Kuinka monta asiakasta Odido-tietomurto koski?

Kyberhyökkäys paljasti 6,2 miljoonan Odido-asiakkaan henkilötiedot, mikä edustaa merkittävää osaa Hollannin noin 17 miljoonan asukkaan kokonaisväestöstä.

Millaisia henkilötietoja tietomurrossa paljastui?

Paljastuneet tiedot sisälsivät asiakkaiden nimet, kotiosoitteet ja IBAN-tilinumerot — yhdistelmän, jota voidaan käyttää henkilöllisyysvarkauteen, talousrikoksiin ja luvattomiin suoraveloituksiin.

Miksi Odido-tietomurrossa paljastuneiden tietojen yhdistelmää pidetään erityisen vaarallisena?

Kyberrikolliset kutsuvat täydellisiä henkilöprofiileja "fullz"-tietojoukoiksi; nimien, osoitteiden ja IBAN-numeroiden yhdistelmä voi mahdollistaa luvattomat pankkiveloitukset ja antaa huijareille mahdollisuuden uskottavasti esiintyä uhreina pankeissa tai viranomaisissa.

Mitä eroa on ISP:n lokikirjauksella ja Odido-tietomurrossa tapahtuneella?

Lokikirjaus koskee sitä, mitä ISP voi havaita asiakkaidensa verkkokäyttäytymisestä, kun taas Odido-tietomurto koski hallinnollisia tietoja ja laskutustietoja — kuten henkilötietoja ja maksutietoja — joita yritys säilytti osana palvelunsa tarjoamista.

Odido tietomurto: 6,2 miljoonan asiakkaan tiedot paljastuivat kyberhyökkäyksessä

Q: Kuinka laaja on Odidoa vastaan nostettu joukkovahingonkorvausvaade?

Joukkovahingonkorvausvaade keräsi yli 200 000 tukijaa ensimmäisen 24 tunnin aikana, mikä tekee siitä yhden viime aikojen nopeimmin kasvavista oikeusvaateista Euroopan tietosuojahistoriassa.

Hollantilainen televiestintäjätti Odido kohtaa massiivisen oikeustoimien aallon suuren tietomurron jälkeen

Hollantilaista teleoperaattori Odidoa vastaan nostettu joukkovahingonkorvausvaade on kerännyt yli 200 000 tukijaa ensimmäisen 24 tunnin aikana, mikä tekee siitä yhden viime aikojen nopeimmin kasvavista oikeusvaateista Euroopan tietosuojahistoriassa. Oikeustoimet seuraavat kyberhyökkäystä, jossa 6,2 miljoonan Odido-asiakkaan henkilötiedot paljastuivat — mukaan lukien nimet, kotiosoitteet ja IBAN-tilinumerot. Kantajat väittävät, että Odido oli laiminlyönyt velvollisuutensa asiakastietojen säilyttämisessä ja suojaamisessa, ja vaativat korvausta tietomurrosta aiheutuneista vahingoista.

Asiayhteyden vuoksi on syytä mainita, että Hollannin väestö on noin 17 miljoonaa henkilöä. Tietomurto, joka koskee 6,2 miljoonaa ihmistä, tarkoittaa, että merkittävä osa maan asukkaista on saattanut nähdä arkaluontoiset henkilötietonsa vaarantuneina yhdessä ainoassa tapauksessa.

Mitä tietoja paljastui ja miksi se on merkityksellistä

Kaikki tietomurrot eivät sisällä samaa riskitasoa. Odido-tietomurrossa paljastuneiden tietojen yhdistelmä on erityisen huolestuttava, koska se koskettaa yksityiskohtia, joita voidaan hyödyntää henkilöllisyysvarkauteen ja talousrikoksiin.

Nimet ja osoitteet yksinään ovat suhteellisen vähäriskisiä. Mutta yhdistettynä IBAN-numeroihin — jotka yksilöivät pankkitilit eri puolilla Eurooppaa — paljastuneista tiedoista tulee rikollisten työkalu. IBAN-numeroita voidaan käyttää luvattomien suoraveloitusten käynnistämiseen koko Euroopan unionissa käytössä olevan SEPA-maksujärjestelmän kautta. Riittävän paljon henkilökohtaisia tietoja hallussa pitävät huijarit voivat myös uskottavasti esiintyä uhreina ottaessaan yhteyttä pankkeihin, palveluntarjoajiin tai viranomaisiin.

Tällaista yhdistettyä tietojen paljastumista kutsutaan kyberrikollisuuden piireissä joskus "fullz"-tietojoukoksi, jolla viitataan täydelliseen profiiliin, joka sisältää riittävästi tietoja jonkun henkilöllisyyden esittämiseen. Mitä täydellisempi kuva, sitä arvokkaampi se on pahantahtoisille toimijoille — ja sitä vahingollisempi asianomaisille henkilöille.

Internetpalveluntarjoajan tietomurrot vs. lokikirjaus: kaksi erillistä huolenaihetta

Odido-tietomurto havainnollistaa tärkeän eron, joka usein jää huomaamatta tietosuojakeskusteluissa. Kun ihmiset ajattelevat internetpalveluntarjoajaansa liittyviä riskejä, he keskittyvät tyypillisesti kysymykseen siitä, kirjaako heidän palveluntarjoajansa heidän selailutoimintaansa. Se on aiheellinen huolenaihe, mutta se on eri ongelma kuin se, mitä tässä tapahtui.

Tässä tapauksessa kysymys ei ole siitä, mitä Odido pystyi näkemään asiakkaidensa verkkokäyttäytymisestä. Kyse on hallinnollisista ja laskutustiedoista, joita yritys piti hallussaan telepalvelujen tarjoamisen perusedellytyksenä. Jokainen Odido-palvelun tilannut asiakas joutui antamaan henkilötietoja ja maksutiedot. Nämä tiedot tallennettiin, ja niitä suojattiin riittämättömästi.

Tämä riski koskee jokaista yritystä, jonka kanssa asioit — ei pelkästään internetpalveluntarjoajaasi. ISP:t ovat kuitenkin erityisen arvokas kohde, koska niillä on tietoja valtavasta määrästä ihmisiä, mukaan lukien usein maksutiedot ja varmennetut henkilöllisyystiedot, joiden on oltava oikeita laskutuksen ja lakisääteisen vaatimustenmukaisuuden vuoksi.

Oikeustoimien keskeinen väite — että Odido oli laiminlyönyt tietoturvakäytäntönsä — pääsee ongelman ytimeen. Asiakkailla ei ollut merkittävää mahdollisuutta tarkistaa, miten heidän tietojaan säilytettiin tai suojattiin. Heidän täytyi yksinkertaisesti luottaa yritykseen, ja tämä luottamus näyttää olleen väärässä paikassa.

Mitä tämä tarkoittaa sinulle

Jos olet Odido-asiakas, sinun tulisi seurata pankkitiliäsi luvattomien tapahtumien varalta ja harkita pankkisi ilmoittamista tietomurrosta, jotta he voivat merkitä epäilyttävän toiminnan. Koska IBAN-numerot paljastuivat, kannattaa tarkistaa suoraveloituslupasi ja varmistaa, ettei joukossa ole sellaisia, joita et tunnista.

Laajemmin katsottuna Odido-tietomurto on hyödyllinen muistutus siitä, että altistumisesi tietomurroille ei rajoitu omaan verkkokäyttäytymiseesi. Vaikka olisit huolellinen siitä, mitä jaat ja missä selaat, kanssasi asioivat yritykset pitävät sinusta tietoja hallussaan ja tekevät omia tietoturvapäätöksiään ilman panostasi.

Eurooppalaisilla on vahvemmat tietosuojaoikeudet kuin monilla muilla alueilla yleisen tietosuoja-asetuksen (GDPR) ansiosta. Odidoa vastaan nostettu joukkovahingonkorvausvaade on esimerkki näiden oikeuksien kollektiivisesta käyttämisestä. GDPR antaa yksilöille oikeuden hakea korvausta tietosuojasääntöjen rikkomisesta aiheutuneista vahingoista, ja vaatimuksen nopea leviäminen viittaa siihen, että monet asianomaiset asiakkaat ottavat tämän oikeuden vakavasti.

Käytännön toimenpiteet jokaisen tietomurron jälkeen:

Tarkista, sisältyivätkö tietosi tietomurtoon tietomurtoilmoituspalveluiden avulla
Ota yhteyttä pankkiisi, jos taloudelliset tilitiedot, kuten IBAN-numerot, paljastuivat
Ole valppaana tietojenkalastelusähköpostien tai -puheluiden suhteen, jotka käyttävät todellisia henkilötietojasi näyttääkseen aidonoloisilta
Tarkista luottoraporttisi tuntemattomien tilien tai kyselyjen varalta
Päivitä salasanat tileillä, jotka jakavat saman sähköpostiosoitteen tai puhelinnumeron kuin palvelu, johon tietomurto kohdistui

Odido-tietomurron laajuus ja oikeudellisen reagoinnin nopeus lähettävät selkeän viestin teleoperaattoreille kaikkialla Euroopassa: riittämätön tietoturva tuo mukanaan todellisia oikeudellisia ja taloudellisia seurauksia. Asiakkaille tapaus on muistutus siitä, että henkilötietojesi suojaaminen edellyttää paitsi hyviä henkilökohtaisia tapoja myös tietojasi hallussaan pitävien organisaatioiden vastuuttamista silloin, kun ne epäonnistuvat tehtävässään.

Hollantilainen televiestintäjätti Odido kohtaa massiivisen oikeustoimien aallon suuren tietomurron jälkeen

Mitä tietoja paljastui ja miksi se on merkityksellistä

Internetpalveluntarjoajan tietomurrot vs. lokikirjaus: kaksi erillistä huolenaihetta

Mitä tämä tarkoittaa sinulle

// UKK

// Aiheeseen liittyvät