Neznámý hacker zveřejnil tisíce údajů klientů VirtualMacOSX

Podle investigativního týmu Cybernews byl na internetu objeven špatně zabezpečený server běžící na platformě Elasticsearch, který obsahoval více než 100 milionů detailních záznamů o švédských občanech a organizacích. Data byla dostupná veřejně, bez jakéhokoliv hesla, a kdokoliv, kdo věděl, kde hledat, k nim měl přístup.

Tato databáze byla podle výzkumníků označena jako „zlato pro každého, kdo se věnuje zpravodajství o firmách“ – šlo totiž nejen o jména a adresy, ale o komplexní profily s finančními, daňovými a behaviorálními údaji.

Co všechno databáze obsahovala?

Záznamy pokrývaly období mezi lety 2019 a 2024 a byly rozděleny do 25 samostatných indexů, z nichž každý dokumentoval různé aspekty života. Obsahovaly například:

• celé jméno a jeho historické změny
• švédské rodné číslo, datum narození, pohlaví
• aktuální i minulé adresy, včetně zahraničních
• stav (svobodný, ženatý, rozvedený atd.)
• informace o úmrtích
• evidence dluhů, záznamy o platební neschopnosti
• bankroty, daňové přiznání, výše příjmů
• vlastnictví nemovitostí, nákupní chování
• podrobnou finanční i behaviorální analýzu

Jednoduše řečeno – kompletní digitální profil jednotlivců i firem, který by mohl být zneužit k cíleným útokům, podvodům, nebo šíření dezinformací.

Firma Risika v podezření, ale popírá vinu

Výzkumníci při analýze databáze zjistili, že některé interní značky a názvy indexů odpovídají používaným strukturám dánské fintech společnosti Risika. Ta se specializuje na hodnocení úvěrového rizika a monitoring firem, a podle výzkumníků možná legitimně poskytla data třetí straně, která však následně data nesprávně nakonfigurovala a nechala volně přístupná.

Zdroj: Shutterstock

Firma Risika po kontaktování Cybernews reagovala rychle – server byl do 24 hodin uzamčen. Současně ale vydala prohlášení, že:

„Předběžné šetření naznačuje, že data uvedená v úniku neobsahují informace, které bychom vlastnili, ukládali nebo k nim měli přístup prostřednictvím našich obchodních operací.“

Tím de facto odmítla jakýkoliv podíl na úniku, přestože výzkumníci zůstávají přesvědčeni, že data pocházejí z prostředí navázaného na jejich produkty.

Kdo za to může a jak je to možné?

Podobné případy ukazují na nebezpečí outsourcingu datových služeb. I pokud firma dodrží bezpečnostní zásady, může její partner nebo klient selhat. Ve světě, kde data o občanech cirkulují mezi desítkami systémů a analytických firem, je dohled téměř nemožný.

Chyba v konfiguraci serveru – např. zapomenutá autentizace nebo neuzamčený port – pak znamená, že miliony záznamů zůstávají veřejně přístupné celé měsíce, někdy i roky. V tomto případě měl kdokoliv s trochou technických znalostí možnost číst vysoce osobní informace o lidech, kteří se o ničem nedozvěděli.

Jaká rizika teď hrozí?

Únik údajů v tomto rozsahu může mít fatální následky – nejen pro jednotlivce, ale i pro celé společnosti a instituce. Mezi nejvážnější hrozby patří:

• krádež identity
• cílené podvody a vydírání
• zneužití adres a daňových údajů pro phishing
• manipulace s bankovními účty či nemovitostmi
• využití dat pro politické nebo obchodní účely

Navíc se ukazuje, že ani vyspělé státy nemají plně pod kontrolou, kdo, kde a jak jejich občanská data spravuje. Incident tak znovu rozvířil debatu o potřebě regulace datového zpracování, odpovědnosti obchodních partnerů a pravomocí úřadů.