100 millió helyett "csak" 40 lett, maradhat?

2021. augusztus 19. 08:49 - Csizmazia Darab István [Rambo]

Újabb nagyszabású adatvédelmi incidens érte a T-Mobile-t. Ha megnézzük az előzményeket, azt láthatjuk, hogy már korábban is több ízben, például 2019. novemberében, 2018. augusztusában és 2015-ben is jelentettek be hasonló incidenseket. 2015-ben 15 millió mobilos ügyfél adatai kerültek illetéktelen kezekbe.

A friss eset úgy kezdődött, hogy 15-én vasárnap megjelent egy Motherboard cikk arról, hogy a T-Mobile vizsgálja egy darknetes fórumbejegyzés valóságtartalmát, miszerint egy ismeretlen hacker 100 millió, az ő szerverükről lopott ügyféladatot bocsátott áruba.

Az eladó 6 Bitcoint, azaz körülbelül 80 millió forintnak megfelelő összeget kér az adatbázisért. Egy nappal később, 16-án a T-Mobile megerősítette, hogy igen, valóban támadás áldozatai lettek, és illetéktelenek jogosulatlanul hozzáfértek az adataikhoz.

A T-Mobile az Egyesült Államok egyik legnagyobb szolgáltatója az AT&T és a Verizon mellett, miután felvásárolt a Sprintet. Ez pedig 4 év alatt már a hatodik adatvédelmi incidensük. Az ellopott adatok közé tartoznak a teljes név, születési dátum, társadalombiztosítási számok, telefonszámok, a lakcímek, az egyedi IMEI-számok és a jogosítványadatok is, ezek pedig részben már meglévő, illetve korábban, valamint megrendelés alatt álló ügyfelek személyes adatai voltak.

A Vice az adatok egy részének vizsgálata után úgy nyilatkozott, hogy azok pontosak és valódinak tűnnek.

A korábbi állítólagos 100 milliós szám elég durván hangzik, hiszen ez kvázi az USA teljes lakosságának egyharmada lenne. A 40 millió mindazonáltal így is hatalmas adatmennyiség. A T-Mobile nem közölt részleteket arról, hogy a támadók hogyan férkőzhettek az adatokhoz, csak annyit írtak, hogy lezárták ezt az illegális hátsóajtós belépési pontot.

Hivatalos közleményük szerint a társaság folyamatosan egyeztet a bűnüldöző szervekkel, miközben folytatják a nyomozást, és kivizsgálják az incidens körülményeit. A vállalat két év ingyenes személyazonosság-védelmi szolgáltatást ajánlott fel az érintett ügyfeleknek, hogy ezzel segítsenek biztosítani kompromittálódott személyes adataik védelmét.

Már a puszta személyes adatok is igen érzékeny információnak számítanak, de ha egy mobil szolgáltató esik áldozatul ilyennek, akkor gyakran még durvább következményei is lehetnek. Emlékezetes, hogy a T-Mobile 2021. februárjában is elismert egy adatlopást/szivárgás, amire úgy derült fény, hogy az ügyfelek tömegesen szenvedtek el SIM cserés támadásokat.

Az ilyen fajta támadások alkalmasak arra, hogy az eredeti tulajdonos tudta és engedélye nélkül a támadók SIM kártya cserét kezdeményezzenek a mobilszolgáltatónál megszemélyesítve a gyanútlan áldozatot. Majd miután már ők kapják a 2 faktoros banki SMS-eket, leürítik az bankszámláját, miközben az eredeti ügyfél telefonja elnémul és lekapcsolódik a hálózatról.

1 komment

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr5916664664

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Omnilox 2021.08.19. 23:26:43

Idézek a posztban linkelt egyik posztból: "A csalóknak valójában elég három adatunkat ellopniuk és máris képesek eltulajdonítani a személyazonosságunkat - ráadásul sokak esetében ez a három adat a Facebook profilon is megtalálható."

Így nekünk esélyünk sincs. A T-nek nem is érdeke, hogy elővigyázatos legyen, nekik elég bemondani egy-két megszerezhető adatot a személyazonosság igazolásául, elég bemondani a személyi igazolvány számát annak személyes bemutatása helyett, elég egy tanúzott iratról csak egy fényképet belüldeni az irat helyett, és biztosan tudnánk még találni szándékosan meggyengített pontokat a rendszeren. Senki nem szeret az ügyes-bajos dolgai miatt ügyfélszolgálatokra járni, kilincselni, ezért a T azt találta ki - nem csak ők -, hogy az ügyfél kedvében fognak járni, és engednek a biztonságból. Az ügyfelek többsége ezzel teljesen elégedett lesz, akit meg az engedékenység révén vernek át, úgysem tud mit kezdeni, merthogy ők fel tudják mutatni a szentséges ÁSZF-et, annak igazolásául, hogy ők mindenben ártatlanok, mert elfogadtam a lényegében az 'ÚGYIS MEGSZÍVATUNK' szlogennel egyenértékű szerződési feltételeket, hát hogy ne fogadtam volna el, különben telefon nélkül maradok, hiszen a szolgáltatási feltételekben való "kartellezés", összeegyeztetés nem tilos, és minden telefonos cég ugyanazt az 'ÚGYIS MEGSZÍVATUNK' feltételeket kínálja egyetlen opcióként.

Én próbáltam olyat kérni tőlük, hogy jegyezzék fel, hogy a nevemben csak személyesen én intézkedhetek, vállalva a kényelmetlenséget. Ilyenre nincs lehetőség, ennyi volt a válasz.

Egyszer a nevemben vett tőlük valaki egy telefont. Kellett hozzá simlisség az átvevőponton is, de elég volt a szokásos, mindenhol megadandó személyi adatokon kívül az igazolványszámom is. Ennyi kellett ahhoz, hogy több százezres kárt okozhasson valaki a mit sem sejtő ügyfélnek. A T leszarta az egész ügyet, átpasszolta a papírokat egy behajtónak, a pénzüket így ők megkapták, és többé semmilyen együttműködésre, a rendőrségi nyomozásban való együttműködésre nem voltak hajlandóak. Igazi "multi".
süti beállítások módosítása