خب بیا یه داستان مهم امنیتی رو برات تعریف کنم که این روزها کلی سر و صدا کرده! شرکت بیمهٔ Allianz Life یه هک بدجور خورده که حدود ۱.۱ میلیون نفر مشتریش تحت تأثیر قرار گرفتن. این حمله تو کمپین معروف ShinyHunters اتفاق افتاده و ظاهراً کلی شرکت دیگه هم تو همین حرکت آسیب دیدن.
همه ما یه جورایی اطلاعات شخصی خودمون رو به شرکتها میسپریم – مثل اسم، ایمیل، شماره تماس، تاریخ تولد و حتی آدرس واقعی. فکر کن اینا یکهو لو بره! طبق گزارش سایت Have I Been Pwned، دقیقاً این اطلاعات برای این قضیه افشا شده.
آدمای Allianz گفتن که هکرها با یه تکنیک به اسم «مهندسی اجتماعی» سرشون رو کلاه گذاشتن. (مهندسی اجتماعی یعنی هکرها به جای اینکه فقط با کد و هک وارد بشن، با فریب دادن و خراب کردن اعتماد کاربرها یا کارمندها به اطلاعات حساس دسترسی پیدا میکنن.) تو این حمله هم یه سیستم ابری به اسم Salesforce (که یه مدل سرویس مدیریت مشتریان یا همون CRM هست) نقطه ورودشون بود. یعنی حتی همه چی دست شرکت نبوده، اما چون اطلاعات مشتری رو رو اون سرویس نگه میداشتن، این ماجرا پیش اومده.
جالبتر اینجاست که Allianz خودش رسماً نگفته که این حمله جزو اون کمپین بزرگیه که شرکتهایی مثل Google، AT&T و Santander هم توش ضربه خوردن، اما همه نشونهها میگن یه داستان بزرگتر پشت پردهست. تو این کمپین، کلی از مشتریهای Salesforce قربانی شدن. البته خود Salesforce میگه مشکل از ما نبوده و پلتفرممون نفوذ نشده – یعنی همه چی به خاطر لو رفتن اطلاعات ورود و همین مهندسی اجتماعیه، نه ایراد تو تکنولوژیشون.
حالا سوال اصلی اینه: چیکار کنیم که اطلاعاتمون دزدیده نشه یا حداقل آسیب جدی نبینیم؟ اگه جزو مشتریهای Allianz یا حتی شرکتهایی هستی که از پلتفرمهای مشابه استفاده میکنی، باید خیلی هوای خودت رو داشته باشی. مهمترین کار اینه که خودت و کسایی که باهات کار میکنن، تمرین ضد فیشینگ رو جدی بگیرین! (فیشینگ یعنی ایمیل یا پیام ساختگی که هکرها باهاش سعی میکنن فریب بدن و رمز عبور یا اطلاعات حساس رو ازتون بگیرن.) باید همه بلد باشن این پیامها رو تشخیص بدن و به هر کسی اعتماد نکنن.
یه کار دیگه که شرکتها باید انجام بدن، استفاده از بهترین نرمافزارهای امنیتی و آنتیویروسهاست تا اگه چیزی مشکوک دیدن، فوراً واکنش نشون بدن.
Tim Grieveson، مدیر ارشد امنیت تو شرکت ThingsRecon هم میگه: بحث فقط یه اسم و شماره ساده نیست! همین اطلاعات کم هم سوختِ حرکت بعدی هکرها میشه، مثلاً برای فریب دادن با پیامک یا ایمیل جعلی یا حتی جعل هویت. پس همه شرکتها باید حواسشون رو جمع کنن که دادههای مشتری کجا نگه داشته میشه و چه کسایی بهش دسترسی دارن. موقع انتخاب سرویسهای خارجی هم نباید بیخیال امنیت بشن.
در آخر، اگه نگران امنیت اطلاعاتت هستی یا حس کردی ممکنه اطلاعاتت لو رفته باشه، حتماً یه سرویس محافظت هویت (Identity Theft Protection) برای خودت بررسی کن، که این سرویسها رصد میکنن اگه از اطلاعاتت یه جای مشکوک استفاده شد سریع بهت اطلاع بدن.
در کل، هک Allianz Life یه تلنگر بزرگ بود برای همه ما که امنیت رو جدیتر بگیریم: با اعتماد بیجا به هر پلتفرمی یا ایمیلی، ممکنه یه روز کلهپا بشیم!
اگه میخوای بیشتر بدونی: آنتیویروسهای خوب، نرمافزارهای حذف بدافزار، یا حتی جزئیات هک گوگل به خاطر Salesforce رو سرچ کن – میبینی الان امنیت اطلاعات چقدر مهم شده!
منبع: +
