TIP#1872: Co je to únik (leak či breach) a proč řada věcí únikem (únikem dat) není

V souvislost s nedávným objevením se údajů více než 500 milionů uživatelů Facebooku na prodej (a o chvíli později 500 milionů údajů uživatelů Linkedin) se média bohužel předvedla v zásadní neznalosti toho, že zveřejnění veřejně dostupných informací není ani hack, ale ani únik.

Zkusme to na příkladu. Pokud někde praskne potrubí a vytečou nějaké kapaliny, tak je to únik. Stejně tak pokud by někdo přišel a to potrubí rozbil či navrtal, také by šlo ú únik. Kdyby ale někdo přišel a otočil kohoutem a kapalina začala vytékat tam kde vytékat má, tak už to nebude únik.

V počítačové světě únik (leak či breach, viz dále) je přenesení dat odněkud zevnitř k nějakým externím příjemcům. Má navíc nutnou podmínku, musí být neautorizované. Může to být způsobené hackery/útočníky, kteří překonají nějaké překážky a dostanou se k datům, která poté získají a nějak zneužijí, využijí či zveřejní. Může k tomu dojít bezpečnostní chybou, kdy se něco co má být skryto či zabezpečeno stane přístupným. Mohou získat přístupy získáním přihlašovacích údajů. Mohou do systému dostat software, které jim umožní přístup. Těch možnosti je řada.

Není to ale situace, kdy na Facebooku či Linkedin mají uživatelé veřejně přistupné informace a někdo je sesbírá, shromáždí do databáze a tu nabízí na prodej. U zmíněného případu Facebooku to bylo trochu komplikované tím, že bylo využito automatického generování postupně „všech telefonních čísel co mohou existovat“, ale nebylo potřeba nic překonávat a všechny získané informace jsou stalé veřejné informace.

TIP: Co, kdo je to hacker? A kdo není hacker?

V angličtině se rozlišuje data leak (data unikla protože šlo většinou o bezpečností chybu, špatné zabezpečení, chybu člověka) a data breach (je nutné aby došlo k nějakému cílenému bezpečnostnímu útoku, útoku co chtěl právě ty data, která poté získal).

Ani v tomto členění ale případ dat z Facebooku a Linkedin neobstojí – nebyly získány žádné citlivé ani osobní informace. Získávat veřejně dostupné informace prostě není ani leak ani breach.  Data leak je únik dat zatímco data breach spíše narušení dat.

Ona data z Facebooku a Linkedin byla získána mechanismem nazývaní scrapping. Je používaný velmi často, tam kde není možné získávat informace přes nějaké API. Prostě si napíšete program, který je stahuje z webových stránek – tedy v tomto případě z profilů uživatele na Facebooku či Linkedin. Scrapping navíc není nelegální aktivita. Ale o tom možná až někdy jindy v jiném tipu.

TIP: ‣ Jazykový koutek je místo, kde najdete vysvětlení řady dalších cizích slov a termínů

PS: V Jak ověřím, jestli můj e-mail a heslo není v nějakém úniku hesel? je řeč o něčem, co jsou typické úniky. To že z nějaké služby se dostanou ven hesla všech (či části uživatelů) je vždy únik – jde o chráněné údaje, je nutné buď překonat nějaké překážky (hack) nebo se musí objevit exemplární neschopnost provozovatele.