Alert 360 adatszivárgás: A ShinyHunters 2,5 millió rekordot tett közzé

Egy jelentős biztonsági vállalatnál komoly biztonsági probléma lépett fel

Az Alert 360, az Egyesült Államok ötödik legnagyobb otthoni és üzleti biztonsági szolgáltatója, jelentős adatbiztonsági incidens áldozatává vált. A ShinyHunters nevű hackercsoport magára vállalta a felelősséget azért, hogy 2,5 millió rekordot lopott el a cégtől, majd végül a dark weben tette közzé az adatokat, miután a váltságdíj-tárgyalások meghiúsultak. A kiszivárgott információk személyazonosításra alkalmas adatokat (PII) és belső vállalati adatokat is tartalmaznak, ami komoly kockázatot jelent a vállalat nagyszámú ügyfélbázisa számára.

Az eset nemcsak a mértéke miatt figyelemre méltó, hanem azért is, mert rávilágít az adatbiztonság általános helyzetére. Ha egy olyan vállalat, amelynek alapüzlete az emberek és a vagyontárgyak védelme, nem képes megvédeni saját ügyfelei adatait, az komoly kérdéseket vet fel azzal kapcsolatban, hogy bármely szervezet hogyan kezeli az általa gyűjtött érzékeny információkat.

Ki az a ShinyHunters, és miért fontos?

A ShinyHunters nem ismeretlen név a kiberbiztonsági körökben. A csoportot az elmúlt néhány évben számos nagy horderejű adatbiztonsági incidenssel hozták összefüggésbe, amelyek során több iparágban és földrajzi területen működő vállalatokat céloztak meg. Jellemző módszerük az, hogy behatolnak a kiszemelt célpontba, nagy mennyiségű adatot vonnak ki, váltságdíjat követelnek, majd nyilvánosan közzéteszik az adatokat, ha a tárgyalások meghiúsulnak vagy nem érkezik fizetés.

Ez az utolsó lépés, az adatok közzététele az, ami egy adatszivárgást egy elszigetelt vállalati problémából kiterjedt fogyasztói kockázattá alakít. Amint a rekordok felkerülnek a dark web fórumaira, a rosszindulatú szereplők széles köre számára elérhetővé válnak, a személyazonossági tolvajok éppúgy hozzáférhetnek, mint az adathalász műveletek irányítói. Az adatok nem tűnnek el a közzétételük után: tovább keringenek, újra eladják őket, és hosszú ideig okoznak károkat azután is, hogy az eredeti incidens lekerül a hírekből.

A váltságdíj-tárgyalások kudarca ebben az esetben azt jelenti, hogy az Alert 360-nak esetlegesen meglévő lehetősége az adatok kiszivárgásának megfékezésére mostanra szertefoszlott. Az adatok már nyilvánosak.

Milyen adatok kerültek nyilvánosságra?

A jelentések szerint a kiszivárgott adathalmaz személyazonosításra alkalmas információkat tartalmaz – ez egy széles kategória, amely jellemzően neveket, címeket, telefonszámokat, e-mail-címeket, fiókadatokat és potenciálisan érzékenyebb rekordokat foglal magában, attól függően, hogy a vállalat mit tárolt. A kiszivárgott adatok között belső vállalati adatok is szerepeltek a jelentések szerint.

Egy otthoni vagy üzleti biztonsági szolgáltató ügyfelei számára a következmények túlmutatnak a kiskereskedelmi vagy közösségimédia-adatszivárgások szokásos aggályain. A biztonsági szolgáltatásokat igénybe vevő személyek gyakran részletes információkat osztottak meg otthonaikról, vállalkozásaikról, menetrendjükről és fizikai hozzáférési rendszereikről. Ez a kapcsolat természetéből adódóan azt jelenti, hogy az ilyen vállalatok által tárolt adatok összefüggésbeli szempontból érzékenyebbek lehetnek, mint egy egyszerű e-mail-cím lista.

Ebben a szakaszban az Alert 360 nem adott ki átfogó nyilatkozatot arról, hogy pontosan mely rekordok kerültek veszélybe, vagy hány ügyfelet érint közvetlenül az incidens. Ez az átláthatóság hiánya önmagában is aggasztó mindenki számára, aki valaha a vállalat ügyfele volt.

Mit jelent ez az Ön számára?

Ez az adatszivárgás szemléletes példája annak a problémának, amely mindenkit érint, aki személyes adatokat oszt meg bármely szervezettel: rendkívül korlátozott mértékben tudja befolyásolni, mi történik az adataival, miután azok kikerülnek a kezéből. Választhat erős jelszavakat és használhat kétlépéses hitelesítést a saját fiókjain, de nem tudja befolyásolni az összes olyan vállalat biztonsági gyakorlatát, amely tárolja az adatait.

Ez a valóság fontossá teszi, hogy általánosabb szemszögből is gondoljon személyes adatainak kezelésére. Az ehhez hasonló incidensek után érdemes megfontolni néhány gyakorlati lépést.

Figyelje fiókjait és hitelképességét. Ha Ön az Alert 360 jelenlegi vagy korábbi ügyfele, kísérje figyelemmel pénzügyi számláit, és fontolja meg csalási figyelmeztetés vagy hitelzárolás elhelyezését a nagyobb hitelintézeteknél. Ez nem kerül semmibe, és megakadályozhatja, hogy az Ön nevében az Ön tudta nélkül új hitelkereteket nyissanak.

Legyen résen az adathalász kísérletekkel szemben. A kiszivárgott személyes adatokat gyakran használják fel meggyőző adathalász e-mailek és szöveges üzenetek összeállításához. Legyen szkeptikus minden olyan kéretlen kommunikációval szemben, amely hivatkozik a fiókjára, otthoni biztonsági rendszerére, vagy arra kéri Önt, hogy kattintson egy linkre vagy adja meg bejelentkezési adatait.

Használjon egyedi jelszavakat és jelszókezelőt. Ha ugyanazokat a jelszavakat használja több fiókban, az egyik vállalatnál bekövetkező adatszivárgás jogosulatlan hozzáférést eredményezhet más helyeken is. Egy jelszókezelő lehetővé teszi, hogy minden egyes szolgáltatáshoz egyedi hitelesítő adatokat tartson fenn.

Gondolja meg, milyen adatokat oszt meg a jövőben. Nem minden szolgáltatásnak van szüksége teljes nevére, lakcímére és telefonszámára. Ahol lehetséges, korlátozza az általa megadott adatokat kizárólag a feltétlenül szükségesekre.

Ellenőrizze az adatszivárgás-értesítési adatbázisokat. Az adatszivárgásokat összesítő szolgáltatások megmutathatják, hogy az Ön e-mail-címe szerepel-e ismert kiszivárgásokban, így korai jelzést kaphat a hitelesítő adatok megváltoztatásához és az éberség fenntartásához.

Az Alert 360 adatszivárgása emlékeztet arra, hogy egyetlen vállalat sem védett a támadásokkal szemben, még azok sem, amelyek maguk is a biztonsági iparban tevékenykednek. Az egyének számára rendelkezésre álló legjobb védekezés az, ha tájékozottak maradnak, gyorsan cselekednek, amikor adatszivárgásokat jelentenek be, és következetesen tesznek lépéseket a kiszivárgott adatok által okozható károk minimalizálása érdekében. Személyes adatainak védelme folyamatos figyelmet igényel, nem csupán egyszeri beállítást.