Παραβίαση Δεδομένων ADT Πλήττει 5,5 Εκατομμύρια Πελάτες Μετά από Επίθεση Vishing

Η εταιρεία οικιακής ασφάλειας ADT επιβεβαίωσε παραβίαση δεδομένων που επηρεάζει περίπου 5,5 εκατομμύρια πελάτες, εκθέτοντας ονόματα, αριθμούς τηλεφώνου και οικιακές διευθύνσεις. Σε μικρότερο αριθμό περιπτώσεων, διέρρευσαν επίσης αριθμοί κοινωνικής ασφάλισης. Η παραβίαση δεν ήταν αποτέλεσμα εξελιγμένης εισβολής στο δίκτυο ή εκμετάλλευσης zero-day. Ξεκίνησε με ένα τηλεφώνημα.

Σύμφωνα με αναφορές, η ομάδα χάκερ ShinyHunters χρησιμοποίησε μια τεχνική φωνητικού phishing, κοινώς αποκαλούμενη vishing, για να εξαπατήσει έναν υπάλληλο της ADT ώστε να παραδώσει τα διαπιστευτήρια single sign-on (SSO) του Okta. Με αυτά τα διαπιστευτήρια στα χέρια τους, οι επιτιθέμενοι απέκτησαν πρόσβαση στο περιβάλλον Salesforce της ADT, όπου ήταν αποθηκευμένα τα αρχεία πελατών. Η παραβίαση αποτελεί σαφή υπενθύμιση ότι ακόμα και εταιρείες των οποίων το σύνολο του επιχειρηματικού μοντέλου βασίζεται στην προστασία των σπιτιών των ανθρώπων μπορούν να καταρρεύσουν από έναν μόνο παραβιασμένο λογαριασμό υπαλλήλου.

Τι Είναι το Vishing και Γιατί Είναι Τόσο Αποτελεσματικό;

Το vishing είναι μια επίθεση κοινωνικής μηχανικής που πραγματοποιείται μέσω τηλεφώνου. Ένας επιτιθέμενος συνήθως υποδύεται ένα έμπιστο πρόσωπο, όπως έναν συνάδελφο, προσωπικό υποστήριξης πληροφορικής ή έναν εκπρόσωπο προμηθευτή, και χειραγωγεί τον στόχο ώστε να αποκαλύψει ευαίσθητες πληροφορίες ή διαπιστευτήρια. Σε αντίθεση με το κακόβουλο λογισμικό ή τις επιθέσεις δικτύου, το vishing εκμεταλλεύεται την ανθρώπινη εμπιστοσύνη και όχι τεχνικές ευπάθειες.

Στη συγκεκριμένη περίπτωση, ο επιτιθέμενος έπεισε έναν υπάλληλο της ADT να παραδώσει τα διαπιστευτήρια SSO του Okta. Τα συστήματα single sign-on έχουν σχεδιαστεί για να απλοποιούν την πρόσβαση επιτρέποντας στους υπαλλήλους να χρησιμοποιούν ένα μόνο σύνολο διαπιστευτηρίων σε πολλαπλές πλατφόρμες. Αυτή η ευκολία γίνεται υποχρέωση όταν αυτά τα διαπιστευτήρια πέσουν σε λάθος χέρια, καθώς μια μόνο παραβίαση μπορεί να ανοίξει ταυτόχρονα πόρτες σε πολλαπλά εσωτερικά συστήματα.

Οι ShinyHunters είναι μια γνωστή ομάδα κυβερνοεγκληματιών με ιστορικό υψηλού προφίλ κλοπών δεδομένων. Η ικανότητά τους να εξοπλίσουν ένα απλό τηλεφώνημα εναντίον μιας μεγάλης εταιρείας ασφαλείας υπογραμμίζει πόσο αποτελεσματική παραμένει η κοινωνική μηχανική, ακόμα και έναντι οργανισμών με αφοσιωμένες ομάδες ασφαλείας.

Ποια Δεδομένα Εκτέθηκαν στην Παραβίαση της ADT

Η πλειονότητα των 5,5 εκατομμυρίων πληγέντων πελατών είχε τις ακόλουθες πληροφορίες εκτεθειμένες:

  • Πλήρη ονόματα
  • Αριθμούς τηλεφώνου
  • Οικιακές διευθύνσεις

Για ένα μικρότερο υποσύνολο πελατών, διακυβεύτηκαν επίσης αριθμοί κοινωνικής ασφάλισης. Η ADT δεν έχει προσδιορίσει δημόσια πόσα άτομα ακριβώς εμπίπτουν σε αυτή την κατηγορία υψηλότερου κινδύνου.

Ενώ τα ονόματα, οι αριθμοί τηλεφώνου και οι διευθύνσεις μπορεί να φαίνονται λιγότερο ανησυχητικά από τα οικονομικά δεδομένα, αυτός ο συνδυασμός είναι εξαιρετικά χρήσιμος για επακόλουθες επιθέσεις. Οι εγκληματίες μπορούν να τον χρησιμοποιήσουν για να δημιουργήσουν πειστικά email phishing, να πραγματοποιήσουν στοχευμένες κλήσεις vishing στους ίδιους τους πελάτες ή να δημιουργήσουν προφίλ για κλοπή ταυτότητας. Όταν μια οικιακή διεύθυνση συνδέεται με γνωστό πελάτη συστήματος ασφαλείας, υπάρχουν επίσης φυσικές επιπτώσεις ασφάλειας που αξίζει να ληφθούν υπόψη.

Οι αριθμοί κοινωνικής ασφάλισης, ακόμα και όταν διαρρέουν σε μικρότερο ποσοστό περιπτώσεων, αντιπροσωπεύουν έναν πιο σοβαρό κίνδυνο. Μπορούν να χρησιμοποιηθούν για το άνοιγμα δόλιων πιστωτικών λογαριασμών, την υποβολή ψευδών φορολογικών δηλώσεων ή την υποδυσία θυμάτων σε κυβερνητικά συστήματα κοινωνικών παροχών.

Τι Σημαίνει Αυτό για Εσάς

Εάν είστε ή υπήρξατε πελάτης της ADT, η πρώτη υπόθεση που πρέπει να κάνετε είναι ότι τα στοιχεία επικοινωνίας σας μπορεί να κυκλοφορούν μεταξύ κακόβουλων παραγόντων. Αυτό αλλάζει τον τρόπο με τον οποίο πρέπει να αξιολογείτε τις ανεπιθύμητες επικοινωνίες στο εξής.

Αυτή η παραβίαση απεικονίζει επίσης ένα ευρύτερο σημείο σχετικά με την ψηφιακή ιδιωτικότητα: κανένα μεμονωμένο εργαλείο ή υπηρεσία δεν παρέχει πλήρη προστασία. Ένα VPN, για παράδειγμα, ασφαλίζει την κίνηση του διαδικτύου σας και προστατεύει τη διεύθυνση IP σας, αλλά δεν θα είχε αποτρέψει αυτή την παραβίαση. Ο φορέας επίθεσης εδώ ήταν ανθρώπινος, όχι τεχνικός. Η ολοκληρωμένη προστασία της ιδιωτικότητας απαιτεί τη συνδυαστική χρήση πολλαπλών συνηθειών και εργαλείων.

Πρακτικά βήματα εάν είστε πελάτης της ADT:

  1. Παρακολουθήστε τις πιστωτικές σας αναφορές. Ζητήστε δωρεάν αναφορές και από τα τρία κύρια γραφεία και αναζητήστε άγνωστους λογαριασμούς ή ερωτήματα. Σκεφτείτε να τοποθετήσετε πάγωμα πίστωσης εάν εκτέθηκε ο αριθμός κοινωνικής ασφάλισής σας.
  2. Να είστε καχύποπτοι απέναντι σε ανεπιθύμητες επικοινωνίες. Οι εγκληματίες μπορεί να χρησιμοποιήσουν τα εκτεθειμένα δεδομένα σας για να υποδυθούν την ADT ή άλλους αξιόπιστους οργανισμούς. Επαληθεύετε την ταυτότητα οποιουδήποτε ζητά προσωπικές πληροφορίες πριν επικοινωνήσετε.
  3. Ενεργοποιήστε τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) σε όλους τους λογαριασμούς. Εάν μια υπηρεσία υποστηρίζει MFA, ενεργοποιήστε το. Προσθέτει ένα επίπεδο προστασίας που ένας κλεμμένος κωδικός πρόσβασης από μόνος του δεν μπορεί να παρακάμψει.
  4. Χρησιμοποιείτε μοναδικούς, ισχυρούς κωδικούς πρόσβασης. Ένας διαχειριστής κωδικών πρόσβασης το καθιστά εφικτό. Εάν τα διαπιστευτήρια από μια υπηρεσία εκτεθούν, οι μοναδικοί κωδικοί πρόσβασης αποτρέπουν τους επιτιθέμενους από το να αποκτήσουν πρόσβαση στους άλλους λογαριασμούς σας.
  5. Σκεφτείτε μια υπηρεσία παρακολούθησης ταυτότητας. Αυτές οι υπηρεσίες σας ειδοποιούν όταν τα προσωπικά σας στοιχεία εμφανίζονται σε μεσίτες δεδομένων, φόρουμ dark web ή νέες αιτήσεις λογαριασμών.

Η παραβίαση δεδομένων της ADT αποτελεί χρήσιμη μελέτη περίπτωσης για το πώς οι αποτυχίες ασφαλείας συχνά δεν προέρχονται από κατεστραμμένο κώδικα, αλλά από κατεστραμμένη εμπιστοσύνη. Ένα μόνο καλά εκτελεσμένο τηλεφώνημα ήταν αρκετό για να εκθέσει τα προσωπικά στοιχεία εκατομμυρίων πελατών. Η οικοδόμηση πραγματικής ανθεκτικότητας ιδιωτικότητας σημαίνει κατανόηση ότι οι τεχνικές άμυνες και η ανθρώπινη επαγρύπνηση πρέπει να συνεργάζονται. Καμία κλειδαριά, ψηφιακή ή φυσική, δεν είναι ισχυρότερη από το άτομο που κρατά το κλειδί.