Kiedy grasz, hakerzy polują na twoje dane. Zobacz, co się z nimi dzieje, kiedy je udostępniasz
Czy hakerzy cenią dane o użytkownikach bardziej od firm? Mamy dla Was kilka ciekawostek, które zainteresują graczy i nie tylko.
Chcesz uruchomić system na konsoli lub PC… wpisujesz dane. Logujesz się na platformę cyfrową i wpada ci w oko gierka marzenie… podajesz informacje o karcie kredytowej lub namiar na konto bankowe. Odpalasz wreszcie instalator i nagle kolejne okienko wyświetla się na ekranie, które nie pozwoli się zamknąć, dopóki nie założysz konta… Mi jako zwykłej osobie, z 10 milionami złotych na koncie, zwyczajnie zaczyna od tego głowa pękać. Na co dzień marudzimy na ogromną dywersyfikację usług służących za pomost do przyjemności, ale mało kto choć raz w życiu zastanawiał się, czy jego dane są bezpieczne. No właśnie, są czy nie?
Gdyby zapomnieć o wszystkich hakerach na świecie, pewnie nie byłoby tematu. Niestety internet zrodził najczarniejsze z charakterów, anonimowych przestępców, którzy przez naszą nieuwagę lub głupotę w sekundę zamienią życie w koszmar. Mają moc sprawczą do czynienia cyfrowej apokalipsy, wywołanej raptem kradzieżą danych. Bo dane są odzwierciedleniem naszej tożsamości, majętności, relacji z innymi, i będąc w posiadaniu tej wiedzy można zrobić z każdego bankruta. I to w tym samym czasie, gdy zagrywamy się w Wiedźmina czy też betę Diablo IV.
Prawdopodobieństwo, że dziś tobie lub komuś z rodziny przydarzy się taka sytuacja, jest wprost wykładnicze do ilości usług internetowych, z których korzystamy. Wszędzie tam pozostawiamy po sobie “okruszki”, mogłoby się zdawać, że bezużyteczne w chwili, gdy dotyczą wyłącznie mejla, nazwiska i daty urodzenia. Lecz w praktyce ich wartość jest zależna od tego, czy doprowadzą sprawcę do innych kont, stricte założonych w celach konsumpcyjnych. Newralgiczność tych danych określa, za ile można je sprzedać w szarej strefie internetu, zwanej Dark Web.
Ile warte są Twoje dane?
Ile w takim razie może zarobić na nas potencjalny haker? Sam byłem ciekaw, i w poszukiwaniu odpowiedzi natrafiłem na blog ExpressVPN, a tam udostępniono specjalny algorytm do wyliczenia wartości danych. Po wypełnieniu kilku pól okazało się, że dla internetowego przestępcy byłbym wyjątkowo apetycznym kąskiem – w moim przypadku wartość wyniosła około 20 tys. zł. Choć mam wątpliwości, czy jakiemukolwiek hakerowi chciałoby się robić włam tylko z uwagi na mnie. Z reguły ofiarą kradzieży padają dziesiątki tysięcy, a nie rzadko miliony osób, o czym w przeszłości mogli się przekonać m.in. użytkownicy kont PSN. Pamiętacie?
Dramat na skalę międzynarodową miał miejsce w kwietniu 2011 roku. Mówi się o 78 milionach kont, do których nielegalny dostęp uzyskała grupa hakerów LulzSec (rzekomo). W ich rękach znalazły się nr kont bankowych i najważniejsze dane osobowe graczy. Krótko po tym zdarzeniu w Dark Web pojawiły się ogłoszenia z ofertą sprzedaży wykradzionych danych z serwerów Sony. Za część z nich przestępcy chcieli uzyskać 100 tys. dolarów. O tym, czy udało im się sprzedać i otrzymać pozytywny komentarz od nabywcy, raczej nigdy się nie dowiemy. Aczkolwiek szkody jakie po sobie pozostawili są znane aż nadto i bardzo katastrofalne – w następstwie złamania zabezpieczeń Sony na miesiąc wyłączyło PSN, uniemożliwiając graczom dostęp do rozgrywki sieciowej i sklepu. Ponieśli straty w wysokości 171 mln dolarów, co w tamtym czasie było potężnym ciosem dla budżetu i wizerunku firmy.
Czy można było temu zapobiec? Posłużę się zasadą eskalacji – gdy policja nosi pistolety, bandyci strzelają z automatów, kiedy przywdzieją kamizelki kuloodporne zaczną do nich strzelać z wyrzutni RPG. Tak mniej więcej wygląda proces adaptacji hakerów do zabezpieczeń, wszak liczba warstw osłony danych może zniechęcić do kolejnych ataków. Dlatego też zaproponowano system RODO i dodatkowe metody zapisywania danych użytkowników. Na przykładzie Sony, możemy sprawdzić, jakie kroki poczyniono, aby ograniczyć szanse na kradzież danych.
Hakerzy kontra współczesne zabezpieczenia
Aby fani PlayStation mogli spać spokojnie, zastosowano podwójne standardy, a w tym szyfrowanie danych, zapory ogniowe, monitoring aktywności, regularne aktualizacje oprogramowania. To pierwsza linia obrony przeciwko hakerom i zdaje się, że jak na razie skuteczna. Z czasem może i sztuczna inteligencja zacznie stać na straży bezpieczeństwa, powstaną zautomatyzowane algorytmy, uczące się szybciej od człowieka, mogące przewidywać działania najlepszych hakerów. Z drugiej jednak strony, efekt również może być odwrotny, wobec czego ciężko wywróżyć, komu sztuczna inteligencja przysłuży się bardziej. Dlaczego więc, mimo tylu zagrożeń, firmy decydują się zbierać od graczy aż tyle niebezpiecznych informacji o nich samych? Najprościej ująć to w ten sposób, że dane o użytkownikach są kolekcjonowane na potrzeby funkcjonowania podstawowych działów operacyjnych i bez nich firmy zarabiałyby znacznie mniej.
Po pierwsze wymagane są do prawidłowego świadczenia usług. Dzięki nim określa się stawkę podatkową i cenę produktów zgodnie z regionem zamieszkania. Są jednakowo potrzebne do zlokalizowania użytkowników, szczególnie gdy w grę wchodzi nakładanie blokad za używanie cheatów w grach, za niemoralne zachowania. Ograniczenie w dostępie do danych użytkowników byłoby równoznaczne z zawężeniem form płatności za produkty, a co za tym idzie, możliwym spadkiem wpływów za sprzedaż. Tyczy się to również personalizacji doświadczenia użytkownika, zarządzania konta i zapewnienia wsparcia technicznego.
Kiedy coś kupisz, tracisz prywatność
Dane nie są jednak przechowywane i przetwarzane na serwerach tylko dla naszej wygody i wymogów zgodności z przepisami prawnymi. Firmy mają w tym spory interes, aby wiedzieć o nas jak najwięcej. Chcą znać nasze preferencje, aby podsyłać spersonalizowane reklamy np. z grami do kupienia. Ile wydajemy na gry, co oglądamy i w jaki sposób korzystamy z urządzeń, tudzież jaki zewnętrzny sprzęt podłączamy do ich produktu – tego typu informacje są drogowskazem do tego, aby składać nam ofertę trudną do odrzucenia. Niejako służą za pomoc w dostosowaniu towaru do użytkownika, a mówiąc po imieniu, w manipulacji.
Niemal w każdej umowie użytkownika na korzystanie z usługi znajdziemy inne zapisy, ale podobne wyjaśnienia na pytanie, co dzieje się z naszymi danymi. Niestety coraz częściej w chwili zaakceptowania warunków umowy, tak naprawdę oddajemy je na użytek firm. Nasze dane przestają być naszą własnością, o czym świadczy chociażby to, że usługodawca zastrzega sobie prawo do przekazywania ich firmom trzecim. A z tego rodzi się pewne niebezpieczeństwo, bo odpowiedzialność za dane przechodzi na inne podmioty, które mogą mieć słabsze zabezpieczenia. Powstaje swoista autostrada dla hakerów. W tej sytuacji musimy zdać się na chwiejną gwarancję bezpieczeństwa danych. Chwiejną, bo jak uczy przeszłość, nie ma takiej zapory, której nie da się obejść.
Spróbuje jednak przelać odrobinę nadziei w Wasze serca – niektóre firmy, jak np. Google, stosują metody szyfrowania tak abstrakcyjne, że ciężko uwierzyć, że ktoś mógłby je złamać. Bodajże nie do ruszenia jest anonimizacja danych. Polega na uogólnianiu informacji o użytkownikach, usuwaniu lub modyfikacji części danych, aby nie można było zidentyfikować użytkownika. A jeśli ktoś wpadnie na genialny pomysł z kluczem do rozszyfrowania danych, w pogotowiu jest jeszcze technika dodawania szumu generowanego matematycznie. Aby za bardzo nie wdawać się w skomplikowaną definicję tej metody, wyobraźcie sobie falę dźwiękową, która zostaje nadpisana szumem – ten szum sprawia, że pierwotny dźwięk jest niemożliwy do rozpoznania. Są to solidne podstawy do porzucenia zmartwień, prawda?
Mimo wszystko uczulam, by prewencyjne techniki szyfrowania nie odebrały nam zdrowego rozsądku. Aby można było grać na PC lub konsoli, w mniejszym stresie korzystać z usług sieciowych, warto zastosować 3 proste do zapamiętania reguły. Nie używać do kont tych samych haseł, nie zapisywać profilów do szybkich płatności, i dokładnie przejrzeć opcje prywatności i bezpieczeństwa, gdzie warto odhaczyć wszystkie ustawienia dotyczące wykorzystania i zbierania danych o użytkownikach. Dzięki temu, w razie włamania na serwery, szanse na wyczyszczenie Waszych kont bankowych będą znacznie mniejsze, co powinno być najważniejszą prerogatywą dla każdej osoby.
