Únik dat Basic-Fit odhalil informace o 1 milionu členů

Největší evropský řetězec fitness center potvrdil závažný únik dat

Síť fitness center Basic-Fit, provozující tisíce poboček po celé Evropě, potvrdila, že hackeři získali přístup k osobním údajům přibližně jednoho milionu jejích členů. Únik se dotkl zákazníků v Nizozemsku, Belgii, Francii, Německu, Lucembursku a Španělsku, což z něj činí jeden z nejvýznamnějších incidentů v oblasti ochrany spotřebitelských dat v odvětví fitness.

Mezi kompromitovanými daty jsou jména, domácí adresy, e-mailové adresy, telefonní čísla, data narození a čísla bankovních účtů. Útočníci získali přístup prostřednictvím systému pro zaznamenávání návštěv, který sleduje příchody členů ve všech pobočkách. Basic-Fit potvrdil, že odcizená data nezahrnují hesla ani doklady totožnosti, což je důležitý rozdíl. Kombinace zveřejněných informací však přesto může způsobit dotčeným osobám vážnou újmu.

Jaká data byla odcizena a proč na tom záleží

Může být lákavé bagatelizovat únik dat, pokud se do něj hesla nezapletla. Soubor dat odhalený v tomto případě je však přesně to, co podvodníci a provozovatelé phishingových kampaní potřebují k provádění přesvědčivých podvodů. Pokud vás někdo osloví se znalostí vašeho celého jména, domácí adresy, telefonního čísla, data narození a banky, kterou používáte, může sestavovat zprávy, které je skutečně obtížné rozpoznat jako podvodné.

Bankovní údaje pak riziko zvyšují zejména. Podle toho, jaké konkrétní informace byly zachyceny, by tato data mohla být využita k provádění neoprávněných pokusů o inkaso, k vydávání se za členy vůči finančním institucím nebo k umožnění cílenějších útoků sociálního inženýrství.

Basic-Fit přímo přiznal riziko phishingu a varoval své členy, aby byli obezřetní vůči nevyžádaným sdělením, která se vydávají za komunikaci od společnosti nebo od poskytovatelů finančních služeb. Jde o rozumnou radu, která však celou tíhu obrany přesouvá na jednotlivce, kteří se musí bránit rizikům pocházejícím z firemního systému, nad nímž neměli žádnou kontrolu.

Skryté náklady rutinního sběru dat

Tento únik ilustruje širší problém spojený se způsobem, jakým moderní podniky shromažďují a uchovávají osobní údaje. Systém pro zaznamenávání návštěv ve své podstatě slouží k ověřování, zda členové fitness center vstupují do prostor, které mají právo využívat. Tato funkce ze své podstaty nevyžaduje uchovávání údajů o bankovních účtech společně s domácími adresami a telefonními čísly v jediném přístupném systému.

Když společnosti agregují data napříč různými funkcemi – ať už pro účely fakturace, kontroly přístupu, marketingu nebo dodržování předpisů – vytvářejí konsolidované cíle. Jediný úspěšný průnik pak může přinést mnohem více, než by útočníci získali v případě, že by data byla lépe oddělena. Čím více datových bodů o vás organizace uchovává na jednom místě, tím hodnotnějším cílem se tento systém pro zločince stává.

Tento problém není specifický pouze pro Basic-Fit. Maloobchodníci, poskytovatelé zdravotní péče, věrnostní programy a předplatitelské služby rutinně hromadí podrobné osobní profily jako vedlejší produkt běžného provozu. Členové a zákazníci mají jen zřídka přehled o tom, jak jsou tato data interně organizována, zabezpečena nebo oddělena.

Co to znamená pro vás

Pokud jste členem Basic-Fit, bezprostřední kroky jsou přímočaré. Sledujte svůj bankovní účet a veškeré přidružené platební metody, zda nevykazují neobvyklou aktivitu. Buďte vysoce obezřetní vůči jakémukoli e-mailu, textové zprávě nebo telefonnímu hovoru, které odkazují na vaše členství, fakturaci nebo údaje o účtu, a to i v případě, že komunikace zjevně zná přesné informace o vaší osobě. Podvodníci využívají uniklá data k tomu, aby phishingovým pokusům dodali důvěryhodnost, a tento únik jim k tomu poskytuje solidní základ.

Zvažte nastavení upozornění na podvodnou aktivitu u své banky a zkontrolujte veškerá inkasní oprávnění spojená s vaším účtem. Pokud jste kombinaci e-mailu a hesla pro Basic-Fit použili i na jiných službách, změňte tato hesla nyní, přestože Basic-Fit uvedl, že hesla nebyla součástí odcizených dat. Samotná e-mailová adresa je dostatečná k zahájení pokusů o prolomení přihlašovacích údajů pomocí dříve uniklých seznamů hesel z jiných úniků.

Obecněji lze říci, že tento incident je vhodnou příležitostí k přehodnocení osobních údajů, které jste sdíleli s předplatnými a členskými službami. Minimalizace dat – poskytování pouze toho, co je při registraci do služeb nezbytně nutné – snižuje vaši míru ohrožení, když dojde k takovýmto únikům. Ne každá služba potřebuje vaši domácí adresu a ne každá platforma potřebuje vaše datum narození.

Praktická doporučení

• Zkontrolujte výpisy z bankovního účtu, zda neobsahují neoprávněné transakce, a pokud vaše banka tuto funkci nabízí, nastavte si upozornění na transakce.
• Ignorujte nevyžádaná sdělení odkazující na vaše členství ve fitness centru, a to i v případě, že odesílatel zjevně zná přesné osobní údaje.
• Aktualizujte hesla na všech účtech, které sdílejí stejnou e-mailovou adresu, jež používáte pro Basic-Fit.
• Zkontrolujte inkasní oprávnění na svém bankovním účtu a zrušte ta, která nerozpoznáváte.
• Proveďte audit svých datových stop v rámci předplatitelských služeb a pokud možno odstraňte zbytečně uložené osobní údaje.
• Aktivujte dvoufaktorové ověřování na svém e-mailovém účtu a finančních účtech, pokud jste tak dosud neučinili.

Úniky dat u důvěryhodných a zavedených společností jsou připomínkou, že osobní údaje sdílené s jakoukoli organizací s sebou nesou inherentní riziko. Nejlepší ochranou, která je jednotlivcům k dispozici, je omezení množství dat, která vůbec existují a mohou být odcizena, v kombinaci s ostražitostí vůči podvodům, které tyto incidenty spolehlivě doprovázejí.