ShinyHunters уведоми Odido за собствения им пробив с 6,5 милиона клиенти

Какво разкри пробивът при Odido и кой е засегнат

Пробивът на данни при Odido е една от най-неудобните истории, излезли от европейския телекомуникационен сектор тази година. Odido, третият по големина мобилен оператор в Нидерландия, претърпя кражба на данни на 6,5 милиона клиенти през февруари. Контактни данни, дати на раждане, клиентски идентификационни номера и друга лична информация бяха обхванати в атаката. Това, което прави инцидента особено поразително, не е само мащабът. Факт е, че собственият екип по сигурността на Odido го е пропуснал напълно.

Компанията потвърди, че е узнала за пробива едва след като хакерската група ShinyHunters се е свързала директно с нея. ShinyHunters, продуктивна киберпрестъпна група, известна с мащабни кражби на данни, на практика е уведомила жертвата. Главният изпълнителен директор на Odido публично призна, че са допуснати грешки. Съобщава се, че паролите, данните за фактуриране, записите на обаждания и данните за местоположение не са включени в откраднатия набор от данни, но това ограничено успокоение не променя основния проблем: данните на милиони хора са изтекли от телекомуникационна компания, без тя да е знаела.

Как вътрешното разкриване на Odido се провали в продължение на месеци

Това е частта от историята за пробива при Odido, която повечето публикации пропускат набързо. Атаката се е случила през февруари. Компанията е провела вътрешно разследване. Това разследване не е открило нищо. Трябвало е самите атакуващи да затворят кръга.

Този вид неуспех в разкриването не е уникален за Odido. Телекомуникационните компании управляват разгърнати CRM системи с милиони записи, а усъвършенстваните техники за проникване могат да оставят минимални следи, ако нападателят е внимателен. Но неуспехът сочи към системна пропаст: вътрешното наблюдение очевидно не е bilo достатъчно, за да улови ексфилтрацията на данни в реално време. До момента, в който Odido потвърди случилото се, данните вече са били в ръцете на група с история на продаване на откраднати записи в пазари в тъмната мрежа.

За контекст относно по-широкия модел на ShinyHunters — групата е свързана с множество мащабни пробиви, при които компаниите са реагирали бавно или изобщо не са знаели. Тяхната атака срещу Canvas по-рано тази година следва сравним наръчник: ексфилтрирай данни, оповести пробива публично или чрез жертвата, и упражни натиск. Инцидентът с Odido се вписва почти точно в този шаблон.

Защо пробивите при телекоми са особено опасни за личното пространство

Не всички пробиви на данни носят еднакъв риск за последствия. Телекомуникационните данни се намират на особено опасно кръстовище, защото свързват вашата реална самоличност с вашия телефонен номер, а тази комбинация отключва специфичен набор от атаки.

Измамите с размяна на SIM карти са най-непосредственото безпокойство. Когато нападателят разполага с вашето ime, телефонен номер и данни за акаунта, той може да се свърже с вашия оператор, представяйки се за вас, и да поиска прехвърляне на SIM карта към устройство под негов контрол. Веднъж овладял вашия номер, той може да прихваща кодове за двуфакторно удостоверяване по SMS и да получи достъп до банкови сметки, имейл и крипто портфейли. Това не е теоретичен риск. Това е един от основните методи за монетизиране на откраднати телекомуникационни записи.

Освен размяната на SIM карти, телекомуникационните метаданни позволяват силно таргетиран фишинг. Нападател, който знае вашето ime, мобилен номер и факта, че сте клиент на конкретен оператор, може да изработи убедителни съобщения, представящи се за екипа за поддръжка на този оператор. Това не са обикновени спам съобщения. Те са социално инженерирани атаки, изградени на базата на реални данни, което ги прави значително по-трудни за разпознаване.

Това е част от по-широк модел, видим при пробиви из цяла Европа. Изтичането от френски имейл доставчик, разкрило 40 милиона записа, и разкриването на 18 милиона френски лични документа от тийнейджър хакер показаха как агрегирането на лични данни ускорява риска за отделните хора, дори когато нито едно отделно парче информация не изглежда катастрофално само по себе си. Телекомуникационните данни са особено ценни, защото закрепват цялата тази агрегирана информация към достъпен, комуникационен канал в реално време.

Многопластови защити, които потребителите на VPN трябва да добавят след изтичане на телекомуникационни данни

Ако сте клиент на Odido или просто някой, който обмисля какво означава този пробив за хора като вас, има конкретни стъпки, които си заслужава да предприемете сега.

Първо, свържете се с вашия мобилен оператор и поискайте да добавите SIM-заключване или замразяване на прехвърляне към вашия акаунт. Това значително затруднява нападателя да прехвърли вашия номер без лична проверка. Много оператори предлагат тази услуга, но не я рекламират на видно място.

Второ, избягвайте двуфакторното удостоверяване чрез SMS, където е възможно. Използвайте вместо това приложение за удостоверяване. Ако телефонният ви номер бъде компрометиран при размяна на SIM карта, SMS кодовете се превръщат в уязвимост, а не в защита.

Трето, проверете къде телефонният ви номер се използва като метод за възстановяване. Имейл акаунти, банкови приложения и платформи за социални медии, които използват вашия мобилен номер за възстановяване на акаунта, са потенциални цели, ако телекомуникационните ви данни са изтекли.

Четвърто, помислете за VPN с защита от DNS течове за вашето мобилно устройство. VPN не предотвратява размяна на SIM карта, но добавя слой защита за сърфирането и трафика на приложенията на вашето устройство, особено в публични мрежи, където нападателят може да се опита да прихване трафика след компрометиране на SIM картата.

И накрая, използвайте услуга за наблюдение на пробиви, за да следите дали вашият имейл адрес или телефонен номер се появяват в новоизтекли набори от данни. Have I Been Pwned вече индексира пробива при Odido.

Какво означава това за вас

Пробивът на данни при Odido е напомняне, че компаниите, съхраняващи вашите данни, може да не знаят, че са били откраднати, докато някой друг не им каже. Неуспехите в разкриването се случват, и когато се случат, прозорецът между кражбата и вашата осведоменост може да е с месеци. През този прозорец вашите данни могат да бъдат купувани, продавани и използвани.

Приемете това като подтик да прегледате сигурността на вашия телекомуникационен акаунт и да намалите зависимостта си от удостоверяване чрез телефонен номер в най-чувствителните си акаунти. Инцидентът с Odido си заслужава да бъде разгледан и в контекста на по-широката дейност на ShinyHunters. Разбирането на модела на групата за атаки срещу големи потребителски платформи помага да се обясни защо нито една отделна компания или сектор не може да се счита за безопасен. Започнете с телефонния си номер. Това е ключът, който отключва повече, отколкото повечето хора осъзнават.