ShinyHunters повідомили Odido про витік даних 6,5 мільйона клієнтів

Що розкрив витік даних Odido і хто постраждав

Витік даних Odido — одна з найбільш незручних історій, що вийшли з європейського телекомунікаційного сектору цього року. У Odido, третього за величиною мобільного оператора Нідерландів, у лютому було викрадено дані 6,5 мільйона клієнтів. Контактні дані, дати народження, ідентифікаційні номери клієнтів та інша особиста інформація були захоплені під час атаки. Що робить цей інцидент особливо вражаючим — це не лише масштаб. Справа в тому, що власна команда безпеки Odido повністю пропустила його.

Компанія підтвердила, що дізналася про витік лише після того, як хакерська група ShinyHunters вийшла на зв'язок напряму. ShinyHunters — плідна кіберзлочинна група, відома масштабними крадіжками даних, — фактично повідомила жертву. Генеральний директор Odido публічно визнав, що були допущені помилки. Паролі, платіжні дані, записи дзвінків і дані про місцезнаходження, за повідомленнями, не увійшли до викраденого набору даних, але це обмежене заспокоєння не змінює головної проблеми: мільйони людей мали свої телекомунікаційні дані викрито без відома компанії.

Як внутрішня система виявлення Odido давала збій місяцями

Це та частина історії про витік даних Odido, яку більшість матеріалів оминає. Атака сталася у лютому. Компанія провела внутрішнє розслідування. Це розслідування нічого не знайшло. Знадобилося, щоб самі зловмисники замкнули коло.

Такий збій у виявленні не є унікальним для Odido. Телекомунікаційні компанії керують розгалуженими CRM-системами з мільйонами записів, і витончені методи вторгнення можуть залишати мінімальні сліди, якщо зловмисник діє обережно. Але збій вказує на системну прогалину: внутрішній моніторинг, очевидно, був недостатнім для виявлення витоку даних у режимі реального часу. На момент підтвердження Odido того, що сталося, дані вже перебували в руках групи, яка має досвід продажу викрадених записів на торгових майданчиках даркнету.

Для розуміння ширшої картини дій ShinyHunters: групу пов'язують із кількома масштабними витоками, де компанії так само повільно реагували або взагалі не знали про них. Їхня атака на Canvas раніше цього року слідувала подібному сценарію: викрасти дані, оприлюднити витік або повідомити жертву і чинити тиск. Інцидент з Odido майже точно відповідає цьому шаблону.

Чому витоки телекомунікаційних даних є особливо небезпечними для конфіденційності

Не всі витоки даних несуть однаковий ризик наслідків. Телекомунікаційні дані знаходяться на особливо небезпечному перехресті, оскільки вони пов'язують вашу реальну особистість із номером телефону, а ця комбінація відкриває специфічний набір атак.

Шахрайство із заміною SIM-картки — найбезпосередніша загроза. Коли зловмисник має ваше ім'я, номер телефону та дані облікового запису, він може зв'язатися з вашим оператором, представившись вами, і запросити перенесення SIM на пристрій, яким він керує. Отримавши ваш номер, він може перехоплювати коди двофакторної аутентифікації на основі SMS і отримувати доступ до банківських рахунків, електронної пошти та криптовалютних гаманців. Це не теоретичний ризик. Це один із основних методів монетизації викрадених телекомунікаційних записів.

Крім заміни SIM-карток, телекомунікаційні метадані уможливлюють надзвичайно цільовий фішинг. Зловмисник, який знає ваше ім'я, мобільний номер і те, що ви є клієнтом конкретного оператора, може створювати переконливі повідомлення, що імітують службу підтримки цього оператора. Це не типові спам-повідомлення. Це атаки соціальної інженерії, побудовані на реальних даних, що робить їх значно складнішими для виявлення.

Це частина ширшої закономірності, помітної у витоках по всій Європі. Витік французького постачальника електронної пошти, що розкрив 40 мільйонів записів, та розкриття 18 мільйонів французьких ID-записів хакером-підлітком обидва показали, як агрегація персональних даних прискорює ризик для окремих осіб, навіть коли жодна окрема частина інформації не виглядає катастрофічною окремо. Телекомунікаційні дані особливо цінні, оскільки вони прив'язують усю цю агреговану інформацію до доступного каналу зв'язку в режимі реального часу.

Багаторівневий захист, який користувачі VPN повинні додати після витоків телекомунікаційних даних

Якщо ви є клієнтом Odido або просто людиною, яка обдумує, що цей витік означає для таких, як ви, є конкретні кроки, які варто зробити зараз.

По-перше, зверніться до свого мобільного оператора і попросіть встановити блокування SIM або заморожування перенесення номера на вашому обліковому записі. Це значно ускладнює зловмиснику перенесення вашого номера без особистої верифікації. Багато операторів пропонують це і не рекламують активно.

По-друге, відмовтеся від двофакторної аутентифікації на основі SMS, де це можливо. Натомість використовуйте застосунок-автентифікатор. Якщо ваш номер телефону буде скомпрометовано внаслідок заміни SIM-картки, SMS-коди стануть вразливістю, а не захистом.

По-третє, перевірте, де ваш номер телефону використовується як метод відновлення. Облікові записи електронної пошти, банківські застосунки та платформи соціальних мереж, які використовують ваш мобільний номер для відновлення доступу, — усі вони є потенційними цілями, якщо ваші телекомунікаційні дані були розкриті.

По-четверте, розгляньте можливість використання VPN із захистом від витоків DNS для вашого мобільного пристрою. VPN не запобігає заміні SIM-картки, але додає рівень захисту для перегляду веб-сторінок і трафіку застосунків на вашому пристрої, особливо в публічних мережах, де зловмисник може спробувати перехопити трафік після компрометації SIM.

Нарешті, скористайтеся сервісом моніторингу витоків, щоб відстежувати, чи з'являється ваша адреса електронної пошти або номер телефону у щойно витоклих наборах даних. Have I Been Pwned вже проіндексував витік Odido.

Що це означає для вас

Витік даних Odido нагадує, що компанії, які зберігають ваші дані, можуть не знати про їх викрадення, поки хтось інший не повідомить їх. Збої у виявленні трапляються, і коли це відбувається, вікно між крадіжкою та вашою обізнаністю може тривати місяцями. Протягом цього вікна ваші дані можуть бути куплені, продані та використані.

Сприйміть це як підказку перевірити безпеку свого телекомунікаційного облікового запису та зменшити залежність від аутентифікації на основі номера телефону для ваших найбільш чутливих облікових записів. На інцидент з Odido також варто поглянути в контексті ширшої діяльності ShinyHunters. Розуміння закономірності дій групи щодо атак на великі платформи, орієнтовані на споживачів, допомагає зрозуміти, чому жодна окрема компанія чи сектор не може вважатися безпечним. Почніть зі свого номера телефону. Це ключ, який відкриває більше, ніж більшість людей усвідомлює.