Viimeisimmän tietoturvaloukkauksen seurauksena, jossa carshare-sovellus CityBeestä vuoti julkisuuteen 110 000 käyttäjätilitietoa, ajattelimme, että on hyvä aika muistuttaa käyttäjiämme siitä, miten suojaamme tietojasi.
Me EstateGurulla suhtaudumme kokonaisvaltaisesti tietosuojaan, mikä tarkoittaa sitä, että meillä on käytössä useita eri suojaustasoja.
Ylimmällä tasolla varmistamme, että kaikki käyttäjätunnukset ovat yksilöllisiä. Käyttäjätunnuksesi tunnetaan myös nimellä EG-koodisi, eikä se sisällä nimeäsi tai muita henkilötietojasi. Lisäksi kannustamme käyttäjiä käyttämään mahdollisuuksien puitteissa kovaa todennusta, eli älykästä henkilötunnusta, mobiilitunnusta, digitaalista tunnusta, jne.
Kaikki käyttäjän salasanat ovat salattuja, ja tarjoamme myös mahdollisuuden käyttää kaksivaiheista todennusta kaikkiin kriittisiin toimiin, kuten investointeihin, rahan nostamiseen jne. Vaikka tämä saattaa hidastaa sinua hieman ja lisätä toiminnan monimutkaisuutta, se on ehdottomasti sen arvoista mielenrauhan varmistamiseksi.
Olet myös varmasti huomannut, että ilmoitamme sinulle jokaisesta tilitoimesta. Joidenkin mielestä se saattaa tuntua ’roskapostilta’, mutta kyseessä on erinomainen ensilinjan puolustusmenetelmä. Loppujen lopuksi olet ensimmäinen, joka huomaa jotain sellaista, jota et ole itse laittanut alulle.
Tiimimme seuraa jatkuvasti kaikkia tilejä käyttäjien poikkeavuuksien, kuten epänormaalien nostojen tai epätavallisen sijoituskäyttäytymisen varalta, ja toimimme nopeasti, kun havaitsemme jotain epäilyttävää.
Käyttäjä- ja tilivahvistusta koskevat käytäntömme ovat tiukkoja ja tarkkoja ja kieltäydymme oikomasta kulmia. Vaikka saamme käyttäjiltä valituksia prosessin hankaluudesta, haluamme mieluummin suojella käyttäjiämme ja heidän varojaan kuin luistaa käytännöstä.
Kaikki käyttäjätiedot, kuten henkilöllisyystodistukset, pankkitilitiedot jne., tallennetaan erilleen todellisesta tilistä. Toisin sanoen, käyttäjillä ei ole pääsyä näihin asiakirjoihin eikä tietoihin.
Sisäisesti pääsy pilvipalvelimille on tiukasti rajattu, ja back-office -käyttäjien käyttöoikeudet ovat erittäin rajalliset.
Yhteenvetona voidaan todeta, että meillä on viisivaiheinen turvajärjestelmä:
- Käytön aloittaminen – rekisteröityminen ja varmennus
- Tilisi käyttäminen – ilmoitus aina, kun sijoitat, nostat tai talletat
- Toimien todentaminen ja vahvistaminen
- Tekniset turvatoimet tietojen suojaamiseksi
- EG:n operationaalinen turvallisuus (keillä on pääsy tietoihin ja millä tavoin, sekä mihin asiakastietoihin heillä on pääsy) ja menettelyt (vuotojen välttämiseksi)
Erot EstateGurun ja CityBeen välillä
CityBee-vuodon seurauksena monet sijoittajat ottivat meihin yhteyttä ilmaisten huolensa siitä, että EstateGurulla voisi tapahtua jotain vastaavaa.
Ensinnäkin, EstateGurun turvatoimien vertaaminen CityBeen käyttämiin on kaukaa haettua, mutta teemme parhaamme.
Koita kestää, sillä tämä saattaa olla aika teknistä.
CityBee-vuoto tapahtui, koska asiakastietokanta oli tallennettu suojaamattomalle Microsoft Azure -blobille. Hakkeri käytti Rapid7 Open Data Forward DNS -työkalua etsimään käänteistä DNS-hakua. Sitten hakemiston raakavoimahyökkäystä käytettiin luetteloimaan hakemistoja blobissa, minkä jälkeen hakkeri latasi tiedostot. Suurin huolenaihe on se, että hakkerointi tapahtui ilmeisesti vuonna 2018, eikä CityBee ollut tietoinen asiasta ennen helmikuuta 2021, jolloin tiedot saatettiin myyntiin.
Meidän tietojamme ei tallenneta vastaavalla tavalla. EstateGurun IT-varat tallennetaan täysin erilaisiin palveluihin, joilla ei ole vastaavanlaisia teknisiä haavoittuvuuksia, ja seuraamme tarkasti palveluntarjoajien ehdottamia suojausmekanismeja.
Suurimpana ongelmaerona on tiedonhallinta. Hakkerit käyttävät erittäin harvoin hyväkseen teknisiä heikkouksia. Sen sijaan nämä kohdistavat toimintansa oviin, jotka on jätetty auki huonon tiedonhallinnan vuoksi.
CityBee-salasanat suojattiin vanhentuneella ja heikolla SHA1-algoritmilla.
Turvajärjestelmiämme tarkistetaan ja päivitetään jatkuvasti varmistaen, että käytämme yksinomaan uusimpia toimenpiteitä. Esimerkiksi salasanan hajautusjärjestelmämme on useita suuruusluokkia turvallisempi verrattuna CityBeen käyttämään.
Loppujen lopuksi kaikki riippuu kuitenkin ihmisistä. Tärkein osa tietoturvasta on jatkuva valvonta, jota CityBee ei ilmeisesti tehnyt, ja jota me taas varmasti teemme. Varhaiset varoitusjärjestelmät ovat käytössä mahdollisten hyökkäysten torjumiseksi ja estämiseksi sen alkulähteellä.
Suojelemme jatkossakin tietojasi ja tarjoamme sinulle turvallisen sijoitusympäristön.
