Półtora roku temu w rozmowie z Pawłem Goleniem doszliśmy do wniosku, że w czasach cyber-świata trzeba przewartościować spojrzenie na pojęcie prywatności i raczej zamienić je na świadome udostępnianie informacji o sobie. To, co się dzieje, gdy „sprzedajemy” do sieci wszystko, co się da, pokazał bardzo obrazowo Herbert Thompson, adiunkt w Departamencie Nauk Komputerowych Uniwersytetu Kolumbia.
Otóż Thompson zaproponował kilku osobom, które ledwie znał, udział w eksperymencie. Poprosił ich o imię, informacje w jakim mieście mieszkają, gdzie pracują i ile mniej więcej mają lat oraz o nazwę banku i login do konta. Akurat tych informacji (może poza loginem do banku) nie ukrywamy i wiele osób, nawet nie znając nas blisko, może uzyskać do nich dostęp.
Potem przeszedł do działania:
● Wyszukał dane o ofierze – kobiecie o imieniu Kim – w Google, używając imienia, miasta i nazwy zakładu pracy. W ten sposób znalazł jej bloga, który okazał się kopalnią danych – m.in. szczegółów dotyczących dziadków Kim, jej ulubionego zwierzęcia, rodzinnego miasta, a przede wszystkim prywatnego i uczelnianego adresu e-mail
● Wpisał jej login do konta bankowego (ale mógłby go równie dobrze odgadnąć, bowiem byłą to pierwsza litera imienia+nazwisko!) i użył opcji odzyskiwania hasła; dowiedział się, że nowe hasło zostało wysłane na prywatnego maila Kim
● Użył opcji odzyskiwania hasła z konta prywatnego – informacja została wysłana na konto uczelniane
● Na koncie uczelnianym użył więc – brawo dla tych, którzy na to wpadli 🙂 – opcji odzyskiwania hasła; większość niezbędnych informacji znalazł na blogu, miał jednak problem z jej dokładną datą urodzenia
● Na Facebooku nie znalazł daty urodzenia (brawo dla Kim!), wrócił więc na bloga, poszukał słowa „birthday” (urodziny) i ostatecznie znalazł dzień i miesiąc
● Wiedząc, jak wygląda Kim i ile mniej więcej ma lat, mógł „strzelać” we właściwy rok; na szczęście dla włamywacza konto uczelniane blokowało się dopiero po piątym błędzie, a Thompson trafił wcześniej
● Potem poszło już z górki: wszedł na konto uczelniane, zmienił hasło; uzyskał dostęp do konta prywatnego, zmienił hasło; wszedł na konto bankowe, odpowiedział na kilka prywatnych pytań, by odzyskać hasło (dzięki blogowi nie stanowiły dlań żadnego problemu) i e voila, droga do pieniędzy Kim stała przed nim otworem! Czy raczej stałaby – bowiem na tym eksperyment został zakończony i mocno zapewne zszokowana Kim mogła od nowa zabezpieczyć swoje zasoby e-mailowe i finansowe.
Jakie nasuwają się Wam wnioski? Bo mnie przynajmniej kilka. Na pewno nie powinno się traktować loginu jako zła koniecznego – gdyby Kim miała wystarczająco trudną nazwę użytkownika, próba ataku mogłaby się skończyć zanim by się na dobre zaczęła. Jeśli odczuwamy potrzebę sieciowego ekshibicjonizmu, przed udostępnieniem informacji o sobie warto się zastanowić, czy na pewno jest tak ważne, by akurat te dane poznał cały świat? Nie zaszkodzi też drobny „tuning” odpowiedzi na pytania zabezpieczające przy resetowaniu hasła. Zamiast np. panieńskiego nazwiska matki „Iksińska”, broniącego dostępu do konta Gmail, można wpisać GmaIksińskail. I na takiej samej zasadzie np. SluzYgrekowskabowe. Wystarczy zapamiętać regułę i podpowiedzi, oczywiste dla nas, dla złodzieja będą już znacznie trudniejsze. Nie podsuwajmy mu klucza do naszych pieniędzy na złotym talerzu.
