Ég hef viljandi geymt að skrifa þessa færslu fram á kvöld en það eru ýmsar aukaverkanir af svona leka eins og varð þegar hakkari braust inn á vefþjón hjá Vodafone og lak út upplýsingum eins og margir vita. Flestar eru nokkuð augljósar eins og möguleg vandræði fyrir þá sem sendu vandræðaleg SMS, fyrir Vodafone sem fyrirtæki, fyrir löggjafan, fyrir persónuvernd o.s.frv.
Margir eins og t.d. ég sem er með nokkuð marga notendur og/eða fyrirtæki sem eru viðskiptavinir hjá Vodafone. Ég eins og margir aðrir kerfisstjórar höfum verið í fullri vinnu við að hjálpa viðskiptavinum við að finna út hvað lak, hvert það lak og að hjálpa mörgum við að endursetja leyniorð á honum ýmsu þjónustum sem viðkomandi notar.
Mesta kjaftshöggið
- Leyniorðin voru vistuð bæri ódulkóðuð og dulkóðuð.
Ef bara dulkóðuð þá væri þetta minna vandamál þar sem Vodafone var að salta og nota rétta dulkóðun og það hefði enginn (lesist fáir) náð að brjóta hash´ið nema finna saltið.
Vodafone notar augljóslega Blowfish dulkóðun sem er góð þó almennt sé mælt með Sha512 (hannað af NSA) - Leyniorðin notenda eru mjög léleg eins og dæmin sína.
- Notendur eru með sama leyniorðið á marga miðla (stærsta vandamálið)
Ég hef verið í miklu sambandi við aðra úr faginu og er svipuð saga hjá öllum… vittlaust að gera, síminn stoppar ekki og notendur almennt brjálaðir.
Ég áttaði mig á alvarleikanum þegar ég spjallaði við nokkra sem eru með viðskiptavini úr stjórnkerfinu, veit um mörg dæmi um notenda sem er með sama leyniorðið á öllu því sem þeir tengjast. Þá erum við til dæmis að tala um sama leyniorðið að eftirfarandi þjónustum
- “Mínar síður” á Vodafone (sem hálf þjóðin veit núna)
- GMail
- Outlook.com / SkyDrive
- Dropbox
- Aðgang að vanskilaskrá, húsnæðis og bílaskrám
- o.s.frv. o.s.frv.
Þetta er ekki tæmandi upptalning, hvað með notendur sem eru með aðgang að þjóðskrá með trúfélagamerkingu og/eða barnaverndarskrám og svo framvegis.
Þetta er stóra málið í mínum huga…
Í stuttu máli þá fékkstu leyniorð notenda á silfurfati frá Vodafone og með þeim er hægt að giska sig áfram enda er flestir með sama notendanafn útúm allt, sumstaðar er netfang eða kennitala eða kennitala og aukastafur. Mér finnast vandræðaleg SMS vera slæm en alls ekki það versta.
Áður en scriptkids landsins fara af stað í prófanir þá vill ég minn á að það er mikill rekjanleiki í flestum kerfum og góðir kerfisstjórar eiga nokkuð létt með að sjá hver/hvaðan einhver reyndi að tengjast og hvað viðkomandi sá ef hann kemst inn.
Ég minni á að deiling þessara gagna er siðlaus með öllu og mjög líklega ólögleg í flestum tilfellum.