奥地利最大的互联网服务提供商 A1 Telecom 于 2 月 8 日星期二遭遇重大数据泄露。攻击背后的威胁者要求 50 万美元以太坊72小时之内,否则他将公布数据。
A1是一家在克罗地亚及该地区运营的移动网络,据克罗地亚当地报纸报道,索引.hr*,该漏洞影响了大约 10% 的网络用户 – 包括姓名、地址、电话号码和个人识别号码(OIB) 非法抢夺。
受害者要求赔偿
声称闯入 A1 系统的黑客已通过电子邮件联系多家媒体,通报情况。在给 Index.hr 的电子邮件中,他声称自己已经破坏了整个电信系统。他表示,他甚至将部分用户数据库转发给 A1 作为违规证据。然而A1却没有反应。
在他的向 RTL.hr 提交书面报告*,黑客提供了他的操作的更多细节。据他称,A1 在至少 6 到 7 天的时间里就完全意识到了这次黑客攻击,但没有采取任何行动。 “他们甚至懒得更改我用来访问他们的 (A1) 工具的代理帐户的密码”。据称,只有在“摆弄”他们的工具并提取个人数据一个多星期后,A1 才做出了任何回应。
与此同时,许多受害者要求 A1 支付他的要求——50 万美元的加密货币——这样他们的数据就不会被泄露。许多当地企业主对敏感数据(主要是 OIB)被滥用表示担忧。其中一位说:
这是官方电子邮件,官方公司 OIB,您可以使用它来订购任何类型的服务。您可以订购一台 10,000 HRK(约 1,500 美元)的移动设备。我不想考虑这些危险,然后发生这样的事情,你就别无选择。
A1回应称,被盗数据不超过其网络内所有用户总数的10%,这些数据主要包括姓名、地址和电话号码。他们表示,没有理由担心,因为“您仍然需要更多的数据来订购任何服务”。 A1 企业传播总监 Dubravka Štefanac Vinovrški 表示,用户无需采取任何行动,因为 A1 已经采取了必要的安全措施,例如更改所有用户的密码。
最后一次警告
在 Index.hr 门户向黑客发送电子邮件并询问他的请求结果后,他表示 A1 没有回复他的任何电子邮件,包括发送给公司内部高级官员的电子邮件。随后他提醒A1,72小时后,他会将数据库公开。但如果他们按照他的要求向他付款,他就不会采取进一步的行动。他还指责A1没有充分保护用户数据。
在宣布之前,他们没有通知我,也没有回答我的问题。我的 150 ETH 请求没有填写。差不多过去了 48 小时,我给了他们 72...
黑客
与此同时,克罗地亚通讯专家,杜罗·拉布拉 (Đuro Labura),RTL 门户网站评论* 他认为屈服于勒索不是一个好主意,因为这是对其他有类似意图的人的邀请。
2 月 10 日晚上 11 点,黑客通过 Index.hr 发出最后警告——表示他将在公开数据库之前再给 A1 20 分钟的时间。
结语
72 小时过去后,黑客再次联系 Index.hr,告知他们他已经发布了数据。当被要求提供证据时,他再也没有回复或联系他们。尽管如此,从他的消息中可以明显看出,他从未收到过 150 以太坊的赎金。
克罗地亚数据保护机构目前正在调查 A1 是否采取了一切可能的措施来保护其用户的数据。如果他们发现任何失误,A1 的收费可能超过 1000 万美元*据广播公司 HRT 称,这一比例相当于一家公司全球年收入的 2%。如果发生这种情况,那么所有受影响的用户也可以单独起诉该公司,但他们必须能够证明自己在经济(或情感)上受到了损害,克罗地亚律师兼电信领域用户权利专家 Dijana Kladar 解释道。
虽然 A1 仍然坚信自己的说法,即没有理由担心,因为该公司只收集和存储基本的用户数据(据称),据他们称,这些数据不会轻易被滥用,但 ProPrivacy 的我们还远没有放心。毕竟我们见过这样的案例造成重大伤害的威胁行为者数据显着减少。
确保安全
由于我们目前所处的社交媒体环境,仅根据几条基本信息就可以轻松地了解一个人的几乎所有信息。对于熟练的威胁行为者来说,仅姓名和地址就足以做出难以想象的错误行为。更不用说,在克罗地亚,可疑的在线转换器过去已经发生过,将一种类型的敏感数据转变为另一种类型,例如 OIB 转变为JMBG。
因此,我们想再次提醒我们的读者,要非常注意小心处理个人数据。请记住,即使是值得信赖的机构和公司(例如您的 ISP)也常常喜欢收集超出其业务所需的更多有关我们的信息。有足够的信心质疑他们的意图和方法并限制他们的窥探尝试。因为这样,当/如果发生这样的情况时,您的担忧就会大大减少。
* 来源为克罗地亚语