Jó munkás emberek veszélyben

2025. augusztus 27. 13:20 - Csizmazia Darab István [Rambo]

Mi magunk lelkiismeretesen megteszünk mindent a kiberbiztonságunkért: ketyeg a naprakész antivírus, folyamatosan frissítünk és napi mentéseket is végzünk, mindeközben a kétfaktoros autentikációval ékesített bikaerős jelszavaink pedánsan a jelszószéfben fityegnek, rendszergazdáink is a helyükön - ugyan mi történhet? Például feltörik a Workday nevű felhőalapú vállalati alkalmazást üzemeltető céget.

Az USA egyik SaaS vállalati szoftvereket fejlesztő és forgalmazó cége esett áldozatul, emiatt pedig személyes adatok kerültek illetéktelen kezekbe. A támadás social engineering, azaz megtévesztésen alapuló volt, az ilyen esetekben az elkövetők leggyakrabban SMS-ben vagy telefonon a HR, az IT vagy akár a vezérigazgató munkatársainak adják ki magukat, és ezzel szereznek hozzáférést az adott céges hálózathoz.

A Workday weboldala szerint több mint 11 ezer vállalatot képviselnek, világszerte 70 millió ügyfél adatai felett diszponálnak, és 20 ezer alkalmazottat foglalkoztatnak.

A mostani incidensben kiszivárgott adatok segítségével a támadók hatékonyan testre szabhatják a későbbi célzott támadásaikat, hiszen a megszerzett nevek, e-mail címek és telefonszámok birtokában könnyebben vehetik rá a kiszemelt áldozatokat, hogy további hozzáféréseket, jelszavakat diktáljon be a látszólag hivatalos megkereséseknél.

A Workday figyelmeztette az ügyfeleit, hogy a bankokhoz hasonlóan soha nem keresnek meg senkit telefonon azért, hogy valaki jelszavakat vagy más hitelesítő adatokat diktáljon be nekik.

A Bleeping Computer jelentése szerint az esetet augusztus 6-án fedezték fel. A Workday elleni támadás módszere azonban nem új, és nem is egyedi, beszámolók szerint az elmúlt hetekben a Google, a Cisco, Ausztrália hivatalos nemzeti légitársasága a Quantas, valamint a Pandora cég is szenvedett el hasonló kiberincidenseket, gyaníthatóan a Salesforce adatbázisokra specializálódott bűnözőktől.

A Workday újságírói érdeklődésre sem árulta el, hogy rendelkezik-e olyan a technikai eszközökkel, például naplófájlokkal, amiből kiderülhet, hogy pontosan mely ügyféladatokat lophattak el tőlük.

Szólj hozzá!
Címkék: social usa hamis megtévesztés hívás engineering adatlopás adatszivárgás workday hangklónozás

Ajánlott bejegyzések:

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása