Niedawna awaria firmy Garmin ujawniła luki w bezpieczeństwie i komunikacji
Pomarańcze
W zeszłym tygodniu firma Gamin doznała ogromnej awarii, która nie tylko uniemożliwiła sportowcom multisportowym przesyłanie aktywności na jej serwery, ale także zlikwidowała centrum telefoniczne, system poczty e-mail, czat online, a nawet usługę lotniczą flyGarmin. Plotka głosi, że awaria była spowodowana atakiem ransomware, ale Garminowi zajęło pięć dni, zanim przyznał, że rzeczywiście był to cyberatak.
Kiedy awaria zaczęła się 23 lipca rano, użytkownicy Garmin Connect zostali powitani komunikatem „Przepraszamy, nie mamy czasu na konserwację. Sprawdź wkrótce.", gdy próbujesz uzyskać dostęp do usługi online lub za pośrednictwem aplikacji mobilnych Connect. Oficjalne konto Garmin również zamieściło na Twitterze niejasną i zasadniczo nieprzydatną wiadomość:
Następnie kolejny ogólny tweet „przepraszamy" wraz z bardzo krótkim FAQ z 25 lipca:
Ogólnie rzecz biorąc, nie jest to dużo do zrobienia i jest to złe miejsce, jeśli jesteś użytkownikiem Garmin, zwłaszcza że firma była równie niejasna przez następne cztery dni.
Więc co się stało?
Ach, to pytanie za milion dolarów, prawda? Prawda jest taka, że nadal nie jesteśmy pewni. Krąży tam wiele spekulacji i plotek, a najbardziej wiarygodne (ale niepotwierdzone) źródło pochodzi z ZDnet. Według pisarza Catalina Cimpanu, Garmin został trafiony przez atak ransomware o nazwie WastedLocker.
Inne źródła twierdzą, że po wykryciu ataku Garmin powiedział wszystkim pracownikom – którzy wydają się pracować zdalnie z powodu pandemii COVID-19 – aby zamknęli wszystkie systemy, w tym serwery firmy (dlatego też call center, poczta e-mail i usługi czatu również nie działały). Miało to na celu powstrzymanie hakerów przed przejęciem serwerów i zaszyfrowaniem większej ilości danych, skutecznie odcinając również firmę Garmin od własnego systemu.
Raporty nadal pojawiały się po pięciodniowej przerwie, wielu twierdziło, że atak pochodził od rosyjskiej grupy hakerów Evil Corp z żądaniem 10 milionów dolarów. Ale to też jest niepotwierdzone.
Wreszcie, 27 lipca, Garmin oficjalnie uznał przyczynę awarii, stwierdzając, że była „ofiarą cyberataku, który zaszyfrował niektóre z naszych systemów 23 lipca 2020 r.”. Szczegóły są nadal znacznie skąpe, niż wydaje mi się, że klienci zasługują na to, ale wydaje się, że przynajmniej w pewnym stopniu potwierdza to plotki o „ransomware”.
Garmin oczekuje, że użytkownicy będą mu ufać dużą ilością danych — stanem zdrowia, lokalizacją, kontaktami, śledzeniem i wieloma innymi. Brak przejrzystości ze strony firmy powinien sprawić, że każdy użytkownik Garmina będzie czuł się nieswojo, jeśli chodzi o kontynuowanie ich relacji.
Co Garmin zrobił właściwie
Pomarańcze
Chociaż co prawda nie jestem zadowolony z tego, jak Garmin poradził sobie z tą sytuacją, warto wspomnieć, że niektóre rzeczy zostały załatwione przynajmniej właściwie.
Na początek, gdy tylko zorientowano się, że coś jest nie tak, Garmin wyłączył swoje systemy. Według plotek mówimy o każdym, kto miał zdalny dostęp do systemu, a także do wszystkich serwerów. Właśnie dlatego synchronizacja nie działała — nie było z czym synchronizować.
Ten pierwszy krok miał kluczowe znaczenie dla ochrony danych użytkownika, ponieważ Garmin fizycznie usunął dostęp do dowolnego serwera, który nie został jeszcze dotknięty lub przejęty podczas ataku.
Poza tym nie ma zbyt wielu pochwał, które można by pochwalić Garminowi za to, jak poradził sobie z sytuacją.
Gdzie Garmin upuścił piłkę
Jeśli jest jedna rzecz, którą firma, która posiada Twoje prywatne i/lub osobiste dane, powinna zrozumieć, to jest to przejrzystość. Jeśli coś pójdzie nie tak, powiadom użytkowników. Mamy prawo wiedzieć, co się dzieje z naszymi danymi — a nawet co może się z nimi stać — w takiej sytuacji.
Jasne, Garmin zamieścił niejasne stwierdzenie w swoim FAQ dotyczącym awarii:
Czy awaria wpłynęła na moje dane?
Firma Garmin nie ma żadnych wskazań, że ta awaria wpłynęła na Twoje dane, w tym aktywność, płatności lub inne dane osobowe.
Myślę, że to już coś, ale to nie wystarczy. Przyjrzyjmy się kilku przypadkom, w których firmy wyszły poza granice, aby poinformować swoich użytkowników, co się dzieje, gdy to się dzieje.
W grudniu ubiegłego roku Wyze doświadczyło naruszenia bezpieczeństwa danych na serwerze testowym. To była wina firmy, co zostało wyraźnie przyznane. Wyze zrobił wszystko, aby jasno i wyraźnie określić, co się stało, jak to się stało i które dane zostały ujawnione. Cała sytuacja była zła, ale sposób, w jaki Wyze sobie z nią poradził, był wzorowy.
Innym przykładem jest niedawny hack na Twitterze. Chociaż całość można opisać tylko jako katastrofę, Twitter wykonał dobrą robotę, informując o tym, co się dzieje, a następnie podając więcej szczegółów, gdy stały się dostępne.
Pomarańcze
I właśnie tam Garmin wszystko schrzanił — minęły dni, odkąd usługa została pierwotnie usunięta. Po mniej więcej pięciu dniach usługa dopiero niedawno zaczęła powoli wracać do życia. A oświadczenie Garmina to pełen wdzięku taniec słowny bez żadnego prawdziwego wyjaśnienia poza „wystąpił cyberatak”.
Do diabła, Garmin nawet nie zadał sobie trudu, aby wysłać klientom e-maile o awarii — poza niejasną komunikacją na Twitterze, firma nie zrobiła absolutnie nic, aby upewnić się, że klienci wiedzieli, co się dzieje. To jest do bani, ponieważ jeśli nie wiedziałeś, gdzie szukać, byłeś na mrozie. Albo gorzej — czytanie potencjalnie błędnych spekulacji i pogłosek z niepotwierdzonych źródeł na losowych stronach internetowych.
Co Garmin zamierza zrobić, aby posunąć się naprzód?
Nie ma ani słowa o tym, co się naprawdę stało. Jeśli w rzeczywistości był to atak ransomware, czy Garmin zapłacił okup za zwrócenie przechwyconych danych? Jeśli nie, jak rozwiązano sytuację? Jakie kroki zostaną podjęte, aby zapobiec tego typu sytuacjom w przyszłości?
Ten ostatni fragment to kluczowy szczegół. Za każdym razem, gdy firma jest przedmiotem naruszenia bezpieczeństwa danych, powinna poinformować swoich klientów, co zamierza zrobić, aby zapobiec tego typu atakom w przyszłości. Ale Garmin nie powiedział ani słowa o tym, co zamierza zrobić. Nie wiemy, czy firma coś zmieni. Więcej szkoleń dla pracowników? Konsultacja bezpieczeństwa od renomowanej firmy? W ogóle nic? Kto wie.
To wszystko, o czym klienci firmy Garmin powinni wiedzieć. Ufamy im, że zapewnią bezpieczeństwo naszych danych i cholernie zasługujemy na poznanie wszystkich szczegółów, gdy coś się wydarzy.
Ale hej, przynajmniej zadbali o to, aby na końcu komunikatu prasowego uwzględnić ten ładunek gówna:
Zaprojektowane od wewnątrz do życia na zewnątrz, produkty Garmin zrewolucjonizowały styl życia w lotnictwie, motoryzacji, fitnessie, morzu i na świeżym powietrzu. Firma Garmin, poświęcona pomaganiu ludziom w maksymalnym wykorzystaniu czasu, jaki spędzają na realizacji swoich pasji, wierzy, że każdy dzień jest okazją do innowacji i szansą na pokonanie wczoraj.
Nie wiem, jak się z tym czujesz, ale jako wieloletni klient firmy Garmin czuję się jak policzek w twarz. To nie czas na prezentację sprzedażową.
Mam pomysł, Garmin: może pokonałeś wczoraj, poprawiając swoje bezpieczeństwo i komunikację?
Więc co możesz zrobić?
Wiele części Garmin Connect nadal nie ładuje się prawidłowo. Krzywka
To najgorsza część takiego scenariusza – jesteś prawie bezsilny, by cokolwiek zrobić. Nie możesz zmusić firmy Garmin do rezygnacji z tego, co się stało lub co zamierza zrobić, aby zapobiec ponownemu wydarzeniu.
Ale możesz zrobić to, co jest tak często zalecane w takich sytuacjach: głosować za pomocą portfela. Przejdź na nową platformę. Usuń swoje dane z Garmin i przejdź do czegoś, miejmy nadzieję, bardziej niezawodnego lub godnego zaufania. Istnieje wiele innych firm — takich jak Wahoo, Polar, Hammerhead i inne — które tworzą konkurencyjne produkty z firmą Garmin.
Największym problemem jest to, że żadna z tych konkurencyjnych firm nie miała do czynienia z podobną sytuacją, o której myślę. Oznacza to, że nie mamy pojęcia, które z nich lepiej by sobie z tym poradziły.
Myślę, że czas pokaże.