal, hogy miért is nem olyan könnyű megtalálni az angol „data breach” kifejezés legjobb magyar fordítását. A Verizon szakemberei úgy definiálják, mint egy olyan biztonsági eseményt, amelynek során adatok valóban jogosulatlan kezekbe kerültek, és nem csupán ennek lehetősége állt fent. A „breach” szó magyar fordítása azonban a szóösszetételtől függően más és más lehet, a „breach of contract” például „szerződésszegés”-t, míg a „breach of peace” „csendháborítás”-t jelent. Értelmetlen lenne azonban a „data breach”-et akár „adatszegés”-nek, akár „adatháborítás”-nak fordítani, lehetne viszont

(tovább…)