„Slapukai internete būtini – nėra kito būdo, kaip prietaisas galėtų nustatyti, kuris naudotojas jį valdo. Tačiau daugelis nesuvokia, kad jei interneto įsilaužėlis pagauna jūsų aktyvius slapukus, jam gali neprireikti jūsų prisijungimo vardo, slaptažodžio ir net kelių veiksnių autentifikacijos, kad perimtų jūsų paskyras“, – teigia „NordVPN“ rizikų valdymo ekspertė Justina Tamulevičiūtė.
Kaip veikia slapukai ir kokias rizikas gali sukelti jų vagystė?
„Be slapukų, serveris negali patvirtinti naudotojo. Paprasčiau tariant, kai naudotojas prisijungia, įvesdamas slaptažodį ir patvirtina savo tapatybę SMS kodu, per el. paštą ar kitais būdais, serveris pateikia naudotojui slapuką. Kai kitą kartą tas pats naudotojas grįžta į svetainę, serveris atpažįsta slapuką ir žino, kad šis naudotojas jau yra prisijungęs – todėl nereikia dar kartą prašyti tos pačios informacijos“, – sako J.Tamulevičiūtė.
Tačiau pasak jos, jei šis slapukas yra pavogtas ir vis dar aktyvus, programišius potencialiai gali prisijungti prie paskyros be slaptažodžio ar papildomo tapatybės patvirtinimo.
Taip pat, slapukuose gali būti saugoma ir kita neskelbtina informacija, pavyzdžiui, pilnas vardas, buvimo vieta, rūbų dydis ir t. t.
Kokių rūšių slapukai buvo rasti?
Iš 54 milijardų analizuotų slapukų, 17 proc. buvo aktyvūs.
„Nors gali atrodyti, kad 17 proc. nėra labai daug, svarbu suprasti, kad tai sudaro daugiau nei 9 mlrd. slapukų. Tiesa, nors aktyvūs slapukai kelia didesnę riziką, neaktyvius programišiai taip pat gali panaudoti, rengdami įvairias atakas“, – sako J. Tamulevičiūtė.
Duomenų bazėje rasti daugiau kaip 2,5 mlrd. slapukų iš „Google“ svetainės, dar 692 mln. slapukų iš „Youtube“. Daugiau kaip 500 mln. slapukų buvo iš „Microsoft“ ir „Bing“. Tai vienos pagrindinių naudojamų paskyrų, todėl jei programišiams pavyksta į jas įsibrauti, jie nesunkiai gali patekti ir į kitas paskyras, prašydami atkurti slaptažodį ar tiesiog naudodamiesi bendrosios prieigos (angl. single sign-on) funkcija.
Daugiausia slapukų nutekinti iš Brazilijos, Indijos, Indonezijos, JAV ir Vietnamo. Iš Europos šalių labiausiai nukentėjo Ispanija, iš kur nutekinti 554 mln. slapukų. Lietuvoje buvo rasta daugiausia slapukų iš visų Baltijos šalių – net 77 mln., iš kurių 24 proc. buvo aktyvūs. Iš 244-ių nukentėjusių šalių ir teritorijų, Lietuva atsidūrė 60-ojoje vietoje.
Vogdami slapukus programišiai daugiausiai surinko tokių asmeninės informacijos duomenų, kaip naudotojo vardas, el. pašto adresas, miestas, slaptažodis ir adresas.
„Jei visus šiuos duomenis panaudosite kartu su amžiumi ar rūbų dydžiu, gausite labai aiškų naudotojo paveikslą, kuris gali leisti vykdyti konkrečias apgavystes ar atakas“, – pažymi Justina Tamulevičiūtė.
Šiems slapukams pavogti buvo naudojama net dvylika skirtingų kenkėjiškų programinės įrangos tipų. Beveik 56 proc. jų buvo surinkti su „Redline“.
Kaip galima apsisaugoti?
Nors nėra magiško būdo pilnai apsisaugoti nuo slapukų vagysčių, J. Tamulevičiūtė pataria reguliariai trinti slapukus, saugomus naršyklėje, kad vagystės atveju programišius jų gautų kuo mažiau. Ji taip pat pataria vengti nepažįstamų svetainių ir atidžiai vertinti parsisiunčiamus failus.
Kaip teigia IT specialistas ir IT įmonės „Devbridge“ (priklausančios „Cognizant“ kompanijai), DevOps praktikų vadovas Marius Guobys, sutikdami su visomis puslapio taisyklėmis ir slapukų valdymu, jūs tarsi lengvai atiduodate savo informaciją tiek puslapio valdytojui, tiek trečiosioms šalims.
„Paspaudę „Daugiau informacijos“, galime pamatyti ir visą partnerių sąrašą, su kuriais pasidalijama informacija (arba parduodama), ir šis sąrašas gana įspūdingas – jame yra daugiau nei, pavyzdžiui, 800 partnerių, su kuriais pasidalijama informacija.
Žinoma, ne visi partneriai renka informaciją būtent apie jus. Bet didžioji dalis tikrai nori jums parodyti daug tikslingos reklamos, produktų ir pan. Tad iš vartotojų informacijos daugiau finansinės naudos gauna jos rinkėjai, bet ne patys vartotojai“, – teigia M. Guobys.