ADT:n tietomurto koskee 5,5 miljoonaa asiakasta vishing-hyökkäyksen jälkeen

Kodinturvayhtiö ADT on vahvistanut tietomurron, joka koskee noin 5,5 miljoonaa asiakasta ja paljasti nimiä, puhelinnumeroita ja kotiosoitteita. Pienemmässä osassa tapauksia myös sosiaaliturvatunnukset vuotivat. Murto ei ollut seurausta kehittyneestä verkkotunkeutumisesta tai nollapäivähaavoittuvuuden hyödyntämisestä. Se alkoi puhelinsoitosta.

Raporttien mukaan hakkerointiryhmä ShinyHunters käytti puhelinpohjaista tietojenkalastelutekniikkaa, jota kutsutaan yleisesti vishingiksi, huijatakseen ADT:n työntekijää luovuttamaan Okta-kertakirjautumis- (SSO) tunnistetietonsa. Näiden tunnistetietojen avulla hyökkääjät pääsivät käsiksi ADT:n Salesforce-ympäristöön, johon asiakastiedot oli tallennettu. Murto muistuttaa selvästi siitä, että jopa yritykset, joiden koko liiketoimintamalli perustuu ihmisten kotien suojaamiseen, voivat kaatua yhden vaarantuneen työntekijätilin takia.

Mitä vishing on ja miksi se on niin tehokasta?

Vishing on sosiaalisen manipuloinnin hyökkäys, joka toteutetaan puhelimitse. Hyökkääjä esiintyy tyypillisesti luotettavana osapuolena, kuten työtoverina, IT-tukihenkilönä tai toimittajan edustajana, ja manipuloi kohdetta paljastamaan arkaluonteisia tietoja tai tunnistetietoja. Toisin kuin haittaohjelma- tai verkkohyökkäykset, vishing hyödyntää inhimillistä luottamusta teknisten haavoittuvuuksien sijaan.

Tässä tapauksessa hyökkääjä suostutteli ADT:n työntekijän luovuttamaan Okta SSO -tunnistetietonsa. Kertakirjautumisjärjestelmät on suunniteltu yksinkertaistamaan käyttöä antamalla työntekijöille mahdollisuus käyttää yhtä tunnistetietojoukkoa useilla alustoilla. Tästä mukavuudesta tulee riski, kun nämä tunnistetiedot joutuvat vääriin käsiin, sillä yksi tietomurto voi avata pääsyn useisiin sisäisiin järjestelmiin kerralla.

ShinyHunters on tunnettu kyberrikollisryhmä, jolla on historia korkean profiilin tietovarkauksia. Heidän kykynsä käyttää yksinkertaista puhelinsoittoa aseena suurta turvallisuusyritystä vastaan korostaa sosiaalisen manipuloinnin tehokkuutta, jopa organisaatioita vastaan, joilla on omat turvallisuustiimit.

Mitä tietoja ADT:n tietomurrossa paljastui

Suurimmalla osalla 5,5 miljoonasta vaikuttuneesta asiakkaasta paljastuivat seuraavat tiedot:

  • Koko nimet
  • Puhelinnumerot
  • Kotiosoitteet

Pienemmällä asiakasjoukolla myös sosiaaliturvatunnukset vaarantuivat. ADT ei ole julkisesti täsmentänyt, kuinka moni henkilö kuuluu tähän korkeamman riskin ryhmään.

Vaikka nimet, puhelinnumerot ja osoitteet saattavat vaikuttaa vähemmän hälyttäviltä kuin taloudellinen data, tämä yhdistelmä on erittäin hyödyllinen jatkohyökkäyksiä varten. Rikolliset voivat käyttää sitä vakuuttavien tietojenkalastelusähköpostien luomiseen, kohdennettuihin vishing-puheluihin asiakkaille itselleen tai identiteettivarkautta varten rakennettaviin profiileihin. Kun kotiosoite on yhdistetty tunnettuun turvajärjestelmäasiakkaaseen, on myös fyysiseen turvallisuuteen liittyviä vaikutuksia, jotka kannattaa ottaa huomioon.

Sosiaaliturvatunnukset, vaikka ne vuotivat vain pienessä osassa tapauksia, edustavat vakavampaa riskiä. Niitä voidaan käyttää petollisten luottotilien avaamiseen, väärien veroilmoitusten tekemiseen tai uhrien esiintymiseen valtion etuusjärjestelmissä.

Mitä tämä tarkoittaa sinulle

Jos olet tai olet ollut ADT:n asiakas, ensimmäinen oletus on, että yhteystietosi saattavat olla liikkeellä pahantahtoisten toimijoiden keskuudessa. Tämä muuttaa tapaa, jolla sinun tulisi arvioida pyytämättömiä viestejä jatkossa.

Tämä tietomurto havainnollistaa myös laajempaa näkökulmaa digitaalisesta yksityisyydestä: mikään yksittäinen työkalu tai palvelu ei tarjoa täydellistä suojaa. VPN esimerkiksi suojaa internet-liikennettäsi ja suojaa IP-osoitteesi, mutta se ei olisi estänyt tätä tietomurtoa. Hyökkäysvektori oli tässä inhimillinen, ei tekninen. Kattava yksityisyyden suoja edellyttää useiden tapojen ja työkalujen yhdistämistä.

Toimenpiteet, jos olet ADT:n asiakas:

  1. Seuraa luottotietojasi. Pyydä ilmaiset raportit kaikilta kolmelta suurelta luottotietorekisteriltä ja etsi tuntemattomia tilejä tai tiedusteluja. Harkitse luottojäädytyksen asettamista, jos sosiaaliturvatunnuksesi paljastui.
  2. Suhtaudu epäillen pyytämättömään yhteydenottoon. Rikolliset saattavat käyttää paljastuneita tietojasi esiintyäkseen ADT:nä tai muina luotettuina organisaatioina. Varmista henkilöllisyys kaikilta, jotka pyytävät henkilökohtaisia tietoja, ennen kuin ryhdyt toimiin.
  3. Ota käyttöön monivaiheinen tunnistautuminen (MFA) kaikilla tileillä. Jos palvelu tukee MFA:ta, ota se käyttöön. Se lisää suojakerroksen, jota pelkkä varastettu salasana ei pysty ohittamaan.
  4. Käytä uniikkeja, vahvoja salasanoja. Salasananhallintaohjelma tekee tästä hallittavaa. Jos yhden palvelun tunnistetiedot paljastuvat, uniikit salasanat estävät hyökkääjiä pääsemästä muille tileillesi.
  5. Harkitse henkilöllisyyden seurantapalvelua. Nämä palvelut varoittavat sinua, kun henkilökohtaiset tietosi ilmestyvät datatoimittajien sivustoille, dark web -foorumeille tai uusiin tilihakemuksiin.

ADT:n tietomurto on hyödyllinen tapaustutkimus siitä, miten tietoturvavirheet usein eivät johdu rikkinäisestä koodista vaan rikkinäisestä luottamuksesta. Yksi hyvin toteutettu puhelinsoitto riitti paljastamaan miljoonien asiakkaiden henkilökohtaiset tiedot. Aidon yksityisyyden suojan rakentaminen tarkoittaa sen ymmärtämistä, että teknisten puolustuskeinojen ja inhimillisen tietoisuuden on toimittava yhdessä. Mikään lukko, digitaalinen tai fyysinen, ei ole vahvempi kuin avainta pitävä henkilö.