Hlavní strana -> Zprávy
Aktuality -> Analýzy - 25. 7. 2024 - Petr Zahálka

Recyklace hesel představuje velké riziko kybernetického útoku typu credential stuffing

Firmy často podceňují rizika ply­noucí z recyklace hesel zaměst­nanců, které tak mohou být zneužity při útoku známém jako credential stuffing. Jde o formu kybernetického útoku, při kterém útočníci používají uživatelská jména a hesla získaná z předcho­zích úniků dat, aby získali neoprávněný přístup k jiným účtům. Útočníci spoléhají na to, že mnoho uživatelů používá stejné heslo pro více účtů, což zvyšuje šance na úspěšný útok.



Credential Stuffing je automatizovaná činnost. Bot zkouší, zpravidla i velmi dlouhou dobu, postupně řadu cílů a řadu možných přihlašovacích údajů. Jakmile uspěje, útoku se ujme zkušený člověk a pokračuje.

Nejvíce jsou credential stuffingem zasaženy obchody a e-shopy, finanční služby, zdravotnictví a vyšší vzdělávací instituce. Útočníci mají velmi často zájem o osobní údaje a informace uživatelů, které mohou zpeněžit. Předmětem obchodování jsou i samotné ověřené přihlašovací údaje.

Pro firmy to představuje značné riziko z několika důvodů:

  • Recyklace hesel: Zaměstnanci často používají stejná hesla pro osobní i firemní účty. Pokud jedno z těchto hesel unikne během porušení dat některé služby, vystavují tím potenciálně riziku všechny systémy, kde toto heslo použili.
  • Přístup k firemním sítím a systémům: Úspěšný credential stuffing útok může umožnit útočníkům přístup k firemním sítím a systémům, což může vést k dalšímu úniku citlivých firemních dat, instalaci malware, nebo dokonce ransomware útokům.
  • Finanční a reputační škody: Jakékoli bezpečnostní incidenty mohou vést k finančním ztrátám a poškození pověsti firmy. Zákazníci a partneři mohou ztratit důvěru v schopnost firmy chránit jejich data.

Firmy by měly pro minimalizaci rizik spojených s credential stuffingem přijmout preventivní opatření:

  • Používání správce hesel: Pomáhá uživatelům vytvářet a ukládat silná a unikátní hesla pro každý účet. Je v zájmu firem, aby zaměstnanci používali firemní správce hesel, ale také se naučili používat osobního správce.
  • Vícefaktorová autentizace (MFA): Přidává další vrstvu zabezpečení tím, že vyžaduje další formu ověření (např. SMS kód, biometrické údaje) kromě hesla. Případné uniklé heslo získané účastníkem tak nebude možné použít pro přihlášení. Jde tedy o zásadní prvek ochrany. Je v zájmu firem naučit zaměstnance používat MFA i pro soukromé účely.
  • Pravidelné školení zaměstnanců: Vzdělávání zaměstnanců o bezpečnostních hrozbách a osvědčených postupech pro zabezpečení hesel. Je nutné zaměstnance naučit, jak správně používat hesla, jak se vyhnout recyklaci, jak pomohou správci hesel i dvoufaktorová ověření a také, jak mají postupovat, když dojde k úniku přihlašovacích údajů.
  • Monitorování bezpečnostních úniků: Pravidelné sledování úniků dat, aby se rychle zjistila potenciální kompromitace účtů. Firma i zaměstnanci mohou využít služeb jako je HaveIBeenpwned.com pro zjištění, zda se konkrétní e-maily neobjevily v některých únicích.
  • Bezpečnostní politiky: Zavedení politik pro vytváření silných hesel a reakce na úniky hesel či jiné bezpečnostní incidenty. Je nutné pečlivě zvážit pravidelné vynucování nových hesel, protože to může vést k vytváření nových potenciálně nebezpečných hesel nebo k vyšší míře recyklace.
Petr Zahálka Petr Zahálka
Autor článku je obchodním ředitelem Thein Security. Článek byl redakčně upraven.

 
  

- PR -

AI v ERP systému

Co v praxi funguje, jak to navrhnout a proč začít po krocích


Umělá inteligence je součástí každodenního života – od chytrých vyhledávačů přes automatické překlady až po plánování tras nebo generování obrázků. Ale co ERP systémy? Je správný čas zapojit AI právě sem? Určitě ano, ale smysluplně. Tak, aby zkrátilo cestu od otázky k odpovědi, od záměru k akci, a přitom udrželo to nejdůležitější: kontrolu, bezpečnost a auditovatelnost.

  

- PR -

Čeští zaměstnanci už AI běžně používají,

ne vždy však bezpečným způsobem


Umělá inteligence se stává běžnou součástí pracovních procesů. Dokazují to lednová čísla ČSÚ, podle kterých 18 % českých podniků s více než 10 zaměstnanci používá AI. Nejčastěji ji využívají velké firmy, a to dokonce více než polovina z nich. Spolu s popularitou umělé inteligence však přichází i negativní fenomén tzv. shadow AI. Jedná se o firmou neschválené využívání AI nástrojů, které může vyústit až v únik firemních dat.