ShinyHunters сообщила Odido о собственной утечке данных 6,5 миллиона клиентов

Что раскрыла утечка данных Odido и кто пострадал

Утечка данных Odido — одна из наиболее неприятных историй, произошедших в европейском телекоммуникационном секторе в этом году. У Odido, третьего по величине мобильного оператора Нидерландов, в феврале были похищены данные 6,5 миллиона клиентов. В результате атаки были захвачены контактные данные, даты рождения, идентификационные номера клиентов и прочая личная информация. Особую тревогу вызывает не только масштаб произошедшего. Дело в том, что собственная служба безопасности Odido полностью упустила этот инцидент.

Компания подтвердила, что узнала об утечке лишь после того, как хакерская группировка ShinyHunters вышла на неё напрямую. ShinyHunters — плодовитая киберпреступная группа, известная кражами данных в больших объёмах, — фактически уведомила жертву о произошедшем. Генеральный директор Odido публично признал, что были допущены ошибки. По имеющимся данным, пароли, платёжная информация, записи звонков и данные о местоположении в похищенный массив не вошли, однако это слабое утешение не меняет сути проблемы: данные миллионов людей оказались раскрыты, а компания об этом не знала.

Как внутренняя система обнаружения угроз Odido давала сбой на протяжении месяцев

Именно этот аспект истории об утечке данных Odido большинство публикаций обходят стороной. Атака произошла в феврале. Компания провела внутреннее расследование. Расследование ничего не обнаружило. Завершить картину смогли лишь сами злоумышленники.

Подобный провал в обнаружении угроз не является исключительной особенностью Odido. Телекоммуникационные компании управляют разветвлёнными CRM-системами с миллионами записей, и изощрённые методы вторжения могут практически не оставлять следов, если злоумышленник действует осторожно. Тем не менее этот сбой указывает на системный пробел: внутренний мониторинг, судя по всему, оказался недостаточным для выявления утечки данных в режиме реального времени. К моменту, когда Odido подтвердила произошедшее, данные уже находились в руках группировки, имеющей опыт продажи похищенных записей на торговых площадках даркнета.

Для понимания общей модели действий ShinyHunters следует отметить, что группировка причастна к многочисленным масштабным утечкам, при которых компании также реагировали с опозданием или вовсе не подозревали о происходящем. Их атака на Canvas в начале этого года следовала схожей схеме: похитить данные, предать огласке факт утечки — публично или через жертву — и оказать давление. Инцидент с Odido вписывается в этот шаблон практически в точности.

Почему утечки телекоммуникационных данных особенно опасны для конфиденциальности

Не все утечки данных несут одинаковые последующие риски. Телекоммуникационные данные находятся на особенно опасном пересечении, поскольку они связывают вашу реальную личность с номером телефона, а эта комбинация открывает доступ к конкретному набору атак.

Наиболее непосредственную угрозу представляет мошенничество с подменой SIM-карты. Когда злоумышленник располагает вашим именем, номером телефона и данными учётной записи, он может обратиться к вашему оператору, выдав себя за вас, и запросить перенос SIM-карты на подконтрольное ему устройство. Получив ваш номер, он сможет перехватывать коды двухфакторной аутентификации по SMS и получать доступ к банковским счетам, электронной почте и криптовалютным кошелькам. Это не теоретический риск. Именно так в первую очередь монетизируются похищенные телекоммуникационные данные.

Помимо подмены SIM-карт, телекоммуникационные метаданные открывают возможности для высокоточного фишинга. Злоумышленник, знающий ваше имя, мобильный номер и то, что вы являетесь клиентом конкретного оператора, может создавать убедительные сообщения, имитирующие обращения от службы поддержки этого оператора. Это не обычные спам-сообщения. Это атаки с применением социальной инженерии, построенные на реальных данных, что делает их значительно труднее распознаваемыми.

Всё это — часть более широкой закономерности, прослеживаемой в утечках по всей Европе. Утечка у французского почтового провайдера, раскрывшая 40 миллионов записей, и раскрытие 18 миллионов записей французских удостоверений личности молодым хакером наглядно показали, как агрегирование персональных данных усиливает риски для отдельных людей, даже когда ни один фрагмент информации в отдельности не выглядит катастрофическим. Телекоммуникационные данные особенно ценны потому, что они привязывают всю эту агрегированную информацию к доступному в реальном времени каналу коммуникации.

Многоуровневая защита, которую пользователи VPN должны добавить после утечки телекоммуникационных данных

Если вы являетесь клиентом Odido или просто думаете о том, что подобная утечка означает для таких людей, как вы, существуют конкретные шаги, которые стоит предпринять прямо сейчас.

Во-первых, свяжитесь со своим мобильным оператором и попросите установить блокировку SIM-карты или запрет на перенос номера для вашего аккаунта. Это значительно усложнит злоумышленнику перевод вашего номера без личного подтверждения личности. Многие операторы предлагают такую услугу, не афишируя её особо.

Во-вторых, по возможности откажитесь от двухфакторной аутентификации по SMS. Используйте вместо неё приложение-аутентификатор. Если ваш номер телефона окажется скомпрометирован в результате подмены SIM-карты, SMS-коды станут уязвимостью, а не защитой.

В-третьих, проверьте, где ваш номер телефона используется в качестве способа восстановления доступа. Аккаунты электронной почты, банковские приложения и платформы социальных сетей, использующие ваш мобильный номер для восстановления учётной записи, — всё это потенциальные цели, если ваши телекоммуникационные данные оказались раскрыты.

В-четвёртых, рассмотрите возможность использования VPN с защитой от утечек DNS на вашем мобильном устройстве. VPN не предотвращает подмену SIM-карты, однако добавляет уровень защиты для трафика браузера и приложений на вашем устройстве, особенно в публичных сетях, где злоумышленник может попытаться перехватить трафик после компрометации SIM-карты.

Наконец, воспользуйтесь сервисом мониторинга утечек, чтобы отслеживать появление вашего адреса электронной почты или номера телефона в новых слитых базах данных. Сервис Have I Been Pwned уже проиндексировал утечку данных Odido.

Что это означает для вас

Утечка данных Odido напоминает о том, что компании, хранящие ваши данные, могут не знать об их похищении до тех пор, пока об этом не сообщит кто-то другой. Сбои в обнаружении угроз случаются, и когда это происходит, промежуток между кражей и вашей осведомлённостью о ней может составлять несколько месяцев. За это время ваши данные могут быть куплены, проданы и использованы.

Воспользуйтесь этим как поводом проверить безопасность своего аккаунта у телекоммуникационного оператора и снизить зависимость от аутентификации на основе номера телефона для ваших наиболее важных аккаунтов. На инцидент с Odido также стоит смотреть в контексте более широкой активности ShinyHunters. Понимание модели атак группировки на крупные потребительские платформы помогает осознать, почему ни одна компания и ни один сектор не могут считаться заведомо безопасными. Начните с вашего номера телефона. Это ключ, который открывает куда больше, чем большинство людей осознаёт.