Alig telt el pár nap az évből és máris napvilágott látott 2026 első komolyabb információbiztonsági incidense. Az ügyet a Hudson Rock, egy malware-es adatlopásokra specializálódott izraeli kiberbiztonsági cég munkatársai vesézték ki alaposan hétfőn kiadott elemzésükben.

Súlyos csomag

A jelentés szerint egy Zestix (vagy Sentap) álnéven ismert online bűnöző nagyságrendileg 50 nagy globális vállalat érzékeny információkat tartalmazó adatcsomagját tette fel a sötét webre, ahol több "termékre" már vevő is akadt. Az áldozatok között vannak közművekhez, kormányzathoz, egészségügyhöz, katonasághoz, légi közlekedéshez és egyéb kritikus területekhez kapcsolódó cégek az USA-tól Brazílián át Spanyolországon keresztül Törökországig.

A fogás nagyságrendje és összetétele már önmagában kiemelésre érdemessé teszi a történetet, ám ennél is fontosabb hangsúlyozni, hogy mindezt mennyire könnyen tudta végrehajtani a hekker, akinek egyáltalán nem kellett ezért semmiféle komoly kibertudást felmutatnia.

Besétált a főbejáraton

Az elkövető trükkje az volt, hogy kifejezetten a nagyvállalatok által közösen használt fájlmegosztó portálokon tárolt adatokra utazott. Ezekbe a rendszerekbe úgy nyert bebocsátást, hogy a szervezetek egy-egy figyelmetlen dolgozója aktiválta az általa küldött malware-t. Utóbbi aztán szépen felporszívózta a megfertőzött eszközön található összes értékes információt: böngészőelőzményeket, felhasználó név és jelszó párokat stb.

A valid belépési adatokkal azonban önmagában semmire sem ment volna a tolvaj, ha az érintett cégeknél kötelezővé tették volna a többfaktoros azonosítást (MFA). A pórul járt mintegy félszáz nagyvállalatban azonban ebben a tekintetben konzekvensen működött: sehol nem követelték meg a munkatársak autentikációjánál a fokozott biztonságot nyújtó MFA használatát.

Ahogy a jelentés is írja: a naplófájlokból kinyert érvényes felhasználónevekkel és jelszavakkal rendelkező támadó így praktikusan "besétált a főbejáraton". Nem volt szükség semmiféle furmányos exploitra, vagy bármilyen egyéb trükkre.

Van, ahol még nem késő

Azok a szervezetek, amelyektől az ügy kapcsán érzékeny anyagok kerültek ki, most már futhatnak az adatcsomagjaik (és a reputációjuk) után, azok viszont, amelyek eddig szerencsésen megúszták, jobban teszik, ha kötelezően bevezetik az MFA használatát, illetve folyamatosan vizsgálják alkalmazottaik hitelesítő adatait, hogy azok nem kompromittálódtak-e – tanácsolja a Hudson Rock jelentése.