2014 har börjat med flera säkerhetsproblem. Först var det Snapchat som blev hackade och 4.6 miljoner konton publicerades online. Nu senast är det Skype som är hackat av The Syrian Electronic Army (SEA). Innan dess var det Target som blev av med krypterade kreditkortsuppgifter för 40 miljoner kunder.
Det var strax före nyår som Target motvilligt erkände att inte bara hade deras system blivit hackat, dessutom hade känslig information om kundernas kreditkort. Information som kundernas namn, kortnummer, giltighetstid och CVV (den tresiffriga säkerhetskoden) blev stulna. Efter undersökning så ska Target även medgett att kundernas PIN nummer även blivit stulet, men att det är hårt krypterad och kräver en extern nyckel som inte fanns med på deras system vid intrånget. Totalt drabbades ca 40 miljoner kunder av intrånget.
Snapchat lyckades med konststycket att trots att man fått indikationer på att det fanns brister i deras system så gick man ut med en ganska korkad notis om att man fått information om att det fanns ett säkerhetsproblem, men att det inte var något att oroa sig för...
This week, on Christmas Eve, a security group posted documentation for our private API. This documentation included an allegation regarding a possible attack by which one could compile a database of Snapchat usernames and phone numbers.
Our Find Friends feature allows users to upload their address book contacts to Snapchat so that we can display the accounts of Snapchatters who match the phone numbers found in the address book. Adding a phone number to your Snapchat account is optional, but it’s helpful for allowing your friends to find you. We don’t display the phone numbers to other users and we don’t support the ability to look up phone numbers based on someone’s username.
Theoretically, if someone were able to upload a huge set of phone numbers, like every number in an area code, or every possible number in the U.S., they could create a database of the results and match usernames to phone numbers that way. Over the past year we’ve implemented various safeguards to make it more difficult to do. We recently added additional counter-measures and continue to make improvements to combat spam and abuse.
Självklart så var det precis vad som hände och på nyårsafton lades en databas upp med 4.6 miljoner användarnamn med tillhörande telefonnummer. Dock så är de sista siffrorna inte synliga, än, men man hintar om att man kan tänka sig att släppa på alla data, i sin helhet till rätt person/företag.
The company was too reluctant at patching the exploit until they knew it was too late and companies that we trust with our information should be more careful when dealing with it.
Jag tror att den kommentaren säger allt om hur dumt det är att gå ut och säga som Snapchat sa istället för att ta saken på allvar. Underskatta aldrig uppfinningsrikedomen, eller tiden denne är villig att lägga ner, hos en dedikerad hacker...
Sist i raden av intrång är Skype som lyckades få sitt Twitterkonto, Facebook konto och sin blogg kapad av The Syrian Electronic Army (SEA). Det tog inte lång tid innan SEA pumpade ut sitt anti-Microsoft budskap:
Don't use Microsoft emails(hotmail,outlook),They are monitoring your accounts and selling the data to the governments.More details soon #SEA— (@Skype) January 01, 2014
Meddelandet retweetades 8000 gånger innan Skype lyckades få kontroll på sitt konto igen. På deras blogg såg det ut så här:
Jag skulle säga att dessa incidenter bara är toppen på isberget och jag får den otäcka känslan av att det finns ett glapp mellan företags säkerhetstänk, och lösningar, jämfört med kompetensen och kunskapen hos dagens hackers. Det är inte riktigt lika illa som på -90 talet, men jag ser själv en viss slapphet när det gäller hantering av känslig information hos många aktörer, både små och stora. Det finns en slags övertro på tekniken, trots att det finns så många bevis därute för att det bara är en illusion om man inte går till extrema längder.
Jag tror också att detta bara är början och att vi under 2014 kommer att så många stora amerikanska företag bli utsatta för liknande attacker. Själv har jag redan fått ett nytt kreditkort innan 2013 var över på grund av säkerhetsintrång och jag skulle inte bli förvånad om jag får ett till av samma anledning under 2014...