Platební aplikace Cash App, která je alternativou k tradičním bankovním službám, čelí obrovskému bezpečnostnímu incidentu. Společnost umožňující uživatelům ukládat si peníze, převádět je a investovat do bitcoinu či akcií přišla o citlivá data svých klientů kvůli bývalému zaměstnanci. Ten totiž měl přístup k datům firmy i po skončení pracovního poměru a stáhl si zprávu se jmény, čísly investičních účtů a v některých případech také hodnotami portfolia. Firma o úniku informuje zhruba 8,2 milionu uživatelů. Únik podle Richarda Brulíka z kyberbezpečnostní firmy Safetica ukazuje na široce rozšířený problém zanedbaného digitálního offboardingu zaměstnanců.
Zpráva o úniku se rozšířila poté, co společnost Block, která aplikaci Cash App vyvíjí, podala začátkem dubna hlášení o úniku Komisi pro kontrolu cenných papírů USA (v angličtině Securities and Exchange Commission, SEC). Podle nahlášených údajů k úniku došlo 10. prosince 2021. Cash App odmítá sdělit, kolika uživatelů se únik týká, nicméně kontaktuje ohledně něho zhruba 8,2 milionů současných i bývalých zákazníků.
„Únik citlivých údajů ze služby Cash App je ukázkovým případem vnitřní hrozby, která se proměnila v reálný únik. Informace o financích jsou velice citlivými údaji, a přesto k nim měl bývalý zaměstnanec přístup i po skončení pracovního poměru. Ukazuje to, že i velké firmy specializující se na digitální produkty mají problémy s důkladným digitálním offboardingem svých zaměstnanců. Těm tak po skončení zaměstnání zůstávají otevřené dveře k citlivým datům jak samotných společností, tak zákazníků či zaměstnanců,“ komentuje únik Richard Brulík, CEO brněnské společnosti Safetica, která vyvíjí software na ochranu proti únikům dat.
Na únik se přišlo po čtyřech měsících, není to výjimka
Bývalý zaměstnanec si z aplikace stáhl přehledy, které obsahovaly celá jména uživatelů a čísla jejich investičních účtů. U některých uživatelů byly také údaje o hodnotě jejich investičního portfolia a část jejich transakční historie za jeden obchodní den. Společnost Block odmítá veřejně komentovat, proč měl bývalý zaměstnanec k datům stále přístup a jak dlouho k nim přístup měl. Incident nicméně společnost vyšetřuje až nyní, čtyři měsíce poté, co k němu došlo.
„Bohužel se vůbec nejedná o ojedinělou situaci. Vnitřní hrozby jsou hlavní příčinou úniku v 60 % případů, ale až 88 % společností je nedokáže efektivně odhalovat. V 68 % případů trvá měsíce, než se únik odhalí. V průměru pak trvá další dva měsíce, než se firmy s únikem vypořádají. A 45 % zaměstnanců si při odchodu ze zaměstnání s sebou bere citlivá data nebo přístup k nim. To jsou velice závažná čísla, která ukazují na systematické podceňování vnitřních hrozeb uvnitř firem všech velikostí a všech zaměření,“ varuje Brulík.
94 % organizací zažije únik způsobený zaměstnancem
„Nastavení vhodných opatření pro ochranu proti vnitřním hrozbám se musí uchopit komplexně. Od nutných minimálních standardů, jako je dvoufázové ověření, přes důkladný proces offboardingu zaměstnanců po implementaci DLP softwaru na ochranu proti úniku dat zaměřeného na vnitřní hrozby. Často se však firmám do ochrany nechce příliš investovat, protože si myslí, že jim se to nestane. Jenže v roce 2020 zažilo únik dat způsobený zaměstnancem 94 % organizací. V případě Cash App přitom stačilo zrušit přístupy daného zaměstnance při jeho odchodu,“ uzavírá Richard Brulík, CEO kyberbezpečnostní společnosti Safetica.
Safetica je mladá technologická společnost z Brna, která poskytuje komplexní ochranu před ztrátou či zneužitím dat klientům ve více než 120 zemích světa. Její platforma zajišťuje důkladnou ochranu dat i v době nutného vzdáleného přístupu včetně soukromých zařízení. Safetica chrání cenná data před chybami i zlým úmyslem, odhaluje potenciální rizika a aktivně předchází únikům. Zároveň se jedná o řešení s jednoduchou implementací do stávajících bezpečnostních systémů a bez zbytečné zátěže pro zaměstnance.