Sikeres, de a rendelkezésre álló információk alapján nem feltétlen széles felhasználói kört érintő kibertámadás érte a Foxpostot még 2022 októberének végén - adta hírül a Telex. Az online lap a cégtől független forrásra hivatkozva jutott az információhoz, ám a Telex megkeresésére a vállalat több részletet is közölt az ügyről. Mint kiderült, nem engedtek a támadó zsarolásának, és a rendőrségi feljelentést követően azóta el is fogták a feltételezett elkövetőt.

A csomagautomatáiról országszerte ismert Foxpost rendszerét a lap által rekonstruált történet alapján egy előre bejelentett rendszerfrissítés tette sebezhetővé. Ekkor két, egymástól független és önmagukban nem kritikus biztonsági rés rövid ideig tartó együttes jelenlétét tudta kihasználni a támadó.

A hekker (vagy hekkercsapat) ezt követően rögtön jelentkezett a cégnél egy üzenettel, amelyben azt állította, hogy "közel egymillió ügyfél adatait szerezte meg". A magát Flor De Loto (spanyolul lótuszvirág) néven nevező zsaroló 400 monerónyi kriptovalutát (mostani árfolyamon bő 20 millió forintot) követelt azért, hogy ezeket az érzékeny információkat ne adja el másnak, vagy ne hozza nyilvánosságra.

Nem engedtek a zsarolásnak

A Foxpost a fizetés helyett (nagyon helyesen) a feljelentést választotta, és a cég tájékoztatása szerint  "a rendőrség munkájának köszönhetően a tetteseket elfogták", adatok pedig nem kerültek nyilvánosságra. Ahogy a lapnak a cég vezérigazgatója, Bengyel Ádám elmondta, a vállalat politikája egyértelmű: "semmilyen körülmények között nem fizetünk hekkereknek vagy bármilyen bűnözői csoportnak. Hisszük, hogy a zsarolásnak való engedés nem megoldás, mert fenntartja és ösztönzi a bűnözés ezen formáját.”

A bűnözök kifizetése ráadásul már csak azért sem javallott, mivel a korábbi évekből számtalan példát lehet hozni arra, amikor a hekkerek a váltságdíj átutalása ellenére sem tartották magukat az általuk vállalt ígéretekhez.

Az időközben lefolytatott belső vizsgálat egyébként nem támasztotta alá a támadó állítását a megszerzett adatok milliós nagyságrendjével kapcsolatban. A Foxpostnál bizonyítottan mindössze 66 felhasználó érintettségét tudták kimutatni, de azért hozzátették, hogy "az elméletileg elképzelhető legrosszabb esetben ez a szám százezres nagyságrendű lehet”.

A végül nyilvánosságra nem került adatok között volt a regisztrációhoz használt név, lakcím, telefonszám és töredékrészben bankszámlaszám. Bankkártyaadatokat nem tárol a vállalat, így azok értelemszerűen nem is kerülhettek az októberi támadás során illetéktelen kezekbe.

A Telex az üggyel kapcsolatban még februárban fordult a rendőrséghez, de egy március elején érkezett válaszban csak annyit közöltek, hogy "a Budapesti Rendőr-főkapitányság Gazdasági Bűnözés Elleni Főosztálya folytat nyomozást, és mivel az folyamatban van, később adnak róla tájékoztatást".