Tietomurrot

Basic-Fitin tietomurto paljasti miljoonan jäsenen tiedot

13. huhtikuuta 20265 min lukuaika

Euroopan suurin kuntosaliketju vahvistaa merkittävän tietomurron

Basic-Fit, Euroopassa tuhansia toimipisteitä operoiva kuntosaliketju, on vahvistanut hakkereiden päässeen käsiksi noin miljoonan jäsenensä henkilötietoihin. Tietomurto kohdistui asiakkaisiin Alankomaissa, Belgiassa, Ranskassa, Saksassa, Luxemburgissa ja Espanjassa, mikä tekee siitä yhden merkittävimmistä kuluttajien tietomurroista, joita kuntoiluala on kokenut.

Vaarantuneisiin tietoihin kuuluvat nimet, kotiosoitteet, sähköpostiosoitteet, puhelinnumerot, syntymäajat ja pankkitilitiedot. Hyökkääjät pääsivät tietoihin käsiksi yrityksen käyntikirjausjärjestelmän kautta, joka seuraa jäsenten sisäänkirjautumisia toimipisteillä. Basic-Fit vahvisti, että salasanat ja henkilöllisyystodistukset eivät kuuluneet varastettuihin tietoihin, mikä on merkittävä ero. Paljastunut tietoyhdistelmä on kuitenkin silti riittävä aiheuttamaan vakavaa haittaa asianomaisille henkilöille.

Mitä tietoja varastettiin ja miksi sillä on merkitystä

On houkuttelevaa vähätellä tietomurtoa, kun salasanat eivät ole mukana. Mutta tässä paljastunut tietoaineisto on juuri se, mitä huijarit ja tietojenkalastelijat tarvitsevat vakuuttavien huijausten toteuttamiseen. Kun joku ottaa sinuun yhteyttä tietäen koko nimesi, kotiosoitteesi, puhelinnumerosi, syntymäaikasi ja pankkisi, he voivat rakentaa viestejä, joita on aidosti vaikea tunnistaa petollisiksi.

Pankkitilitiedot erityisesti nostavat panoksia. Riippuen siitä, mitä tarkempia tietoja on kaapattu, näitä tietoja voidaan käyttää luvattomien suoraveloitusyritysten toteuttamiseen, jäsenten tekeytymiseen rahoituslaitoksille tai kohdennetumpien manipulointihyökkäysten mahdollistamiseen.

Basic-Fit on myöntänyt tietojenkalastelun riskin suoraan varoittamalla jäseniä olemaan varovaisia ei-toivottujen viestien suhteen, jotka väittävät olevansa yhtiöltä tai rahoituspalveluntarjoajilta. Tämä on järkevää neuvoa, mutta se asettaa vastuun suoraan yksilöille puolustaa itseään riskeiltä, jotka ovat peräisin yrityksen järjestelmästä, johon heillä ei ollut mitään vaikutusvaltaa.

Rutiininomaisen tiedonkeruun piilotetut kustannukset

Tämä tietomurto havainnollistaa laajempaa ongelmaa siinä, miten nykyaikaiset yritykset keräävät ja tallentavat henkilötietoja. Käyntikirjausjärjestelmä on pohjimmiltaan olemassa varmistaakseen, että kuntosalin jäsenet pääsevät tiloihin, joihin heillä on oikeus. Tämä toiminto ei luonnostaan vaadi pankkitilitietojen tallentamista samassa paikassa kotiosoitteiden ja puhelinnumeroiden kanssa yhteen järjestelmään.

Kun yritykset kokoavat tietoja useista toiminnoista — olipa kyse laskutuksesta, kulunvalvonnasta, markkinoinnista tai vaatimustenmukaisuudesta — ne luovat konsolidoituja kohteita. Yksi onnistunut tunkeutuminen voi tuottaa paljon enemmän kuin hyökkääjät olisivat saaneet, jos tiedot olisi pidetty erillään. Mitä enemmän datapisteitä organisaatio pitää sinusta yhdessä paikassa, sitä arvokkaampi kyseinen järjestelmä on rikollisille.

Tämä ei ole ongelma, joka koskee vain Basic-Fitiä. Vähittäiskauppiaat, terveydenhuollon tarjoajat, kanta-asiakasohjelmat ja tilauspalvelut keräävät rutiininomaisesti yksityiskohtaisia henkilöprofiileja normaalin toimintansa sivutuotteena. Jäsenillä ja asiakkailla on harvoin näkyvyys siihen, miten nämä tiedot on organisoitu, suojattu tai eroteltu sisäisesti.

Mitä tämä tarkoittaa sinulle

Jos olet Basic-Fitin jäsen, välittömät toimenpiteet ovat suoraviivaisia. Seuraa pankkitiliäsi ja siihen liittyviä maksutapoja epätavallisen toiminnan varalta. Suhtaudu erittäin epäileväisesti kaikkiin sähköpostiviesteihin, tekstiviesteihin tai puheluihin, joissa viitataan jäsenyyteesi, laskutukseesi tai tilitietoihisi, vaikka viestintä vaikuttaisi tietävän sinusta paikkansapitäviä tietoja. Huijarit käyttävät murrettuja tietoja lisätäkseen uskottavuutta tietojenkalasteluyrityksiinsä, ja tämä tietomurto antaa heille vahvan perustan.

Harkitse petosilmoituksen tekemistä pankkiisi ja tarkista kaikki tilillesi liittyvät suoraveloitusluvat. Jos olet käyttänyt samaa Basic-Fitin sähköposti- ja salasanayhdistelmää muissa palveluissa, vaihda nämä salasanat nyt, vaikka Basic-Fit ilmoitti, että salasanat eivät kuuluneet varastettuihin tietoihin. Pelkkä sähköpostiosoite riittää käynnistämään tunnistepohjaisia täyttöyrityksiä käyttämällä aiemmista tietomurroista peräisin olevia salasanalistoja.

Laajemmin ajatellen tämä tapaus on hyödyllinen kehotus tarkastaa, mitä henkilötietoja olet yleensä jakanut tilaus- ja jäsenpalveluille. Tietojen minimointi — antamalla vain se, mikä on ehdottomasti välttämätöntä palveluihin rekisteröityessä — vähentää altistumistasi, kun tällaisia tietomurtoja tapahtuu. Kaikki palvelut eivät tarvitse kotiosoitettasi, eivätkä kaikki alustat tarvitse syntymäaikaasi.

Käytännölliset toimenpiteet

Tarkista tiliotteet luvattomien tapahtumien varalta ja aseta tapahtumavaraukset, jos pankkisi tarjoaa niitä.
Jätä huomiotta ei-toivottu yhteydenotto, jossa viitataan kuntosalijäsenyyteesi, vaikka lähettäjä vaikuttaisi tietävän tarkkoja henkilökohtaisia tietojasi.
Päivitä salasanat kaikilla tileillä, joissa käytät samaa sähköpostiosoitetta kuin Basic-Fitissä.
Tarkista suoraveloitusluvat pankkitililtäsi ja peruuta ne, joita et tunnista.
Tarkasta tietojäljenkesi tilauspalveluissa ja poista tarpeettomat tallennetut henkilötiedot mahdollisuuksien mukaan.
Ota käyttöön kaksivaiheinen tunnistautuminen sähköpostitilillesi ja rahoitustileille, jos et ole vielä tehnyt niin.

Luotettavien, vakiintuneiden yritysten tietomurrot muistuttavat siitä, että mille tahansa organisaatiolle jaettuihin henkilötietoihin liittyy luonnostaan riski. Paras yksilöiden käytettävissä oleva suoja on rajoittaa sitä, mitä tietoja ylipäätään on olemassa varastettavaksi, yhdistettynä valppaana pysymiseen näitä tapauksia luotettavasti seuraavan petostoiminnan suhteen.

// UKK

Kuinka monta jäsentä Basic-Fitin tietomurto koski?

Noin miljoonan Basic-Fitin jäsenen henkilötietoihin pääsivät käsiksi hakkerit. Tietomurto kohdistui asiakkaisiin kuudessa maassa: Alankomaissa, Belgiassa, Ranskassa, Saksassa, Luxemburgissa ja Espanjassa.

Mitä tietoja tietomurrossa varastettiin?

Vaarantuneisiin tietoihin kuuluvat nimet, kotiosoitteet, sähköpostiosoitteet, puhelinnumerot, syntymäajat ja pankkitilitiedot. Salasanat ja henkilöllisyystodistukset eivät kuuluneet varastettuihin tietoihin.

Miten hakkerit pääsivät käsiksi jäsenten tietoihin?

Hyökkääjät pääsivät tietoihin käsiksi Basic-Fitin käyntikirjausjärjestelmän kautta, jota käytetään jäsenten sisäänkirjautumisten seurantaan toimipisteillä.

Millaisia riskejä asianomaiset jäsenet kohtaavat tietomurron seurauksena?

Paljastettuja tietoja voidaan käyttää tietojenkalasteluviesteihin, luvattomiin suoraveloitusyrityksiin, jäsenten tekeytymiseen rahoituslaitoksille sekä kohdennettuihin manipulointihyökkäyksiin. Basic-Fit on varoittanut jäseniä olemaan varovaisia ei-toivottujen viestien suhteen, jotka väittävät olevansa yhtiöltä tai rahoituspalveluntarjoajilta.

Miksi käyntikirjausjärjestelmä sisälsi arkaluonteisia taloudellisia tietoja?

Basic-Fit, kuten monet nykyaikaiset yritykset, kokosi tietoja useista toiminnoista, kuten laskutuksesta, kulunvalvonnasta ja markkinoinnista, yhteen järjestelmään. Tämä konsolidointi tarkoitti, että käyntikirjausjärjestelmään kohdistunut tietomurto paljasti paljon enemmän kuin pelkät sisäänkirjautumistiedot.