Każda firma technologiczna zapewnia, że Twoje dane są bezpieczne. Mają (miejmy nadzieję) szyfrowanie, kontrolę dostępu i architekturę zero-trust – całą błyszczącą broszurę bezpieczeństwa. A potem ktoś z wewnątrz i tak pisze skrypt, żeby ukraść Twoje prywatne zdjęcia.
Właśnie za to toczy się śledztwo karne przeciwko byłemu pracownikowi Meta z Londynu. Podobno pobrał około 30 000 prywatnych zdjęć należących do Facebook użytkowników. Sprawą zajmuje się wydział ds. cyberprzestępczości Policji Metropolitalnej.
Jak wynika z dokumentów sądowych, oskarżony nie tylko przeglądał strony, ale także napisał specjalny skrypt, który miał na celu obejście wewnętrznych systemów wykrywania Meta.
Odpowiedź Meta
Firma Meta twierdzi, że wykryła naruszenie ponad rok temu, zwolniła osobę, powiadomiła użytkowników, których dotyczyło naruszenie, i skierowała sprawę do brytyjskich organów ścigania. Podejrzany przebywa obecnie na zwolnieniu za kaucją i musi zgłosić się do funkcjonariuszy w maju.
Dotychczasowe osiągnięcia Meta w zakresie ochrony danych dalekie są od nieskazitelnych. Firma zgodziła się zapłacić 725 milionów dolarów w 2022 roku w ramach ugody w pozwie zbiorowym dotyczącym skandalu Cambridge Analytica, w którym zewnętrzni deweloperzy gromadzili dane z milionów… Facebook Użytkownicy. Wciąż pojawiają się historie dotyczące Meta, które dają nam do myślenia, gdy myślimy o prywatności i bezpieczeństwie użytkowników. Na przykład: Facebook inżynierowie przyznali , że nie wiedzieli nawet, gdzie przechowywane są dane użytkowników.
Nieuczciwi insiderzy
Tego typu rzeczy ciągle się zdarzają. Bank FinWise ujawnił w zeszłym roku, że były pracownik potencjalnie uzyskał dostęp do danych należących do 689 000 klientów. Wyciek ten pozostał niewykryty przez ponad rok. Coinbase ujawnił również, że pracownicy wsparcia pracujący za granicą zostali przekupieni w celu kradzieży danych prawie 70 000 klientów. Nawet pracownicy firm zajmujących się naprawą elektroniki lubią szperać w danych klientów w sposób, w jaki nie powinni.
Co skłania osoby z wewnątrz organizacji do przekraczania granic? Badania nad psychologią zagrożeń wewnętrznych wykazały, że wiele udokumentowanych incydentów dotyczy pracowników zawodów technicznych, takich jak administratorzy systemów, operatorzy baz danych i programiści. Ma to sens, ponieważ prawdopodobnie dysponują oni zarówno dostępem, jak i umiejętnościami pozwalającymi uniknąć wykrycia.
Motywy są różne, od korzyści finansowych po osobistą złośliwość (jak w przypadku pracownika sklepu spożywczego, który ujawnił dane pracowników ) lub podglądactwo (jak w przypadku inżyniera Yahoo, który uzyskał dostęp do aktów kobiet, w tym kobiet, które znał osobiście). Pracownicy często popełniają przestępstwa po odejściu z firmy , jeśli administratorzy nie są zbyt chętni do cofania dostępu do systemu.
Jak się chronić
Firmy powiedzą Ci, że traktują prywatność poważnie, i wiele z nich rzeczywiście tak jest.
Standardowe metody obrony firm przed zagrożeniami wewnętrznymi są dobrze znane: kontrola dostępu z minimalnymi uprawnieniami, uwierzytelnianie wieloskładnikowe, ciągłe monitorowanie zachowań użytkowników i regularne audyty bezpieczeństwa. Jednak przypadek Meta sugeruje, że osoba wystarczająco zdeterminowana i technicznie zaznajomiona z tematem, aby stworzyć własne narzędzia, może czasami obejść te zabezpieczenia.
Co więc mogą zrobić użytkownicy?
Przechowuj swoje najwrażliwsze dane (takie jak prywatne zdjęcia) w bezpiecznym, chronionym hasłem środowisku. Jeśli usługa nie oferuje silnych mechanizmów kontroli, warto zastanowić się, czy możesz zaufać każdemu, kto może mieć do nich dostęp za kulisami.
Dowiedz się, jak zmniejszyć swój cyfrowy ślad i ograniczyć informacje, które oszuści i wyłudzacze mogą wykorzystać przeciwko Tobie.
Oszuści nie muszą włamują się do twojego komputera. Wystarczy, że raz klikniesz.
Malwarebytes Identity Theft wykrywa podejrzaną aktywność, zanim stanie się ona problemem.
