A két levél tartalma egy ponton teljesen egybecsengett. Mindketten több esetben találkoztak olyan problémával, mely abból adódott, hogy ismeretlenek rendszergazdaként bemutatkozva csaltak ki olyan információkat a felhasználókból, melyekkel azután megkíséreltek behatolni a rendszerbe.
Az egyik rendszergazda arról számolt be, hogy ismeretlenek több alkalommal végigtelefonálgatták a számukra érdekes szervezeti egységeket, és rendszergazdaként bemutatkozva azt állították, hogy egy hálózati hiba kijavításához szükségük van az illető felhasználónevére és jelszavára.
A dolgozók bizalmába úgy férkőztek, hogy valamely kolléga nevét is megemlítették, kölcsönös anekdotázás révén pedig olyan információkat szereztek meg, mellyel további munkatársakkal tudták elhitetni, hogy ők is belsősök.
Az eset úgy lepleződött le, hogy a naplófájlok olvasgatása során olyan dolgozók belépési kísérleteit olvasta a rendszergazda, akiknek nem volt otthonról betárcsázás révén való kapcsolathoz joguk, és fel sem lehetett tételezni róluk, hogy ilyennel kísérletezhettek volna.
A leleplezés után komoly belső vizsgálatra került sor, mely szerint több címről hajtottak végre folyamatosan sikeres behatolást. Közvetlen kárt ugyan nem okoztak a cégnek (adatmódosítás, törlés, egyéb rendszert gyengítő beavatkozás), de a megszerzett információk illetéktelen kézbe való jutásának ténye komolyan megrendíthetné a vállalatba vetett közbizalmat.
A másik rendszergazda pedig arról írt, hogy egy (majdnem sikeres) hálózati betörési kísérlet felgöngyölítése során kiderült, hogy a hackerek úgy jutottak a szükséges információk birtokába, hogy az egyik ismert hazai számítástechnikai újság nevében bemutatkozva telefonos felmérésben való részvételre kerestek meg IT-s dolgozókat. Magas jutalom ígéretével általános kérdések közé rejtve rábírták a résztvevőket, hogy adjanak választ olyan kérdésekre is, melyek a számítógépes rendszer konkrét kritikus paramétereire vonatkoztak.
Mi a tanulság?
A leveleknek két fontos tanulsága van. Ne adjuk ki senkinek sem felhasználónevünket, jelszavunkat, a vállalati információs rendszer kritikus technikai részleteit pedig ne meséljük el ismeretleneknek, külső személyeknek. A legjobb az lenne, ha ezek - az egyébként valószínűleg mindenkinek magától értetődő gondolatok - bele lennének foglalva a vállalatok biztonsági szabályzataiba, előírásaiba is.