Praktiky obchodníků s osobními údaji, kdy se legální obchod stává nelegálním?

Abychom vás uvedli do příběhu - pokud někoho přijímáte na důležitou pozici ve firmě, která s sebou nese řadu povinností i přístup k citlivým datům, obvykle chcete vědět, jestli ten Javier Hernandez, který před vámi stojí v přijímacím řízení, je mexický obchodník s drogami nebo skutečně zkušený CSO s lety v oboru, jak se (si) píše v CVčku. Je ta firma, se kterou se chystám uzavřít obchody za milióny opravdu seriózní hráč na trhu? Mám jako banka půjčit Honzovi Novákovi na nové auto? Za pravdivou informaci jste ochotni zaplatit, a to hodně, protože se to nakonec vyplatí.

K tomu účelu můžete například využít registr dlužníků (v USA credit bureau) nebo nějakou specializovanou firmu. Ono je to například v USA hodně podobné.

Svět obchodu se soukromými daty

Ať už sám registr nebo specializovaná firma potřebuje databázi naplnit. Prvotní databázi může na základě různých dohod a smluv získat nějakým způsobem v omezené míře od státu či z veřejně dostupných zdrojů, ale konkurenční výhodu poskytne spojení s dalšími podobnými subjekty. Nakonec - čím víc a přesnějších záznamů o lidech bude firma mít, tím víc a lépe platících zákazníků. Můžeme polemizovat, co to vlastně znamená a jak a odkud firmy data berou, ale to je trochu mimo dnešní téma.

Největší databázi právních a veřejných záznamů údajně vlastní Lexis Nexis, firma s centrálou v Ohiu zprostředkující informace o nejrůznějších subjektech. To je pořádně šťavnatý cíl, nemyslíte? 

Když hacker hackne hackera

Undergroundovou konkurencí evidentně legální Lexis Nexis byla služba ssndob.ms, kterou se podařilo teenagerům ze známé skupiny UGNazi hacknout. Získali tak cennou databázi, kterou proměnili ve svůj byznys exposed.su. Detailní informace včetně čísel sociálního zabezpečení, adres a telefonních čísel (například na první dámu Michelle Obamovou, šéfa FBI, šéfa CIA) ukázaly, jak napěchovaná byla databáze ssndob. Během léta tohoto roku podlehla znovu, když ji kompromitovalo několik útočníků najednou. Databáze chvíli poletovala po internetu a Brianu Krebsovi z KrebsOnSecurity.com se podařilo analyzovat její kopii.

Data odhalují celkem 1 300 zákazníků služby, kteří utratili za informace o více než čtyřech miliónech američanů stovky tisíc dolarů. Bohužel záznamy neobsahovaly informace o zdrojích dat. Až koncem léta se přišlo na to, že tvůrci za ssndob.ms operovali velice schopný botnet, který svá chapadla umístil mimo jiné i do výše zmiňovaného Lexis Nexis. Firma posléze potvrdila přítomnost dvou botů v serverech mířících do internetu. Další dva zdroje byly v Dun & Bradstreet - ve firmě, která zrpostředkovává informace o byznys partnerech. Pátý bot se usadil u zprostředkovatele background screeningu firmy Kroll.

Všechny tři firmy údajně aktivně řeší incidenty (co jiného asi), jsou však skoupé na detaily a Lexis Nexis dokonce přišel se svérázným prohlášením, že sice hackeři pobývají v jejich síti již od dubna 2013, ale firma nenašla "žádné důkazy, že by zákaznická nebo spotřebitelská data byla dosažena nebo exfiltrována" z kompromitovaných systémů.

Uživatelé ssndob

Poznámka: S Lexis Nexis souvisí i kauza ChoicePoint. Tato firma svého času působila jako soukromá zpravodajská služba vlády Spojených států. V roce 2004 čelila útokům podvodníků, kteří na firmě provedli celkem 5 000 případů krádeže identity. V roce 2008 koupila ChoicePoint firma Reed Elsevier (mateřská firma Lexis Nexis).

Data jako studnice vědění

Nejdůležitějším typem dat jsou podle anlytika podvodů z Gartneru Avivaha Litana informace o obchodních zvycích různých firem. Pokud vlastníte odpovědi na otázky, podle kterých se dá určit, zda jste skutečně onen byznys, dostáváte se do průmyslového odvětví knowledge-based authentication (autentizace založená na vědomostech), ve kterém se prý protočí až 2 miliardy dolarů ročně. "Firmy jako Lexis Nexis o každém z nás shraňují asi 100 otázek, jako třeba 'Jaká byla vaše bývalá adresa?', 'Která firma obhospodařuje vaší hypotéku?'," říká Avivah.

Většinou prý normální člověk udělá při dotazování cca 10-15 % chyb - prostě si všechno nepamatuje. Ironicky vzato, podvodník, který ukradl vaší identitu, neudělá chybu žádnou (má odpovědi na všechny otázky). Litan Krebsovi poslal i vtipnou příhodu, kdy se pracovnice ptá žadatele - kolik že zaplatil a poslední splátku hypotéky a ze sluchátka se ozve: "Počkejte minutku..." a následuje klikání myší s ťukáním do klávesnice, kdy hledal podvodník správné odpovědi.

Další hráč ve špinavé hře: Experian

Služby zlodějů identit bývají v internetovém podsvětí podstatně levnější než ty oficiální - za komplexní dotaz na osobu zaplatíte třeba $2,5, ale i méně. Dalším poskytovatelem takové služby byl v roce 2011 Superget.info - "za pár šupů" jste dostali podle jména číslo sociálního zabezpečení, záznamy o řidičáku, datum narozenin i finanční záznamy na milióny američanů. Po odhalení kauz Lexis Nexis atd. (viz výše) se ozval čtenář KrebsOnSecurity, který označil databázi Superget a USInfoSearch.com za totožnou. 

Po kontaktování firmy odpověděl CEO firmy USInfoSearch Marc Martin sdělením, že data neprosákla z jeho firmy, nýbrž z firmy Court Ventures, se kterou InfoSearch uzavřel před lety dohodu o kompletním sdílení informací. Založená 2001, Court Ventures má agregovat, organizovat a distribuuvat data ze 1 400 státních i regionálních zdrojů. A tady začíná to správné obchodování přátelé.

V roce 2012 koupil firmu kalifornský Experian - jeden ze tří hlavních registrů dlužníků v USA. Spolupráci s Court Ventures začal v té době údajný soukromý vyšetřovatelský tým ze Spojených států, na kterém se však něco nelíbilo americkým tajným službám, kterým se dokonce podařilo získat předvolání Experianu k soudu. I když mohl "soukromý vyšetřovatelský tým" leckoho zmást, existovaly v té době i další důkazy podvodné činnosti - firma například platila měsíční platby ze Singapuru. Jak to mohli "experti na úniky dat" z Court Ventures přehlédnout, zůstává zatím záhadou.

Experian se vyjadřuje ke kauze, která pokračuje koncem tohoto měsíce, slovy: "[...] Po akvizici nám Americká tajná služba oznámila, že Court Ventures přeprodával a stále přeprodává informace od US Info Search třetí straně, která může být součástí ilegálních aktivit. Po oznámení jsme pracovali s ochránci zákona a podařilo se nám převést před soud vietnamského občana Hieu Minh Ngo." Ngo vystupoval na internetu pod nickem hieupc a Američanům se jej podařilo vlákat do pasti na americký ostrov Guam, kam si pro něj přišli američtí agenti. 24letý Vietnamec nyní čelí trestu desítek let vězení.

Závěr: Spolupráce veřejného a soukromého sektoru nemusí přinést vždy ovoce

I když je z hlediska zabezpečování informačních systémů spolupráce firem a veřejného sektoru nezbytná, v oblasti obchodu s osobními údaji to nemusí být taková výhra. Dokud u nás nepotečou tímto směrem miliardy ročně, nebezpečí zneužití nebude tak velké, ale stále je s ním třeba počítat. Navíc prodávaná data na serverech v internetovém podsvětí nejsou zdaleka jen z USA, větší procento občanů bylo i z evropských zemí.

Čtete týdenní bezpečnostní bulletin internetového magazínu CDR. Moderní trendy počítačové bezpečnosti a hlídací pes nově objevených kritických chyb ve vašem softwaru na jednom místě. 

To je pro dnešek vše, zůstaňte s námi a za týden nashledanou.

Minulé díly CDR Security Update

• Java dostává opravy 51 kritických děr | Apple iMessage před hackery nevydržel

• Hackeři se srocují a před volbami oťukávají politické weby, co se chystá?

• NSA dokáže prolomit anonymitu sítě Tor

Díly CDR Security Update SPECIÁL

• Laboratoř hackera - vaše lokální síť nemusí být bezpečná

• Jak se dostat k citlivým datům iPhonu za pár sekund

• Chraňte lépe svůj Google účet pomocí dvouúrovňové autentifikace