A jakmile se tyto kousky dostanou do špatných rukou, může z nich vzniknout něco, co vypadá až nepříjemně věrohodně.

Velké úniky dat ukázaly, jak snadno se může z milionů lidí stát zboží. Případ společnosti Yahoo! patří k největším v historii. Postupně se ukázalo, že bylo kompromitováno přibližně tři miliardy účtů. To není chyba v systému. To je digitální katastrofa. E maily, telefonní čísla, data narození, přístupové údaje.

O několik let později následoval únik u Equifax. Přibližně 147 milionů lidí přišlo o kontrolu nad citlivými údaji, které se běžně používají k ověřování úvěrů. U takových informací už nejde jen o spam. Jde o reálné půjčky, reálné dluhy a problémy.

Hotelový řetězec Marriott International zase řešil únik stovek milionů záznamů, včetně údajů z pasů. Zdravotní pojišťovna Anthem Inc. přišla o data téměř 80 milionů klientů. A banka Capital One oznámila únik více než 100 milionů záznamů, včetně detailů ze žádostí o úvěr.

To nejsou izolované příběhy. To je trend.

A pak tu máme sociální sítě. U Facebooku se objevila databáze s údaji přesahujícími 500 milionů uživatelů. Podobně u LinkedIn unikly stovky milionů profilů. Možná si řeknete, že jde jen o veřejná data. Jenže když někdo vezme veřejné údaje a spojí je s jinými úniky, dostane mnohem silnější nástroj.

Darkweb jako tržiště

Uniklá databáze tam obvykle nekončí náhodou. Nejprve se objeví na uzavřeném fóru. Někdy jako náhled, jindy jako ochutnávka zdarma. Útočník zveřejní několik tisíc záznamů, aby dokázal, že data skutečně má. Pokud je zájem, nabídne celý balík. Databáze se třídí podle země, kvality, aktuálnosti a typu údajů. U některých úniků se řeší i to, zda hesla byla uložena v čitelné podobě, nebo jen jako hash.

Rozdíl mezi „jen“ e mailem s heslem a takzvaným fullz balíčkem je zásadní. E mail s heslem je vstupní bod. Uživatelé totiž často používají stejnou kombinaci i jinde. Fullz balíček už umožňuje mnohem víc. Obsahuje celé jméno, adresu, datum narození, někdy rodné číslo, telefon, kopii dokladu nebo číslo platební karty. Takový profil je pro podvodníka výrazně hodnotnější, protože umožňuje obejít základní ověřovací otázky.

U velkých úniků se navíc ukazuje jeden detail, který se často přehlíží. Data nikam nezmizí. Když například unikla databáze společnosti Equifax v roce 2017, neznamenalo to, že by se data po několika měsících „vyčistila“. Čísla sociálního zabezpečení, data narození nebo adresy zůstávají platná roky. Podobně u úniku společnosti Yahoo! se kombinace e mailů a hesel objevovala v dalších balících ještě dlouho poté.

U některých incidentů se databáze objevila opakovaně v různých verzích. Typickým příkladem jsou úniky dat ze sociálních sítí, například Facebook nebo LinkedIn. Část údajů byla veřejně dohledatelná, ale jejich hromadné spojení vytvořilo velmi silný nástroj pro cílený phishing. Když má útočník k dispozici telefonní číslo, pracovní pozici a město, dokáže napsat nebo zavolat způsobem, který působí překvapivě přesvědčivě.

Další důležitý detail spočívá v kombinování zdrojů. Útočníci dnes málokdy spoléhají na jednu databázi. Jeden únik poskytne přihlašovací údaje. Druhý adresu a telefon. Třetí třeba informace z žádosti o úvěr, jako tomu bylo u případu Capital One. A najednou vznikne ucelený profil, který projde automatizovanými kontrolami identity. Systém vidí správné jméno, správné datum narození a správnou adresu. To, že pocházejí z různých zdrojů, už nikdo nepozná.

V praxi to znamená, že únik z roku 2015 může sehrát roli v podvodu v roce 2026. Pokud obsahuje stabilní údaje, jako je datum narození nebo rodinné vazby, zůstává použitelný. A právě tato dlouhá životnost dat dělá z krádeže identity problém, který nekončí zveřejněním tiskové zprávy o úniku. Pro oběť může začít až mnohem později.

Zdroj: Shutterstock

Co to znamená pro běžného člověka

Nejčastější scénář je finanční podvod. Někdo si vezme půjčku vaším jménem. Objedná zboží na splátky. Otevře účet. Vy se to dozvíte až ve chvíli, kdy přijde výzva k zaplacení.

Pak je tu reputační rovina. Někdo převezme váš profil a začne komunikovat s vašimi kontakty. Nebo vytvoří nový účet, který působí důvěryhodně. U podnikatelů to může znamenat ztrátu klientů. Roste i problém takzvaných syntetických identit. Pachatel vytvoří novou osobu kombinací skutečných údajů několika lidí. Systém pak vidí reálné rodné číslo, reálnou adresu, reálné jméno. Jen to dohromady nikdy nepatřilo jednomu člověku.

Nejhorší na tom je, že oběť často nemá pocit, že udělala chybu. Nezadala heslo na podezřelý web. Neposlala peníze podvodníkovi. Jen měla smůlu, že její údaje byly součástí nějaké databáze.

Jak se bránit, když víme, že dokonalá ochrana neexistuje

Možná největší problém krádeže identity je ten, že ji často nezpůsobí jedna závažná chyba. Nejde o to, že by člověk vědomě někomu poslal své rodné číslo do neznámého formuláře. Často jde o souhru okolností. Únik databáze před pěti lety. Slabé heslo, které jste použili ještě jinde. Telefonní číslo, které je veřejně dohledatelné. A pak už stačí jeden dobře napsaný e mail nebo telefonát.

Proto obrana proti krádeži identity není jednorázové opatření. Je to spíš dlouhodobá hygiena digitálního života.

Začněme tím nejzásadnějším. E mail je dnes centrální bod identity. Přes něj se obnovují hesla, potvrzují registrace, komunikují banky i úřady. Pokud někdo ovládne e mail, otevře si cestu téměř ke všemu. Proto by měl být chráněný silným a unikátním heslem a ideálně dvoufaktorovým ověřením. Ne formálně, ale skutečně. Tedy nejen SMS kód, ale pokud možno aplikace nebo hardwarový bezpečnostní klíč.

Další vrstva je oddělování identit. Není nutné používat jeden e mail pro všechno. Smysl dává mít oddělený účet pro bankovnictví a důležité služby a jiný pro běžné registrace. Pokud unikne databáze nějakého e shopu, nedostane se tím útočník přímo k vašim financím.

Velké riziko představuje opakované používání hesel. Útočníci běžně testují uniklé kombinace e mailů a hesel na jiných službách. Pokud jste někde před lety použili stejné heslo jako u banky nebo sociální sítě, dáváte jim zkratku. Správce hesel dnes není luxus, ale rozumný nástroj.

Stejně důležité je sledovat signály. Neznámé přihlášení, e mail o změně hesla, notifikace o přihlášení z jiného zařízení. Lidé mají tendenci tyto zprávy ignorovat, pokud se „nic nestalo“. Jenže právě tady se často rozhoduje o rozsahu škody. Rychlá reakce může znamenat rozdíl mezi pokusem a skutečným finančním dopadem.

Zdroj: Shutterstock

Pozornost si zaslouží i sdílení dokladů. Kopie občanského průkazu nebo pasu by neměla kolovat e mailem bez rozmyslu. Pokud je nutné ji poskytnout, je rozumné zakrýt údaje, které nejsou pro daný účel potřeba, a přidat poznámku o účelu použití. Takové drobnosti mohou ztížit další zneužití.

Další oblastí je veřejná digitální stopa. Datum narození, celé jméno, pracovní pozice, veřejně dostupné kontakty. Každá jednotlivost sama o sobě nemusí znamenat problém. Ale ve spojení s uniklými daty vytváří kompletní obraz. Útočník nepotřebuje znát všechno. Stačí mu dostatek informací, aby působil důvěryhodně.

Pokud už ke zneužití dojde, klíčová je rychlost a systematičnost. Změnit hesla, zablokovat platební kartu, kontaktovat banku, podat oznámení. Uchovávat veškerou komunikaci. U finančních podvodů často rozhodují detaily a časová osa. Čím dříve se věc řeší, tím vyšší šance na minimalizaci škody.

V konečném důsledku nejde jen o technologii. Jde o návyk. O to, že si dvakrát rozmyslíme, kam zadáváme údaje. Že neignorujeme bezpečnostní upozornění. Že se nespoléháme na to, že „mně se to stát nemůže“.