Firma Revolut poinformowała o wykryciu cyberataku na jej infrastrukturę w wyniku czego w ręce przestępców trafiły dane dotyczące około 50 tysięcy użytkowników tej usługi, w tym również mieszkańców UE. Biorąc pod uwagę fakt, że Revolut ma na całym świecie około 20 milionów klientów atak dotknął zaledwie 0,16% z nich. Firma twierdzi, że w ręce cyberprzestępców trafiły dane osobiste użytkowników, takie jak imię, nazwisko, numer konta, oraz numer telefonu. Bezpieczne są natomiast szczegóły transakcji czy numery PIN kart kredytowych oraz same środki zgromadzone na koncie.
Atak miał miejsce we wrześniu, a Revolut już wyizolował grupę poszkodowanych osób i w tej chwili rozpoczął akcję informowania ich o tym zdarzeniu. Pozyskane informacje nie pozwolą na szczęście na bezpośrednią kradzież środków z kont klientów, ale mogą zostać użyte w akcjach związanych z phisingiem i rozsyłaniem tzw. scamu.
W całej sprawie najciekawszy jest wektor ataku, którego użyli przestępcy. Otóż tym razem nie przełamano zabezpieczeń w infrastrukturze sieciowej, tylko skorzystano z technik socjotechnicznych. Na ich drodze włamywacze pozyskali dane dostępowe jednego z pracowników Revoluta i korzystając z jego uprawnień zassali z systemu wszystkie możliwe do pobrania dane.
K O M E N T A R Z E
Najsłabsze ognowo zawiodło (autor: Qjanusz | data: 19/09/22 | godz.: 15:25) Instytucje finansowe właśnie robią przegląd swoich systemów IT
at 1 (autor: bajbusek | data: 19/09/22 | godz.: 15:50) nie myl revoluta z instytucjami finansowymi bo padam ze śmiechu :D
Instytucje finansowe, np BANKI w odróżnieniu od revoluta maja wydziały cyber security ... to raz.
A dwa ich aplikacje są tak napisane żeby nie dało się wyciągnąć na raz dużęj liczby danych.
Jak ktoś z Was trzyma większą kasę na revolucie to współczuję beztroski ... ja tam więcej jak 1000 euro nie pierdoły nie trzymam.
@bajbusek (autor: Qjanusz | data: 19/09/22 | godz.: 19:46) Wierzę że mają taki department.
Ja osobiście na revolucie trzymam okrągłe 0
Zasilam dokładnie taką kwotą, jaką za chwilę wydam jednorazową kartą
@Qjanusz (autor: bajbusek | data: 19/09/22 | godz.: 22:38) nie maja dep CS bo nie maj seojego banku - podkupuja konta w innym banku, analogia do mobile vikings w playu …
Natomiast to, że instytucje finansowe są prawnie (w PL m.in. prawo bankowe, ustawa o usługach płatniczych, PSD2, wytyczne EBA, KNF) i umownie (np. VISA Core Rules -> PCI DSS) zobowiązane do stosowania odpowiednich mechanizmów kontrolnych zwiększające odporność na cyberataki nie oznacza niestety, że ta odporność jest całkowita. Przy odpowiedniej ilości zainwestowanego czasu i pieniędzy można znaleźć luki w zabezpieczeniach każdej organizacji, z wojskowymi włącznie - np. amerykański DoD od 2016 zarejestrował na H1 ponad 23 tysiące zgłoszeń: https://hackerone.com/...fdefense?view_policy=true
Choć najsłabszym ogniwem w organizacjach z sensownie zaprojektowanymi systemami w praktyce najczęściej i tak będzie pracownik. Może sobie być po świeżo szkoleniu cyber, może sobie nawet mieć zachwalany (skądinąd słusznie) przez Koniecznego klucz U2F, ale jak niedawno Mitnick na KB4-CON pokazywał - są sposoby i na to. Jak masz dobrze zaprojektowany spear phishing, to wystarczy chwila nieuwagi pojedynczego pracownika, i stacja robocza może być już pod kontrolą atakującego - i technicznie masz już włamanie (nawet jeśli skutki były stosunkowo niegroźne, typu dostęp do ograniczonej ilości danych 0.16% klientów).
@03
Dobra praktyka w odniesieniu do każdego konta, do którego jest przypięta jakaś karta płatnicza - większe środki powinno się trzymać na kontach, z których karta nie może nic pociągnąć. Najlepiej kasę trzymać w kilku różnych bankach, i w kilku różnych krajach. A jak mamy większą kasę i/lub dobrze rozwiniętą paranoję, to warto też zdywersyfikować stronę klienta - żeby np. kompromitacja jednego komputera / telefonu nie oznaczała automatycznego przejęcia wszystkich kont.
@05 (autor: bajbusek | data: 20/09/22 | godz.: 17:01) masz konto w revolut ?
Ja mam ... numer zaczyna sie od LT60 i jest to jakis bank na Litwie ... tak więc ...
@05 (autor: bajbusek | data: 20/09/22 | godz.: 17:05) a przepraszam .. sprawdziłem - teraz przedstawiaja się jako Revolut, bank na Litwie ... jeszcze jakis czas temu to był inny bank.
Rzeczywiscie, zostali bankiem po kilku latach działalności ....
D O D A J K O M E N T A R Z
Aby dodawać komentarze, należy się wpierw zarejestrować, ewentualnie jeśli posiadasz już swoje konto, należy się zalogować.
