Únik dat u London Hydro odhaluje údaje zákazníků

Únik dat u London Hydro odhaluje údaje zákazníků

Kanadská energetická společnost přiznala únik dat, který mohl ohrozit jména, adresy a informace o účtech zákazníků, avšak společnost nabídla jen málo jasných informací o tom, jak k průniku došlo, kolik lidí bylo zasaženo nebo jak dlouho k nim mohli útočníci mít přístup. London Hydro, které obsluhuje město London v Ontariu, incident potvrdilo, ale ponechalo několik zásadních otázek nezodpovězených, což vyvolává obavy o standardy transparentnosti v situacích, kdy poskytovatelé základních služeb nakládají s citlivými osobními údaji.

Proč jsou energetické společnosti snadným cílem kyberzločinců

Energetické společnosti zaujímají ve světě kybernetické bezpečnosti nepříjemnou pozici. Mají velké objemy osobních a finančních údajů o zákaznících, kteří s nimi z praktických důvodů musí obchodovat. Na rozdíl od maloobchodní aplikace nebo streamovací služby nemohou zákazníci jednoduše smazat svůj účet a od místního dodavatele elektřiny odejít.

Tento vztah vázaného zákazníka vytváří prostředí bohaté na data, které je pro útočníky atraktivní. Energetické společnosti shromažďují domácí adresy, historii plateb, fakturační údaje a v některých případech i vzorce spotřeby, které mohou prozradit, kdy je nemovitost obydlena. Tato kombinace osobně identifikovatelných údajů a údajů o chování je cenná pro podvody, sociální inženýrství a krádeže identity.

Provozní požadavky také působí proti silnému bezpečnostnímu zabezpečení. Mnohé sítě energetických společností se spoléhají na zastaralou infrastrukturu, která nikdy nebyla navržena s ohledem na moderní kybernetickou bezpečnost. Aplikace záplat nebo odstavení infrastruktury kvůli bezpečnostním aktualizacím může být v přímém rozporu s povinností udržet světla v provozu. Výsledkem je odvětví, které nese vysoce hodnotný datový náklad a zároveň někdy zaostává v bezpečnostních kontrolách, které jiná odvětví již normalizovala.

Tento problém není jedinečný pouze pro London Hydro. V jednom významném kanadském příkladu Nova Scotia Power utrpěla únik, který odhalil osobní údaje přibližně 915 000 současných a bývalých zákazníků poté, co jediný zaměstnanec interagoval se škodlivým vyskakovacím oknem. Tento incident ilustruje, jak může jediné místo selhání uvnitř velké energetické organizace přerůst ve významnou událost v oblasti ochrany soukromí, která postihne téměř milion lidí.

Co London Hydro o úniku zveřejnilo a co ne

Veřejné prohlášení London Hydro potvrdilo, že během průniku mohla být odhalena jména, domácí adresy a údaje o účtech. Kromě toho je však zveřejnění informací chabé. Společnost nepotvrdila vektor útoku, tedy neuvedla, zda se jednalo o phishing, zranitelnost externě přístupných systémů, ransomware nebo zcela jinou metodu.

Nejasný zůstává i časový rámec průniku. Zákazníkům nebylo sděleno, kdy únik začal, kdy byl objeven ani jak dlouhý byl odstup mezi těmito dvěma událostmi. Toto okno je důležité, protože určuje, jak dlouho měli útočníci možnost získaná data sklízet, kopírovat nebo zneužívat.

Absence těchto podrobností je frustrující pro zákazníky, kteří se snaží posoudit své osobní riziko, a odráží širší vzorec v oznamování úniků u energetických společností. Kanadské regulační orgány sice vyžadují oznámení úniků, které představují skutečné riziko významné újmy podle zákona o ochraně osobních údajů a elektronických dokumentů (PIPEDA), ale zákon stanovuje minimální požadavek na zveřejnění, nikoli strop. Společnosti mohou technicky splnit zákon a přitom stále zadržovat podrobnosti, které by pomohly dotčeným osobám činit informovaná rozhodnutí.

Koho se to týká a jaké údaje mohou být ohroženy

London Hydro obsluhuje rezidenční i komerční zákazníky po celém londýnském Ontariu. Ačkoli společnost nezveřejnila konkrétní počet dotčených účtů, jakýkoli únik zahrnující jména, adresy a údaje o účtech představuje pro osoby v této databázi významné riziko.

Kombinace domácí adresy a čísla účtu je nebezpečnější než každá položka samostatně. Podvodníci mohou použít údaje o účtu k vydávání se za zákazníky při kontaktování energetické společnosti, čímž mohou potenciálně přesměrovat fakturační korespondenci nebo zadat podvodné servisní požadavky. Domácí adresy spojené se jmény lze porovnat s jinými uniklými sadami dat a sestavit tak ucelenější profily vhodné pro cílený phishing nebo fyzický podvod.

Pokud byly v odhalených datech zahrnuty platební údaje, riziko se dále stupňuje. V době psaní tohoto textu London Hydro nepotvrdilo, zda byly součástí úniku finanční údaje, jako jsou bankovní informace nebo čísla kreditních karet, což je samo o sobě významnou mezerou ve zveřejněných informacích.

Jak se chránit, když dojde k úniku u vašeho dodavatele energie

Když dojde k úniku dat u energetické společnosti, mají zákazníci omezené možnosti, ale několik praktických kroků, jak snížit následné škody.

Zkontrolujte své účty kvůli podezřelé aktivitě. Přihlaste se ke svému účtu London Hydro a zkontrolujte nedávná vyúčtování a kontaktní údaje. Pokud byla vaše adresa nebo kontaktní údaje změněny bez vašeho vědomí, okamžitě to nahlaste energetické společnosti.

Zaveďte varování před podvodem nebo zmrazení úvěru. V Kanadě se můžete obrátit na Equifax Canada nebo TransUnion Canada a nechat si do své úvěrové složky vložit varování před podvodem. Zmrazení úvěru zachází dále a omezuje nové úvěrové dotazy, dokud ho nezrušíte. Ani jedna služba není zpoplatněna a obě mohou zabránit zlodějům identity v otevírání nových účtů na vaše jméno.

Dávejte si pozor na následné phishingové útoky. Uniklá data často končí v rukou provozovatelů phishingu, kteří vytvářejí přesvědčivé zprávy předstírající, že jsou od samotné energetické společnosti. Buďte skeptičtí k jakémukoli e-mailu, textové zprávě nebo telefonátu, který tvrdí, že je od London Hydro, a žádá vás o potvrzení údajů k účtu nebo kliknutí na odkaz.

Používejte jedinečnou e-mailovou adresu pro účty u energetických společností. Pokud používáte stejný e-mail napříč několika službami, únik u jednoho poskytovatele vás může učinit zranitelnějšími jinde. Pokud je to možné, používejte pro účty u energetických společností vyhrazenou e-mailovou adresu, aby útoky typu credential stuffing měly menší plochu pro útok.

Pravidelně kontrolujte svou úvěrovou zprávu. Obě hlavní kanadské úvěrové agentury umožňují bezplatný přístup k vaší úvěrové zprávě. Její pravidelná kontrola pomáhá včas zachytit známky podvodu s identitou, kdy je snazší jej vyřešit.

Únik u London Hydro je připomínkou, že organizace, které uchovávají naše nejdůležitější osobní údaje, nejsou vždy nejvstřícnější, když se něco pokazí. Zákazníci si zaslouží jasnější informace, rychlejší časové harmonogramy a více praktických informací, když jsou jejich údaje ohroženy. Dokud regulační standardy toto očekávání nedoženou, dopadá břemeno ochrany nepřiměřeně na postižené jednotlivce. I provedení několika výše uvedených kroků může smysluplně zkrátit okno příležitosti pro kohokoli, kdo mohl získat přístup k vašim informacím.