奧地利最大的互聯網服務提供商 A1 Telecom 於 2 月 8 日星期二遭遇重大數據洩露。攻擊背後的威脅者要求 50 萬美元以太坊72小時之內,否則他將公佈數據。
A1是一家在克羅地亞及該地區運營的移動網絡,據克羅地亞當地報紙報導,索引.hr*,該漏洞影響了大約 10% 的網絡用戶 – 包括姓名、地址、電話號碼和個人識別號碼(OIB) 非法搶奪。
受害者要求賠償
聲稱闖入 A1 系統的黑客已通過電子郵件聯繫多家媒體,通報情況。在給 Index.hr 的電子郵件中,他聲稱自己已經破壞了整個電信系統。他表示,他甚至將部分用戶數據庫轉發給 A1 作為違規證據。然而A1卻沒有反應。
在他的向 RTL.hr 提交書面報告*,黑客提供了他的操作的更多細節。據他稱,A1 在至少 6 到 7 天的時間裡就完全意識到了這次黑客攻擊,但沒有採取任何行動。 “他們甚至懶得更改我用來訪問他們的 (A1) 工具的代理帳戶的密碼”。據稱,只有在“擺弄”他們的工具並提取個人數據一個多星期後,A1 才做出了任何回應。
與此同時,許多受害者要求 A1 支付他的要求——50 萬美元的加密貨幣——這樣他們的數據就不會被洩露。許多當地企業主對敏感數據(主要是 OIB)被濫用表示擔憂。其中一位說:
這是官方電子郵件,官方公司 OIB,您可以使用它來訂購任何類型的服務。您可以訂購一台 10,000 HRK(約 1,500 美元)的移動設備。我不想考慮這些危險,然後發生這樣的事情,你就別無選擇。
A1回應稱,被盜數據不超過其網絡內所有用戶總數的10%,這些數據主要包括姓名、地址和電話號碼。他們表示,沒有理由擔心,因為“您仍然需要更多的數據來訂購任何服務”。 A1 企業傳播總監 Dubravka Štefanac Vinovrški 表示,用戶無需採取任何行動,因為 A1 已經採取了必要的安全措施,例如更改所有用戶的密碼。
最後一次警告
在 Index.hr 門戶向黑客發送電子郵件並詢問他的請求結果後,他表示 A1 沒有回复他的任何電子郵件,包括發送給公司內部高級官員的電子郵件。隨後他提醒A1,72小時後,他會將數據庫公開。但如果他們按照他的要求向他付款,他就不會採取進一步的行動。他還指責A1沒有充分保護用戶數據。
在宣布之前,他們沒有通知我,也沒有回答我的問題。我的 150 ETH 請求沒有填寫。差不多過去了 48 小時,我給了他們 72...
駭客
與此同時,克羅地亞通訊專家,杜羅·拉布拉 (Đuro Labura),RTL 門戶網站評論* 他認為屈服於勒索不是一個好主意,因為這是對其他有類似意圖的人的邀請。
2 月 10 日晚上 11 點,黑客通過 Index.hr 發出最後警告——表示他將在公開數據庫之前再給 A1 20 分鐘的時間。
結語
72 小時過去後,黑客再次聯繫 Index.hr,告知他們他已經發布了數據。當被要求提供證據時,他再也沒有回复或聯繫他們。儘管如此,從他的消息中可以明顯看出,他從未收到過 150 以太坊的贖金。
克羅地亞數據保護機構目前正在調查 A1 是否採取了一切可能的措施來保護其用戶的數據。如果他們發現任何失誤,A1 的收費可能超過 1000 萬美元*據廣播公司 HRT 稱,這一比例相當於一家公司全球年收入的 2%。如果發生這種情況,那麼所有受影響的用戶也可以單獨起訴該公司,但他們必須能夠證明自己在經濟(或情感)上受到了損害,克羅地亞律師兼電信領域用戶權利專家 Dijana Kladar 解釋道。
雖然 A1 仍然堅信自己的說法,即沒有理由擔心,因為該公司只收集和存儲基本的用戶數據(據稱),據他們稱,這些數據不會輕易被濫用,但 ProPrivacy 的我們還遠沒有放心。畢竟我們見過這樣的案例造成重大傷害的威脅行為者數據顯著減少。
確保安全
由於我們目前所處的社交媒體環境,僅根據幾條基本信息就可以輕鬆地了解一個人的幾乎所有信息。對於熟練的威脅行為者來說,僅姓名和地址就足以做出難以想像的錯誤行為。更不用說,在克羅地亞,可疑的在線轉換器過去已經發生過,將一種類型的敏感數據轉變為另一種類型,例如 OIB 轉變為JMBG。
因此,我們想再次提醒我們的讀者,要非常注意小心處理個人數據。請記住,即使是值得信賴的機構和公司(例如您的 ISP)也常常喜歡收集超出其業務所需的更多有關我們的信息。有足夠的信心質疑他們的意圖和方法並限制他們的窺探嘗試。因為這樣,當/如果發生這樣的情況時,您的擔憂就會大大減少。
* 來源為克羅地亞語