Adrian Lamo hajléktalan sztárhacker szerint a Google segítségével viszonylag könnyen be lehet tekinteni személyes adatokat tartalmazó adatbázisokba is. Persze közelebbről megnézve csupán arról van szó, hogy ilyen-olyan okokból sokan felejtik a weben saját használatú adatbázisaikat, a kereső pedig jól megtalálja mindet.
"A Google, megfelelően használva, nagyobb behatoló erővel rendelkezik, mint bármely hackeralkalmazás" - mondta Adrian Lamo, aki nemrégiben felhívta a figyelmet a keresőprogram által képviselt veszélyre, melynek leginkább a weben is hozzáférhető adatbázisok vannak kitéve.
Sablonok
Mivel az adatbázis-kezelő eszközök előre elkészített sablonok alapján jelenítik meg az adatokat, az internetes keresőkbe bizonyos kifejezéseket begépelve egyenesen ezekre az oldalakre lehet jutni. Például a "select a database to view" (válassza ki az adatbázist) kifejezés a Google-be begépelve számos FileMaker Pro adatbázist jelenít meg, melyekben akár személyes adatok is lehetnek.
A Wired magazin munkatársa így talált rá például az Apple-lel kapcsolatban álló több száz tanár részletes életrajzára, címére és telefonszámára. Ráadásul a lista tartalmazta a tanárok felhasználóneveit és jelszvait is. Az adatbázis teljesen védtelen volt.
Egy másik találat a Drexel orvosi egyetem egy adatbázisára mutatott, ahol 5500 idegsebészeti beavatkozáson átesett beteg adatai voltak elérhetők, címekkel, telefonszámokkal. A diagnózisokhoz és a kezelések részleteihez is könnyen hozzá lehetett férni.
Nyílt kommunikáció
Az Apple nem válaszolt a Wired megkeresésére, de a tanárok listáját igen hamar elérhetetlenné tették. A Drexel egyetem azonnal leszedte a adatbázist, amint értesült a dologról. Linda Roth szóvivő közölte, az egyetem munkatársai nem tudtak róla, hogy az adatok elérhetők kívülről is. Jelenleg vizsgálják a rendszerüket, hogy nincs-e véletlenül még több hasonló adatbázis a szerverükön.
A Drexel adatbázisával kapcsolatban Fred Langston, a Guardent biztonságtechnikai cég vezetője elmondta: mindez azért fordulhatott elő, mert az egyetemek, oktatókórházak és hasonló intézetek mindennapi gyakorlatukban is a nyílt kommunikációt támogatják; ilyen környezetben igen nehéz minden adatot folyamatosan biztonságban tartani.
A felhasználó felelőssége
Mindkét adatbázist a FileMaker Pro Web Companionnal készítették. Kevin Mallon, a FileMaker szóvivője szerint a cég mindent megtesz, hogy felhívja a felhasználók figyelmét a biztonsági kérdésekre, emellett a frissítéseket rendszeresen el is küldik regisztrált ügyfeleiknek. Hozzátette: a rendszer konfigurációja és a megfelelő jelszavak kiválasztása viszont már teljes mértékben a felhasználó felelőssége.
A Google szóvivője elmondta, hogy a cég foglalkozott a problémával, és a rendszergazdáknak már jelenleg is biztosítanak olyan eszközöket, melyekkel 24 órán belül el lehet távolítani a véleltenül publikált információt a Google-ről, sőt ennél gyorsabb eszközök fejlesztése is folyamatban van.
Persze a linkek utólagos eltávolítása nem a legelegánsabb megoldás, mondta Lamo. "Ha az orvosi adataid megjelennek a Google-on, valami nincs rendben."
Kövesse az Indexet Facebookon is!
Követem!
