Članak prikazuje niz ozbiljnih propusta u upravljanju lozinkama koji su doveli do velikih posledica: od kompromitovanja CCTV sistema u Luvru do zaustavljanja Colonial Pipeline i isplate otkupnine. Navodi se i apsurdan primer ranjivih nuklearnih procedura i slučajevi koji su doveli do bankrota kompanija ili skandala britanske štampe. Zaključak je jasan: MFA, jake lozinke, redovne zakrpe i edukacija zaposlenih su ključne mere zaštite.
Kako jedna lozinka može srušiti firmu i ugroziti svet — lekcije iz najvećih propusta
Kako slabe lozinke dovode do katastrofa
Primeri iz stvarnog života pokazuju koliko jednostavne greške u upravljanju lozinkama mogu imati velike posledice: od kompromitovanja sistema muzeja do zaustavljanja ključne infrastrukture i curenja ličnih podataka miliona građana. U nastavku su pregledani najpoznatiji propusti i praktične lekcije koje iz njih možemo izvući.
1. Luvr — lozinka „LOUVRE“
Prethodno istraživanje iz 2014. otkrilo je da je server koji je upravljao CCTV mrežom u Luvru imao lozinku „LOUVRE“. Predvidive lozinke poput ove često se sreću i olakšavaju napade na kritične sisteme.
2. Colonial Pipeline — napad zbog kompromitovanog VPN naloga
U maju 2021. mreža jednog od najvećih američkih naftovoda bila je paralizovana nakon sajber-napada grupe Darkside. Napadači su, prema izveštajima, pristupili preko kompromitovanog VPN naloga koji nije imao uključenu višefaktorsku autentifikaciju (MFA). Kompanija je privremeno platila otkupninu od 4,4 miliona dolara; kasnije je deo sredstava vraćen od strane vlasti.
3. Nuklearni kodovi — osam nula kao šokantan primer
Prema izjavama Bruce Blaira, davnih 1960-ih i 1970-ih, u nekim procedurama kao deo zaštite koristilo se osam nula, što je pokazalo koliko su ljudski faktori i loše procedure opasni. Kasnije je sistem dodatno ojačan uvođenjem jedinstvenih "enable" kodova i drugih mera.
4. KNP (Akira) — propast 158-godišnje firme zbog slabe lozinke
U junu 2023. britanska kompanija KNP postala je žrtva grupe Akira nakon što je napadač pogodio lozinku jednog zaposlenog. Podaci su enkriptovani, internim sistemima je onemogućen rad, i pošto otkupnina nije plaćena, preduzeće je propalo, a stotine radnih mesta su izgubljene.
5. Prisluškivanje govorne pošte — tabloidi i fabrički kodovi
Skandal u Velikoj Britaniji otkrio je da su neki novinari i privatni detektivi zloupotrebljavali podrazumevane ili jednostavne pristupne kodove (npr. 1111, 1234) za pristup govornoj pošti javnih ličnosti. Posledice su bile velike: gašenje lista News of the World i opsežne istrage o etici medija.
6. Kemi Badenoch — primer "foolish prank"
Kemi Badenoch je priznala da je pre više godina uredila sadržaj sajta političarke Harriet Harman koristeći lozinku koja je glasila upravo "Harriet Harman". To podseća da slabi i predvidivi nalozi nisu problem samo kompanija već i javnih ličnosti.
7. Izborni registri i ICO — politički podaci izloženi
Između avgusta 2021. i 2022. napadači su pristupili sistemima koji sadrže izborne registre u UK. ICO je utvrdio da nisu instalirane zakrpe, da nije postojala stroga politika lozinki i da je 178 naloga koristilo fabričke ili slične lozinke — greške koje su omogućile pristup.
Glavne lekcije i preporuke
- Uvek koristite višefaktorsku autentifikaciju (MFA) — to drastično smanjuje rizik i od kompromitovanih lozinki.
- Kompleksne i jedinstvene lozinke za svaki nalog; koristite menadžere lozinki da biste ih bezbedno čuvali.
- Redovno ažuriranje i instalacija bezbednosnih zakrpa — poznati propusti često se iskorišćavaju zato što sistemi nisu zakrpljeni.
- Obuka zaposlenih — ljudska greška je čest uzrok; obučeni tim smanjuje rizik.
- Politike najmanje privilegije — ograničite pristup samo onima kojima je neophodan.
Ovi primeri jasno pokazuju da lozinka nije samo tehničko pitanje — to je pitanje poslovne bezbednosti, javne sigurnosti i poverenja. Male promene u praksi mogu sprečiti velike katastrofe.
Pomozite nam da budemo bolji.
