Vélhetően a szlovén Anonymous csoport aktivistái törték fel az FBI rendszerét, és jutottak fontos adatokhoz.
Erre abból lehet következtetni, hogy egy szlovén hackercsoport - a Black-Shadow - egyik aktivistája a PasteBin-en közzétette a megszerzett információkat.
A lista több FBI alkalmazott email címét és jelszavát, valamint a cég igazgatójának személyes adatait is tartalmazza.
A listát végignézve elég szomorú következtetéseket lehet levonni...
Megfigyelhetjük ugyanis, hogy egyes dolgozók milyen jelszóhasználati szokásokkal rendelkeznek, továbbá fény derül ezen felül még nagyon sok érdekességre.
Jelszóházirend
Az gyakorlatilag nincs.
Ez egy olyan cégnél, mint az FBI, tulajdonképpen katasztrofális. Megengedett ugyanis, hogy olyan jelszót válasszon valaki, ami nem tartalmaz nagybetűt, vagy számjegyet, továbbá olyan is megesik, hogy egyes felhasználók a saját email címük előtti részt használják jelszóként. Nem beszélve arról, hogy a passwords123 használata is megengedett az FBI-nál, ami biztonsági szempontból már-már nevetségesnek is mondható.
Ezen felül nem ritka a csupa számokból álló jelszó sem.
Rendes (okos) felhasználók
Mindezek ellenére a többség jelszavai nagyon jók, megtalálhatóak a kis- és nagybetűk, számjegyek és írásjelek vegyesen, és a jelszavak hosszával sincs probléma. Tehát azt lehet megállapítani, hogy a közel hetven alkalmazott - a maximum 15-20 renitens kivételével - tökéletes jelszóhasználattal, és IT biztonsági szempontból megfelelő érettséggel rendelkezik.
Pont ennek okán lehet következtetni a nagyobb problémára.
A rendszer alapjaiban rossz
Annak az esélye ugyanis, hogy a tárolt jelszavakat, amelyek hossza és bonyolultsága meglehetősen magas, könnyen és rövid idő alatt visszafejtsék, gyakorlatilag lehetetlen.
Felvetődik akkor a kérdés:
Hogyan tudták mégis megszerezni olyan felhasználók jelszavait, akik megfelelően bonyolult jelszót választottak maguknak?
A válasz egyszerű, és egyben lesújtó is: az FBI rendszerében valószínűleg titkosítatlanul, mindenki számára olvasható módon tárolták ezeket a jelszavakat.
Következtetés
Az FBI IT rendszere - pontosabban a cégnél alkalmazott IT biztonsági megoldások megbuktak.
Az IT biztonsági vezetőt, és a középvezetőket is azonnal ki kellene rúgni, mert az ő gondatlanságuk és alkalmatlanságuk hibája az, hogy az adatok kikerültek az internetre.
A határvédelem olyan amilyen, tudjuk nagyon jól, hogy nincs olyan határvédelem, ami ne lehetne valamilyen módon áthatolható.
Az azonban, hogy nincs olyan jelszóházirend, ami a felhasználókat rákényszeríti a megfelelő bonyolultságú jelszavak használatára, még egy versenyszférában dolgozó hazai kis- és középvállalat esetében is botrány.
Az, hogy olyan rendszereket használnak, amelyben érzékeny adatok (főleg jelszavak) olvasható módon vannak tárolva, pedig egyenesen öngyilkosság, vagy még rosszabb - lehet, hogy ezt még egy eltökélt kamikáze-pilóta is sértődötten utasítaná vissza.