Londyńskie metro zhakowane przez 17-lata. Policja się chwali, w tle nieco wstydliwa konkluzja
Brytyjskie organa ścigania pochwaliły się, że zdołały ująć hakera, który stał za atakiem londyńskie metro. W wyniku tego ataku doszło do narażenia – i potencjalnie wycieku – danych tysięcy pasażerów. Wszystko dobrze, tyle że samo metro przyłapano niedawno na działaniach, które w podobnie pobłażliwy sposób traktowały kwestię prywatności pasażerów.
O ujęciu poinformowała w swym oświadczeniu brytyjska Narodowa Agencja Kryminalna (National Crime Agency). W oświadczeniu ujawniono także, któż był bym złowrogim aktorem, który stał za włamaniem. To 17-letni chłopak z miejscowości Walsall, koło Birmingham.
Ów przedsiębiorczy młodzian zdołał skompromitować rozbudowane (i drogie) systemy informatyczne należące do Transport for London (TfL) – organu biurokratycznego, w gestii którego leży cały londyński zbiorkom. Co uderza to to, że jego ujęcia policja zdaje się czynić triumf równie wielki, jak gdyby chodziło o schwytanie groźnego gangu cyberterrorystów, nie znudzonego nastolatka.
Metro pełne hipokryzji
W tonie intelektualnej autolaurki oficjele egzaltowali się, że podobne włamania są wysoce szkodliwe i prowadzić mogą do poważnych konsekwencji (no eureka…). Jednak dzielni stróże prawa z NCA byli na posterunku, i dzięki ich błyskawicznej odpowiedzi zdołano zareagować. Ech…
Oczywiście nie mogło zabraknąć wzajemnych podziękowań różnych agencji i oficjeli pod swoimi adresami. Zupełnie jakby szanowni państwo urzędnicy i policjanci wyświadczali publice i sobie nawzajem przysługę. Nie zaś, jak wskazuje logika, po prostu realizowali swoje obowiązki służbowe, za które pobierają wynagrodzenie.
Do ataku doszło 1. września (czyżby sprawca chciał w ten sposób wyrazić swoje uczucia wobec rozpoczynającego się roku szkolnego…?). W jego wyniku dane ok. 5 tys. pasażerów „mogły” zostać narażone na wyciek. W szczególności chodzi o osoby, które niedawno dokonywały zwrotów transakcji za pomocą kart Oyster, służących jednocześnie w roli karnetów i biletów wielorazowych.
„Mogły” wyciec – ale czy faktycznie wyciekły? Tego wielmożne służby nie ujawniają, zasłaniając się trwającym śledztwem. Zakres narażonych na to danych jest przy tym dość szeroki. Obejmuje on, prócz nazwisk, także adresy zamieszkania, adresy emailowe oraz numery kont bankowych.
Cenimy prywatność, no chyba że łamiemy ją sami
Choć winą za wyciek oczywiście obciąża się oczywiście sprawcę, nie sposób nie odnotować czynników, które mu w tym pomogły. A w szczególności – słabym zabezpieczeniom po stronie TfL oraz miernym praktykom w kwestii ochrony danych. W końcu był on jedynie 17-latkiem. Być może kreatywnym, ale w oczywisty sposób ograniczonym skalą jednoosobowej aktywności i możliwościami domowego sprzętu komputerowego.
Można wyobrazić sobie, jaki byłby efekt ataku, gdyby na miejscu chłopaka byli profesjonalni hakerzy związani ze służbami specjalnymi wrogich reżimów (jak Rosja czy Korea Północna), albo członkowie zorganizowanej grupy cyberprzestępczej. Wraz całym ludzkim, finansowym i technicznym potencjałem z tym związanym.
Jeszcze jedną rzeczą, na którą warto zwrócić uwagę to działania samych urzędników. TfL podkreśla, jak bardzo leży mu na sercu prywatność danych swoich pasażerów, i jak bardzo boli go to włamanie. Tymczasem sam podejmuje działania, które nie tylko dorównują, ale i dalece przewyższają swoją agresywnością, inwazyjnością i szkodliwością wobec prywatności pasażerów włamanie