Az informatikai biztonsággal foglalkozó Secunia által kiadott jelentés szerint az Egyesült Államokban a felhasználók a harmadik féltől származó szoftverek több mint 10 százaléka nincs a legújabb verzióra frissítve, annak ellenére, hogy a gyártók a biztonsági réseket javító csomagokat közzé tette az adott szoftverekre.

Mint ahogy arról a korábbi cikkünkben beszámoltunk, október folyamán sorra derülnek ki újabb információk arról, hogy az Adobe cégtől milyen jellegű adatokat tulajdonítottak el rosszindulatú támadók. Szerencsére felhasználói jelszavak nem, csupán titkosított változatuk, illetve a jelszóemlékeztetők kerülek ki a világhálóra, amely tömeges, automatikus támadási lehetőséget ugyan nem tesznek lehetővé, azonban egyedi támadások lehetségesek.

Rejtett sérülékenységeket hordoznak az olyan hétköznapi tevékenységeink, mint például bankkártyával való üzemanyag vásárlás. Ezek veszélyeztetik a mindennapi életünket, mivel a személyes adataink kerülhetnek veszélybe. Minden általunk végzett pénzügyi műveletet, vagy egészségügyi vizsgálataink minden egyes adatát összegyűjtik, rendezik, elemzik - és akár el is lophatják. Mikroszámítógépek vesznek körül bennünket, és szabályozzák az életünket - akár csak egy szívritmusszabályzóról, egy inzulinpumpáról, de akár a gyárak vezérlő számítógépeiről vagy az adatközpontokról is van szó - amelyek viszont fokozottan ki vannak téve a betörési kísérleteknek, és veszélyeztetik a közbiztonságot. Íme azoknak rejtett sérülékenységek listája, amely a biztonsági szakértők szerint a legnagyobb veszélyt jelenti az adatainkra.

A Trustwave IT biztonsági cég által vizsgált adatlopási ügyek több mint fele olyan cégeket érintett, amelyek az IT rendszereik nagy részét kihelyezték (outsourcing). A vállalat tavaly több mint 450 olyan esetet vizsgált meg, amelyben a kártyatulajdonosokat érintő vagy egyéb bizalmas adatokat loptak el. Az érintett vállalatok 63%-ban outsourcing módszert használtak a kulcs rendszereik implementálásában, adminisztrációjában vagy karbantartásában. "Nem azt mondjuk, hogy az outsourcing eredendően rossz, hanem azt, hogy azok a cégek, akik adatlopásnak estek áldozatul, valószínűleg rossz döntéseket hoztak az outsourcing rendszer kialakításakor", mondta John Yeo a Trustwave SpiderLabs for EMEA igazgatója. Gyakran megesik, hogy a támadók a nem biztonságos távoli hozzáférési pontokat kihasználva jutnak be egy szervezetbe. Ezután a csak szkennelniük kell az IP címeket nyitott adminisztrációs portok után, hogy be tudjanak törni az alapértelmezett vagy gyenge jelszavak által védett rendszerekbe.

A GreenSQL által nyilvánosságra hozott jelentés szerint a felmérésben résztvevő vállalatok 88%-a nem védi megfelelően az adatbázisokat a külső és belső támadások ellen, illetve minden ötödik azt válaszolta, hogy egyáltalán nem is védik azokat. A feltett kérdésre ("Hogyan védi az adatokat az SQL befecskendezéses (SQL injection) támadások ellen?), az alábbi válaszok érkeztek:

  • fejlettebb kódokat készítek (52%)
  • nem védem az adatbázisokat az SQL befecskendezés ellen (18%)
  • alkalmazás tűzfalat használok (18%)
  • adatbázis tűzfalat használok (12%)

A Ponemon Institute kutatása megerősítette a korábbi jelentéseket, amelyek szerint az egészségügyi szolgáltatók csak nehezen birkóznak meg az adatbiztonság követelményeivel. A kutatás szerint az Egyesült Államok egészségügyi szolgáltatóinak 94 százalékától kerültek már ki páciensek adatai, 45 százalékuktól a vizsgált két év alatt legalább ötször.

A SecurityMetrics jelentése szerint a bankkártyák azonosításához használt elsődleges számlaszám (PAN - Primary Account Number) titkosítatlan tárolása továbbra is ijesztően elterjedt és szinte semennyit sem, mindössze 0,24%-ot csökkent a tavalyi évhez képest.

Az elmúlt négy évben a világban folyamatosan nőtt a kisvállalkozásokat érintő adattolvaj támadások száma, a vállalkozások nagy része mégsem ismeri a PCI DSS-t (Payment Card Industry Data Security Standard), a fizetési folyamatokkal kapcsolatos adatvédelmi szabványt.

Radu Dragusin számítógépes szakértő felfedezte, hogy az IEEE (Institute of Electrical and Electronics Engineers) szerverén lévő körülbelül 100.000 felhasználónév és jelszó sima szövegként van tárolva, ráadásul nyilvánosan elérhető. A kutató - FindZebra munkatársa, ezenkívül a tanársegéd a  koppenhágai egyetemen - blogbejegyzésben adott hírt a problémáról, illetve tájékoztatta az IEEE-t, hogy legalább részlegesen megoldják a gondot. Az adatok az IEEE nyilvános FTP szerverén voltak elérhetőek legalább egy hónapon keresztül, ami magában hordozza azt a veszélyt, hogy olyan emberek felhasználónevei és jelszavai kerültek nyilvánosságra, akik például az Apple, a Google, az Oracle, a Samsung, a NASA, a Stanford egyetem vagy egyéb szervezetek alkalmazásában állnak.

Az adatbiztonság az adat biztonságban tartásának gyakorlata, amellyel meg lehet védeni az illetéktelen hozzáféréstől. Ennek a célja, hogy adatvédelmet biztosítsunk a magánemberek és a vállalatok számára egyaránt. Az adat nem más, mint az információ nyers formában, adatbázisban tárolva, hálózati szervereken és személyi számítógépeken. Az információk széles skálán mozognak a személyes állományoktól kezdve a szellemi tulajdonjogi védettséget élvező adatokig, piaci elemzésekig. Sok vállalat összekeveri az adatbiztonságot és az adatvédelmet. Nem létezik adatvédelem adatbiztonság nélkül. Azonban van adatbiztonság adatvédelem nélkül is. A biztonság csak akkor érinti az adatvédelmet, ha azt személyhez lehet kötni, de még akkor is vannak korlátok.