Minden online tevékenységünkkel nyomot hagyunk magunk után, ezek összességét nevezzük digitális lábnyomnak. Gyakran bele sem gondolunk, mennyi információ gyűlik össze rólunk az interneten, pedig a digitális lábnyomunk rengeteg mindent elárul szokásainkról, kapcsolatainkról és akár sérülékenységeinkről is. Ez nem csupán egyéni adatvédelmi kérdés, hanem komoly üzleti és biztonsági kockázat is lehet.

Az elmúlt években sok szó esett adatvédelemről, kiberbiztonságról, GDPR-ról de jóval kevesebb figyelem jutott a csendes, mégis óriási hatású szereplőkre, az adatbrókerekre. Ők azok a cégek vagy személyek, amelyek nem hackelnek meg semmit, mégis meglepően pontos képet tudnak rajzolni rólunk, pusztán a digitális lábnyomunk alapján.

Ez a lábnyom tartalmazza mindazt, amit online csinálunk: közösségi média aktivitások, app-használatok, nyilvános cégadatok, pályázati listák stb. Az adatbrókerek feladata egyszerű, összeszedik, összefésülik és eladják ezeket az adatokat harmadik feleknek jellemzően marketingeseknek, pénzügyi szolgáltatóknak, de akár kockázatkezelési vagy biztonsági célokra is.

Mit csinál egy adatbróker valójában?

• személyes adatokat gyűjt rólunk (név, cím, e-mail, telefonszám, demográfiai adatok, érdeklődési kör, online viselkedés), ezeket feldolgozza, profilokká szervezi, majd értékesíti vagy továbbadja más cégeknek.

Fontos, az adatbróker általában soha nem lép velünk közvetlen kapcsolatba. Nem tőle veszünk szolgáltatást, nem nála regisztrálunk, ő a háttérben dolgozik. A nyersanyagát tipikusan innen szerzi:

• nyilvános adatbázisokból (cégnyilvántartás, tulajdoni lapok, közhiteles nyilvántartások),
• marketing-listákból, hírlevél-adatbázisokból,
• közösségi média profilokból,
• kereskedelmi adatbázisokból, amelyeket más cégektől vásárol.

Ezeket az adatokat aztán összekapcsolja, a megfelelő e-mail cím, telefonszám, lokációs adat, LinkedIn profil, családi állapot vagy bármi más beazonosítás alapján. Így épül fel a „teljes ember” képe, akiről a bróker már jóval többet tud, mint amit bárhol egyben megosztottunk volna.

Mennyit tudnak rólunk valójában?

Nem túlzás azt állítani, hogy a legtöbb aktív internetfelhasználóról több tucat nyilvánosan elérhető információ van.

Ezek a profilok jellemzően tartalmazzák például:

• korábbi és jelenlegi lakcímeket,
• telefonszámokat, több e-mail címet,
• családtagok, rokonok nevét,
• közösségi média linkeket és fotókat,
• becsült demográfiai és jövedelmi kategóriákat,
• érdeklődési köröket (pl. autók, egészség, pénzügy, utazás),

Mindez anélkül, hogy bárki feltörné a gépünket, ezek az adatok nyilvánosak.

Miért probléma ez a cégeknek és vezetőknek?

Első pillantásra ez „csak” adatvédelmi kérdésnek tűnhet. A gyakorlatban viszont konkrét biztonsági kockázat.

1. Célzott Social Engineering és phishing

Ha egy támadó megvesz egy vezetői adatcsomagot egy adatbrókertől, azonnal hozzájut:

• a vezető több privát és céges e-mail címéhez,
• családtagok nevéhez,
• lakcímekhez, mobilszámokhoz,
• közösségi profilokhoz és fotókhoz.

Ebből nagyon hiteles adathalász (phishing) vagy BEC (Business Email Compromise) támadás építhető, az e-mailben megjelenhet valódi családtag neve, privát információ, valós cím vagy esemény így az üzenet pszichológiailag sokkal meggyőzőbb.

2. Végrehajtható támadási forgatókönyvek

Az adatbróker-adatok nem önmagukban veszélyesek, hanem akkor, amikor összekapcsolódnak más nyílt forrásokkal (OSINT):

• geolokációs adatok + közösségi posztokból látható utazási szokások, kiderül, mikor üres a vezető otthona vagy mikor nincs a cég központjában,
• technikai infók (pl. milyen eszközöket, szolgáltatásokat használ) + sérülékenység-adatbázisok, célzott technikai támadási terv,
• családtagokról, gyerekekről szóló nyilvános információk, még erősebb zsarolási vagy manipulációs potenciál.

Minél magasabb kitettségű valaki (vezető, tulajdonos, kritikus pozícióban lévő szakember), annál értékesebb célpont és annál több adatot érdemes róla felvásárolni.

3. Reputációs és jogi kockázatok

Egy rosszul kezelt adatbróker-szivárgás vagy célzott támadás:

• leronthatja a cég reputációját (különösen, ha kiderül, hogy vezetői könnyen támadhatók voltak),
• felvethet GDPR-jellegű kérdéseket, ha belső adatkezelési gyakorlatok is előkerülnek,
• pénzügyi kárt és ügyfélvesztést okozhat, ha a támadók a megszerzett információt ügyfelek ellen használják.

Mit tehetünk ellene – egyénként és szervezetként?

Teljesen „eltűnni” az adatbrókerek radarjáról reálisan nem lehet, de nagyságrendekkel csökkenteni a kitettséget igen.

Egyéni szinten

• Rendszeres önellenőrzés: időnként érdemes rákeresni a saját nevünkre, e-mail címünkre, telefonszámunkra, és megnézni, hol bukkanunk fel adatbróker oldalakon.
• Adatkezelés tudatosítása: átgondolni, milyen hírlevelekre, nyereményjátékokra, „ingyenes” szolgáltatásokra iratkozunk fel. Sok „ingyenes” szolgáltatás ára a személyes adataink kikerülése az internetre.
• Közösségi média takarítás: átnézni a nyilvános posztokat, fotókat, „Rólam” szekciókat, és a szükségtelen vagy túl intim adatokat levenni a nyilvános felületről.

Vállalati szinten

• Digitális lábnyom– és adatbróker-audit: az első lépés, hogy tudjuk, hol állunk. Fel kell mérni, a vezetőkről, kulcsemberekről és magáról a cégről milyen adatok érhetők el adatbrókereknél és nyílt forrásokban.
• Biztonságtudatossági képzés: nem elég elmagyarázni, mi az adatbróker, meg kell mutatni, mit találnánk róluk egy OSINT kereséssel, és milyen támadási sztorit lehetne erre építeni.
• Belső szabályzatok frissítése: HR, PR, marketing, IT, mindegyik terület érintett. A belső szabályzatoknak ki kell térniük arra, milyen adatot oszthatnak meg munkatársak nyilvánosan, milyen fotók, esettanulmányok, referenciák vállalhatók, és mikor lép be a biztonsági szempont.

Hogyan segíthet ebben az Aquino Consulting?

Az Aquino Consultingnál a digitális lábnyom nem elméleti fogalom, hanem napi szintű OSINT és biztonsági tanácsadói gyakorlat része.

Amiben tudunk segíteni:

• Digitális lábnyom– és adatbróker-felmérés
  • Feltérképezzük, hogy az Ön cégéről, vezetőiről és kulcsfontosságú munkatársairól milyen információ érhető el nyílt forrásokban.
  • Kiemeljük azokat az elemeket, amelyek konkrét támadási forgatókönyvek alapjául szolgálhatnak.
• Célzott kockázatelemzés és akcióterv
  • Prioritási listát készítünk, hol a legnagyobb a kitettség, mit érdemes azonnal kezelni (pl. bizonyos profilok törlésének kezdeményezése, kommunikációs gyakorlat módosítása).
  • Gyakorlati, végrehajtható lépéseket javaslunk, nem csak „policy szinten”, hanem operatív szinten is.