Vodafone UK musiało w weekend poinformować o incydencie związanym z bezpieczeństwem, w którym ujawniono 1827 kont klientów. Jest to drugi tego typu incydent w Wielkiej Brytanii w krótkim czasie - po "poważnym, długotrwałym cyberataku" na TalkTalk.

Według własnych informacji Vodafone skontaktował się z zainteresowanymi klientami. Jak dotąd wiadomo tylko, że obcy mogą uzyskać dostęp do nazwisk, numerów telefonów komórkowych, kodów bankowych i części numeru konta.

Chociaż szczegóły dotyczące Vodafone są wciąż odległe, sprawa TalkTalk dokonała trzeciego aresztowania w ten weekend. 20-letni podejrzany został aresztowany w Staffordshire po dwóch nastolatkach (jeden z Londynu, drugi z Irlandii Północnej). Wygląda więc na to, że był to skoordynowany atak, a nie akt samotnika.

TalkTalk pierwotnie ogłosił, że możliwe było uzyskanie dostępu do danych wszystkich 4 milionów klientów. W zeszły piątek zredukował liczbę do 1,2 miliona, których adresy e-mail, nazwiska i numery telefonów były przeglądane. Obejmują one 21 000 przypadków, w których przeglądano numery kont, w tym kod banku, a także 28 000 danych karty kredytowej.

TalkTalk przeprosił użytkowników. Osoby poszkodowane otrzymują roczny monitoring konta przez firmę Noddle. Detektyw nadinspektor Jayne Snelgrove pochwalił podejście TalkTalk – „potrafiło to zrobić, zwracając naszą uwagę na tę sprawę tak szybko, jak to możliwe”.

Jednak wielu klientów TalkTalk widzi to zupełnie inaczej, a niezależny badacz bezpieczeństwa Graham Cluley zgadza się z nimi. Na przykład nie ma zwrotu kwot pobranych z konta bankowego przez przestępców, jeśli klient TalkTalk sam dostarczył jakieś informacje. Strategia oszustów polega jednak na zadzwonieniu do klienta z danymi wykradzionymi z TalkTalk i nakłonienie go do ujawnienia dalszych danych. Jeśli klient zostanie zaskoczony takim oszustem, który zna przynajmniej numer swojego konta i numer telefonu komórkowego, to przynajmniej w części można winić TalkTalk.

Cluley narzeka również, że strona nie była zabezpieczona przed wstrzyknięciem SQL i zapisywała dane w postaci zwykłego tekstu. TalkTalk okazał się niewygodny kilka godzin po incydencie, ponieważ oświadczył, że nie jest prawnie zobowiązany do szyfrowania danych karty kredytowej, a jedynie do zapewnienia „odpowiedniego” zabezpieczenia.

[z materiałem od Katie Collins, News.com]

Znaczenie systemu Windows 10 dla nowoczesnego biznesu