Kauza pojišťovny Uniqa proletěla médii jako blesk z čistého nebe, drtivá většina uživatelů nevěřícně nebo naštvaně kroutila hlavou. Je ale vlastně důvod k velkému údivu a překvapení?
Když jsem minulý týden dopisoval bezpečnostní komentáře, přemítal jsem, jakému tématu se věnovat napříště. Soukromí na internetu je velice vděčné téma, ale zaměřit článek stejnou muškou dvakrát do černého by žádalo pořádnou motivaci. Ta však přišla záhy: jakmile jsme na Živě publikovali bleskovou informaci o úniku citlivých údajů pojišťovny Uniqa, hlavní téma bylo na světě.
Přibližně v polovině týdne začal internetem kolovat textový soubor s údaji o několika tisících pojištěnců zmíněné pojišťovny, obsahoval přitom nejen jejich jména, ale také adresu, rodné číslo, telefonní kontakt a číslo smlouvy pojištění. Tyto údaje jsou zajímavé i samostatně, navíc s jejich použitím bylo možné po omezenou dobu na webu pojišťovny zjistit, kam dotyčný cestoval a kdy.
Kdo byl rychlý a věděl, odkud stahovat, mohl hned mezi prvními získat zmíněnou databázi s údaji o zhruba čtyřech a půl tisících klientech. První šok stávajících i bývalých klientů navíc ještě mohlo umocnit prohlášení tiskové mluvčí pojišťovny, která pro server iDnes uvedla, že se o celé kauze sami dozvěděli až z médií. Podání trestního oznámení na neznámého pachatele je pak již nepsanou povinností, stejně jako strohá omluva postiženým klientům.
Kauza Uniqa: Webová stránka s osobními údaji, obsah textového souboru s ukázkou smyšleného kontaktu a výpis skutečné smlouvy podle vyplněného rodného čísla a čísla smlouvy
Ale tak ten audit udělejme
Každá kauza podobného druhu je samozřejmě politováníhodná, nicméně s sebou nese i jedno významné pozitivum. Jedná se o pomyslný vztyčený prst, který čas od času v praxi varuje před nebezpečími moderních elektronických výdobytků. Stačí se ohlédnout do nedávné minulosti, kdy bylo provedeno několik pokusů o útok na české banky. Jako mávnutím kouzelného proutku se zvýšilo povědomí o bezpečnějším použití internetu, banky publikovaly detailní informace o phishingu, autorizační SMS přestaly být klienty pokládány za zdržující otravnost a třeba si i někdo začal pravidelně měnit heslo online bankingu. Také v případě pojišťovny Uniqa tak aspoň podle posledních zpráv dojde k novému bezpečnostnímu auditu a vylepšenému zabezpečení. V podobných kauzách je jen škoda, že se tyto dobré věci nemohou udát bez předcházejících špatných.
S každým útokem vyvstává otázka, jestli už v opojení dostupnými online službami čas od času neděláme velké ústupky. Abych se přiznal, sám například s napětím očekávám, kdy se objeví problém s nedávno spuštěným online sázením u českých kanceláří. Některé z nich ještě stále ladí průběžně, například Fortuna nedávno měla více než jednodenní výpadek, kdy klienti neměli dostupné údaje o aktuálních tiketech a případných výhrách. Jedná se pouze o jeden z případů, kdy jaksi intuitivně věříme, že číslo XYZ uložené kdesi v databázi opravdu znamená, že se jedná o určitou sumu našich peněz.
Neříkám, že bychom měli spát s penězi pod polštářem nebo dobře střeženou truhlou plnou peněz ve sklepě, ale stále bychom se měli mít na pozoru. Samozřejmě každá společnost nyní řekne skálopevnou pravdolež „U nás jsou data v bezpečí“, ale záložní větu „Selhala dodavatelská firma“ má v případě problémů určitě dobře nachystanou.
Nemusím, nemusím. I když tak trochu ano
Zkusme si nyní představit vzor moderního uživatele, který žije online. Kolik účtů vlastně kdo z nás má na webu? Tedy přesněji těch účtů, u kterých může mít hned při založení přiřazeny i více osobní údaje, než jakými jsou login a heslo? V drtivé většině případů se jedná o online bankovnictví, které je již více méně automaticky spojeno s moderním využitím bankovního účtu. Pak nastupují právě nejrůznější pojištění, na třetí místo zařaďme autorizované online aukce nebo platební systémy a online obchody. Do budoucna počítejme také s Facebookem, na němž lidé nejspíš budou prozrazovat stále větší množství informací. O něco více paranoidní uživatelé si mohou přidat sledování pohybu na webu buď přímo z pozice ISP, nebo univerzálním účtem napříč různými službami.
Pokud čtete tento online článek, i v případě té méně paranoidní skupiny služeb některou z nich nejspíš využíváte. A tak jste potenciálně každý den minutu za minutou v ohrožení zneužití osobních citlivých dat, aniž si to uvědomujete. Stejně jako si to poměrně logicky neuvědomovali klienti pojišťovny Uniqa. Otázka však zní: „Můžeme v dnešní přetechnizované době žít jinak?“ Do budoucna se možná podobné útoky stanou samozřejmostí (stejně jako dnes spam, viry, phishing, reklamy v televizi, …) a budeme je brát jako daň technice, které se nechceme vzdát. Za všechno se platí.
Kolik toho sami o sobě zveřejňujete online a které služby považujete za nejkritičtější v oblasti internetového soukromí? Podělte se s ostatními čtenáři v diskuzi pod článkem (ale předtím se musíte samozřejmě zaregistrovat...).
