Csúnya virgácsot hozott a Mikulás a Simple-nek: december 5-én hekkerek feltörtek több ezer Simple felhasználói fiókot. A támadás állítólag olyan botokkal hajtották végre, melyek más felületeken ellopott felhasználónév-jelszó párost próbálgattak végig Simple-fiókokon. A támadók így nagy valószínűséggel azokhoz a fiókokhoz fértek hozzá, melyekhez valaki más szolgáltatásnál is használt és ott kompromittálódott felhasználói név – jelszó párost adott meg. (A Have I Been Pawned? oldalon bárki ellenőrizheti, hogy nem törték-e fel bármely online szolgáltatáshoz használt azonosítóját. Persze az sem jelent százszázalékos biztonságot, ha adott név és jelszó nem szerepel az adatbázisban.)

Az OTP Bank a lapok megkeresésére közleményt adott ki, melyben hangsúlyozta: "az alkalmazásban rögzített bankkártyák CVC-kódjainak hiányában a feltört fiókokból fizetési tranzakciót nem tudtak indítani, így anyagi kár nem történt". A Simple az érintett fiókokat azonnal blokkolta, és értesítette tulajdonosaikat, akik bankkártyájukat továbbra is biztonságosan használhatják tranzakciókra.

A Simple azóta megkezdte a fiókok visszaállítását is. Itt az eljárás a szokásos: a rendszer érvényteleníti a fiók régi jelszavát a rendszer érvényteleníti, és a mai nap folyamán küld a felhasználónak a [email protected] címről egy Simple-jelszómódosító linket tartalmazó rendszerlevelet.

Biztonsági okokból újra kell rögzíteni a bankkártyákat, de ez nem érinti a fiókban tárolt, már megvásárolt tételeket, például a közlekedési bérleteket, autópálya-matricát stb.

És a tanulság

A mostani incidens ismét felhívja a figyelmet: jelentős biztonsági kockázatot hordoz magában, ha valaki kényelemből több online szolgáltatáshoz ugyanazt a név-jelszó párost használja. Ha ugyanis egy gyengébben védett helyen a bejelentkezési adatok kompromittálódnak, a hekkerek a fenti módszerrel könnyedén hozzáférnek bármely más fiókunkhoz.

Ha tehát a Simple-fióknál elvégeztük a jelszómódosítást, érdemes ellenőrizi legalább a kritikus online szolgáltatásinknál (pl. online bankolás, webáruházi fiók stb.), hogy egyedi jelszót adtunk-e meg. És ha már nagytakarítunk, érdemes ellenőrizni azt is, hogy szerepel-e a Have I Been Pawned? oldalon.

Ha valaki úgy érzi, képtelen fejben tartani kismillió egyedi jelszót, használjon jelszókezelő alkalmazást, tökéletes védelmet azok sem adnak ugyan (mert tökéletes védelem nem létezik), de nagyságrenddel növelik a biztonság szintjét.

Az incidenssel kapcsolatban küldtünk kérdéseket a Simple-nek, melyben rákérdeztünk az érintett fiókok számára és a támadás lehetséges okaira. A cégtől az akábbi válaszzokat kaptuk.

"2023. december 5-én este a Simple Megoldásoktól, így az OTP Mobiltól független forrásból, jogosulatlanul megszerzett adatok segítségével mintegy 4 300 felhasználónk fiókjához férhettek hozzá illetéktelenek. Az érintett fiókokat azonnal blokkoltuk, a felhasználóinkkal felvettük a kapcsolatot és megtettük a szükséges lépéseket a helyreállítás és a biztonság megőrzése érdekében.

A hasonló esetek alapja rendszerint az, hogy több digitális felületen ugyanazt a felhasználónév/jelszó kombinációt használják, így, ha egy kevésbé sikeresen védett felületen azt megszerzik az adattolvajok, máshol be tudnak lépni vele.

Illetéktelenek külső forrásból eltulajdonított felhasználónév/jelszó kombinációkhoz fértek hozzá. A digitális adattolvajok tranzakciót nem tudtak indítani, anyagi kár így nem történt. A bűnözők elleni hatósági bejelentést megtettük, a felhasználók tájékoztatása mellett a fiókok visszaállításáról is gondoskodunk."