<div class="text-justify"> 

W szeroko rozumianym bezpieczeństwie teleinformatycznym najsłabszym ogniwem jest człowiek. To człowiek zaprojektował i wykonał dziesiątki zabezpieczeń, które mają uchronić dane pracodawcy i jego klientów przed cyberprzestępcami, to człowiek również jest najbardziej podatnym na socjotechniczne zagrywki włamywaczy. 

![dreamjob2904780_1920.jpg](https://files.peakd.com/file/peakd-hive/lesiopm2/goGIHdZc-dream-job-2904780_1920.jpg)
Image by <a href="https://pixabay.com/users/geralt-9301/?utm_source=link-attribution&amp;utm_medium=referral&amp;utm_campaign=image&amp;utm_content=2904780" class="keychainify-checked steem-keychain-checked">Gerd Altmann</a> from <a href="https://pixabay.com/?utm_source=link-attribution&amp;utm_medium=referral&amp;utm_campaign=image&amp;utm_content=2904780" class="keychainify-checked steem-keychain-checked">Pixabay</a>

## Kampania "Dream Job"

Dzięki [raportowi opublikowanemu przez analityków z ClearSky](https://www.clearskysec.com/wp-content/uploads/2020/08/Dream-Job-Campaign.pdf) na światło dzienne wyszła kampania socjotechniczna nazwana "Dream Job", czyli praca marzeń. Z dużym prawdopodobieństwem za tą trwającą od początku roku ofensywną kampanię odpowiada nadzorowana przez rząd północnokoreańska grupa hackerska Lazarus. Ich celem były przede wszystkim przedsiębiorstwa o strategicznym znaczeniu dla obronności, a dostęp do nich mieli uzyskać przez konkretnych pracowników tych firm. O skuteczności działania grupy Lazarus może świadczyć, że w ocenie analityków udało im się zainfekować systemy kilkudziesięciu firm i organizacji w Izraelu i na całym świecie.

W przypadku kampanii "Dream Job" atakujący bardzo dobrze przygotowali się do swojego zadania, najpierw założyli fikcyjne profile na Linkedin, najczęściej rekruterów albo specjalistów od HR w znanych firmach z branży obronnej np. Boeing czy McDonnell Douglas. Następnie budowali na Linkedin sieć kontaktów w tych firmach, żeby uwiarygodnić się w oczach potencjalnej ofiary. Kiedy było wszystko gotowe zarzucali sieć na konkretnych pracowników z interesującej ich firmy, wyglądało to mniej więcej w ten sposób:

![cl.png](https://files.peakd.com/file/peakd-hive/lesiopm2/QmCbUs1H-cl.png)

Na LinkedIn bardzo częstą praktyką jest, że w poszukiwaniu potencjalnych kandydatów na pracowników dla swoich firm rekruterzy przesyłają  prywatne wiadomości temu kandydatowi. Zdarzało się, że i ja otrzymywałem propozycje pracy, ale nie była to żadna "dream job" dlatego, zawsze grzecznie odmawiałem, nawet bez czytania "opisu stanowiska". W tym przypadku dokument z opisem stanowiska przesłany na pocztę elektroniczną ofiary był zainfekowany złośliwym oprogramowaniem, które umożliwiało hackerom dostęp do sieci wewnętrznej firmy i jej tajemnic.

Atakujący poświęcają wiele czasu i uwagi, żeby wybrać odpowiednią ofiarę, z reguły nie działają na oślep, tylko poprzedzają próbę kontaktu wnikliwym researcherem na temat ofiary i poszukiwaniu jej słabych punktów. 
 
***

## Instagram nie usuwał danych użytkowników ze swoich serwerów

Pewien domorosły [analityk bezpieczeństwa z Nepalu - Saugat Pokharel](https://medium.com/nassec-cybersecurity-writeups/deleted-data-stored-permanently-on-instagram-facebook-bug-bounty-2020-26074c229955) postanowił zrobić kopię danych ze swojego profilu na Instagramie. Takie dane na Instagramie odnoszą się ogólnie do wszystkiego, poczynając od szczegółów dotyczących logowania, opublikowanych zdjęć, śledzących i śledzonych, like'ów, komentarzy, wiadomości na historii wyszukiwania kończąc.

![smartphone1701096_1920.jpg](https://files.peakd.com/file/peakd-hive/lesiopm2/YAKqnWwG-smartphone-1701096_1920.jpg)
Image by <a href="https://pixabay.com/users/USA-Reiseblogger-328188/?utm_source=link-attribution&amp;utm_medium=referral&amp;utm_campaign=image&amp;utm_content=1701096" class="keychainify-checked steem-keychain-checked">USA-Reiseblogger</a> from <a href="https://pixabay.com/?utm_source=link-attribution&amp;utm_medium=referral&amp;utm_campaign=image&amp;utm_content=1701096" class="keychainify-checked steem-keychain-checked">Pixabay</a>

Po około dwóch godzinach otrzymał informację, że kopia jego danych jest gotowa do pobrania, co też niezwłocznie uczynił. Następnie przystąpił do przeglądania zawartości wszystkich folderów i plików. Jakie było jego zdziwienie, gdy zobaczył jedno zdjęcie z 2013 roku, które co prawda opublikował na Instagramie, ale zrobił to przez pomyłkę i natychmiast usunął. Okazało się, że zostało usunięte wyłącznie z jego profilu widocznego dla użytkowników Instagrama, ale nie zniknęło z serwerów firmy i siedem lat później wciąż tam  było. Podobnie było z konwersacją którą prowadził z kolegą ponad rok wcześniej, a później skasował, ją również mógł sobie przeczytać w otrzymanej kopii danych.

Zdenerwowany całą sytuacją postanowił działać, zgłosił swoje odkrycie jako naruszenie prywatności do Facebook'a (właściciela Instagrama). Po krótkiej wymianie e-maili sprawa została zamknięta przez FB bez żadnego wytłumaczenia. Odpuścił już tą sprawę, gdy ku jego zaskoczeniu ktoś inny odezwał się FB, że zgłoszenie zostanie ponownie rozpatrzone przez inżynierów z Instagrama. W tym przypadku wymiana e-maili była znacznie dłuższa, aż w pewnym momencie ustała, Saugat tygodniami słał prośby o informację co się dzieje w tej sprawie. Dopiero po czterech miesiącach od zgłoszenia tego problemu otrzymał informację, że inżynierowie wciąż pracują nad rozwiązaniem, a jemu z racji, że zgłosił ten problem przyznano nagrodę w wysokości 6000 USD z programu BUG BOUNTY. Dopiero pół roku później zauważył, że zgłoszony problem został rozwiązany. 

![1 W7isayZkPG0AsrItwMJTdQ.jpeg](https://files.peakd.com/file/peakd-hive/lesiopm2/7i6fboqK-120W7isayZkPG0AsrItwMJTdQ.jpeg)

Podobne problemy miał Twitter w zeszły roku, kiedy to użytkownicy mogli uzyskać dostęp do dawno temu usuniętych bezpośrednich wiadomości, tych wysyłanych i odebranych w tym do i z kont zawieszonych lub usuniętych.

Oczywiście te sprawy rodzą pytanie: czy podjęte przez inżynierów Instagrama czy Twittera działania rzeczywiście doprowadziły do usunięcia wykasowanych przez użytkowników danych ze swoich serwerów, czy tylko przypudrowano sprawę ograniczając dostęp do tych danych w przypadku wykonania kopi zapasowych przez użytkowników?


***
Jak zwykle liczę na Wasze komentarze i uwagi, które pozwolą mi jeszcze lepiej dobierać artykuły i ciekawostki z dziedziny cyberbezpieczeństwa. 


</div>