Ukládáte si v telefonních kontaktech osobní informace? Není to dobrý nápad

Wired upozorňuje, že volební aplikace Donalda Trumpa si stahuje adresáře lidí, kteří si ji naintalují. Ptá se proč. Ale také varuje

Je to poměrně běžné. Stáhnete si aplikaci z App Store či Google Play a ta požádá o práva pro přístup ke kontaktům. Po získání vaše kontakty vezme a odešle kamsi provozovateli. V minulosti to dělala řada aplikací tajně a bylo okolo toho hodně skandálů, které nakonec vedly ke zpřísnění podmínek pro přístup ke kontaktům.

Wired upozorňuje, že volební aplikace Donalda Trumpa si také říká o přístup ke kontaktům, které vzápětí zpracuje a uloží v zásadě neznámo kde. Nedělá to tajně, ale Wired poměrně správně upozorňuje, že pokud si v kontaktech ukládáte osobní informace, dostává se k nim někdo cizí. A je otázkou, jaké úmysly má. A já bych dodal, je ještě větší otázkou, jestli vůbec dodržuje nějaká základní bezpečnostní opatření.

Kontakty v telefonech nejsou určeny pro ukládání osobních informací.

Přesto je zcela běžné, že tam lidé ukládají hesla, PIN k platebním kartám, zdravotní informace, čísla účtů i řadu dalších věcí, které do cizích rukou rozhodně nepatří. Přes skutečnost, že právě kontakty jsou z telefonů běžně kompletně odesílány různorodým aplikacím.

Dostat se k nim je navíc možné i řadou způsobů, o kterých se uživatelé nic nedozví – jsou v zásadě volně dostupné a nešifrované, v řadě případů synchronizované s různými cloudovými službami. A nutno dodat, že už jenom samotná jména, příjmení, e-maily, telefonní čísla i adresy mohou být velmi zajímavými údaji pro někoho, kdo je bude moci dál využít či zpeněžit.

Wired doporučuje pro ukládání (citlivých) osobních informací použít správce hesel nebo zaheslovaných souborů. A zcela správně upozorňuje, že databáze kontaktů v telefonu rozhodně není bezpečné místo pro ukládání čehokoliv jenom trochu citlivého.

TIP: ‣ Průvodce bezpečným Internetem, který bezpečný být nemůže na @365tipů vám pomůže s řadou věcí, které se týkají soukromí a bezpečí na Internetu.  Mezi tipy je pochopitelně i Správce hesel vám pomůže nejenom si hesla pamatovat, ale také zlepší bezpečí

Už jste si zkontrolovali, jestli vaše heslo k Twitteru neuniklo v nedávném úniku?

Je čas to připomenout, tedy že se na Internetu pohybují miliony hesel k účtům na Twitteru (viz Twitter: Naše servery nikdo nehacknul, hesla unikla jinak a Další hesla na prodej, 32 milionů hesel od účtů na Twitteru). Je dobré vědět, že Twitter už měl hesla a e-maily získat a postiženým účtům (tedy tam kde byla platná hesla) udělat reset hesla, ale to není zdaleka jediný problém.

Pokud byl váš e-mail a heslo v úniku, tak to znamená, že ono uniklé heslo je nyní veřejně známé. Pokud jste ho použili kdekoliv jinde, znamená to zásadní ohrožení. Měli byste si tedy ověřit, zda vaše heslo k Twitteru není mezi uniklými – udělat to můžete na www.leakedsource.com, stačí do políčka pro e-mail napsat váš e-mail a podívat se na výsledek.

2016-06-18 13_39_03-Find the source of your leaks

Dobrá zpráva na tomto ověření je, že se případně dozvíte, zda váš e-mail není i v jiném z úniků. Nedozvíte se ale, jaké konkrétní heslo bylo uvedené, to už je, celkem logicky na vás.

Pokud se bojíte do LeakedSource zadávat e-mail, tak můžete zadat název vašeho účtu na Twitteru a vybrat si, že chcete hledat podle „username“. Osobně bych doporučil hledání podle obou metod – v úniku totiž může být jak e-mail a heslo, tak jenom název účtu a heslo. Pokud se, čistě teoreticky, přihlašujete k účtu na Twitteru číslem telefonu, tak můžete zkusit vyhledat i to.

Hledání podle username vám mimochodem může ukázat další úniky, kde ne nutně bude uživatelské jméno patřit vám – můj @medvidekpu na Twitteru se ukazuje v dalších únicích – Zoosk.com, iMesh.com, HeroesOfNewerth.com a Ipmart-forum.com. První tři by asi mohly být moje (ale některá z nich reálně nejsou. iMesh.com už navíc neexistuje), ale to poslední zcela určitě ne. Ale přezdívka, název účtu, „medvidekpu“ určitě není něčím až tak unikátním. Na rozdíl od e-mailu či telefonního čísla.

Pokud se kterékoliv vaše heslo stalo známé, je extrémně důležité, abyste ho přestali používat. Kdekoliv je v užívání musíte heslo neprodleně změnit.

Je navíc nejvyšší čas se věnovat tomu,že vaše hesla mají být silná a unikátní – což je těžko zajistitelné „z hlavy“, takže je čas si pořídit nějakého správce hesel (viz například Jaká jsou nejpoužívanější hesla a jak vůbec zacházet s hesly na Internetu? a Správce hesel vám pomůže nejenom si hesla pamatovat, ale také zlepší bezpečí). Čistě teoreticky s můžete hesla „generovat“ z hlavy dostatečně unikátní a schovávat si je do vlastního šifrovaného a zaezpečného uložiště. To už je opravdu na vás.

Security through obscurity? U uživatelských hesel tohle opravdu nefunguje. Praktický příklad od České pošty

Když si u České pošty chcete založit zákaznickou kartu tak tvrdě narazíte. Na zcela nepochopitelné podmínky, které musí splňovat heslo. Je to jedna z nejlepších ukázek, jak přimět uživatele si heslo někam napsat, rozhodně tak aby ho našel, aby bylo co nejlépe viditelné. A aby to vůbec nedávalo smysl, že má tak neuvěřitelně složité heslo.

Pokračovat ve čtení „Security through obscurity? U uživatelských hesel tohle opravdu nefunguje. Praktický příklad od České pošty“