RODO okiem hackera! Praktyczne szkolenie od sekuraka z ochrony danych osobowych. Zapisz się tutaj.

Revolut, kolejny startupowy gigant zhakowany!

18 września 2022, 16:15 | W biegu | komentarzy 11
Tagi: ,

O sprawie na razie niewiele wiadomo, poza tym, że do incydentu prawdopodobnie doszło przed atakiem na Uber, a dokładnie 11 września. Pierwszą informację opublikował red. Ben Martin z serwisu New York Times po dotarciu do zawiadomienia Państwowej Inspekcji Ochrony Danych na Litwie, czyli VDAI – instytucji powołanej i działającej zgodnie z Rozporządzeniem 2016/679, czyli GDRP (nasze RODO).

Rys. 1. Strona z powiadomieniem Litewskiego VDAI o wszczęciu postępowania, źródło.

Z przedstawionego publicznego komunikatu wynika, że zgodnie z obowiązującym prawem, spółki Revolut czyli UAB “Revolut Bank” oraz UAB “Revolut Insurance Europe” same zgłosiły zawiadomienie do VDAI o naruszeniu danych osobowych. Dla porównania w Polsce, w ciągu 72 godzin od incydentu, również musimy dokonać samozgłoszenia, więc sprawa ma charakter poważny.

Według informacji wstępnych, dostęp do bazy Revoluta uzyskano za pomocą metod socjotechniki. Po zauważeniu incydentu zespół bezpieczeństwa Revolut podjął natychmiastowe działania w celu wyeliminowania dostępu atakującego do danych klientów firmy i powstrzymania dalszej eskalacji ataku. Podczas incydentu mogły zostać naruszone dane 50 150 klientów z całego świata (a w tym 20 687 w Europejskim Obszarze Gospodarczym). Ponad 50 tys. klientów stanowi 0,16% wszystkich klientów Revoluta. Dane które na pewno wyciekły to: nazwiska, adresy pocztowe, e-mail, numery telefonów, a także dane kart płatniczych i pozostałe dane klienta na koncie. Revolut powiadomił VDAI, że firma skontaktowała się bezpośrednio z konkretnymi klientami, których poufność danych osobowych została naruszona podczas incydentu (np. na Litwie takich klientów jest 379, ale nie wiemy ile w Polsce na ten moment).

Revolut obecnie kontynuuje dochodzenie w sprawie incydentu cybernetycznego i naruszenia danych osobowych. Jednocześnie zaznaczając, że ​​w związku z incydentem nie będzie dzwonił, wysyłał SMS ani nie prosił o dane logowania czy kody dostępu, więc wszelkie próby kontaktu należy traktować z podejrzliwością.

Korelacja czasowa utworzonych wątków jak ten i ten na portalu Reddit w którym użytkownik zauważył dziwne zachowanie aplikacji, potwierdza, że do włamania doszło 11 września. Wielu użytkowników następnie komentowało, że zauważyli podobne zachowanie, a także mieli wiele próśb o autoryzację (zarówno w aplikacji jak i SMS). 

Jeżeli jesteś klientem Revoluta i nie dostałeś oficjalnego komunikatu, to na ten moment nie ma obaw o Twoje fundusze. Jeżeli komunikat dostałeś, to najpierw sprawdź dwa razy czy na pewno nie jest to próba ataku phishingowego na Ciebie lub Twoich bliskich. Jeżeli nie wiesz jak mogą wyglądać najnowsze próby, obejrzyj nasze najnowsze nagrania “Jak nie dać się cyberzbójom 2.0” dostępne po rejestracji na tej stronie. Jak potwierdzisz, że komunikat jest prawidłowy to powinieneś postępować według kroków Help Center na tej stronie

Czekamy na oficjalny komunikat Revoluta i jak zawsze o rozwoju sytuacji będziemy informować na bieżąco. 

Aktualizacja (18.09)

Otrzymaliśmy oficjalny komunikat Revolut w sprawie incydentu i publikujemy jego pełną treść:

Revolut doświadczył niedawno wysoce ukierunkowanego cyberataku. W efekcie, nieupoważniona osoba trzecia uzyskała na krótki czas wgląd do danych niewielkiego odsetka (0,16%) naszych klientów. Błyskawicznie zidentyfikowaliśmy i wyizolowaliśmy atak, by radykalnie ukrócić jego zasięg, i skontaktowaliśmy się z klientami, których dotyczy.

Trzeba wyraźnie zaznaczyć, że nie skradziono żadnych funduszy, ani nie uzyskano do nich dostępu. Środki naszych klientów były i są bezpieczne. Wszyscy klienci mogą korzystać ze swoich kart i kont w sposób normalny. Tego rodzaju incydent traktujemy niezwykle poważnie. Klientów, których dotknął najmocniej przepraszamy. Bezpieczeństwo danych klientów pozostaje najwyższym priorytetem w Revolut.

W bezpośredniej komunikacji z Revolut możemy jeszcze dodać od siebie, że:

– Zespołowi udało się szybko wykryć i wyizolować atak, przez co zasięg został diametralnie ucięty.

– Atak dotyczył 0,16% klientów (potwierdzona informacja).

Żadne fundusze nie zostały ukradzione, nikt nie uzyskał do nich dostępu. Środki klientów pozostają bezpieczne.

Niezwłocznie zostało uruchomione szczegółowe dochodzenie, Revolut współpracuje z Biurem Komisarza ds. Informacji, organami regulacyjnymi, których nadzorowi podlegają. Bez zwłoki firma zastosowała się do wszystkich zobowiązań regulacyjnych wynikających z tej sytuacji i będą postępować w zgodzie z nimi aż do zakończenia dochodzenia.

– Klienci, których zdarzenie dotyczy, zostali przeproszeni i zapewnieni, że nie muszą podejmować żadnych działań. Zamiast tego, Revolut poprosił o wyczulenie pod kątem podejrzanej aktywności, dziwnych maili, połączeń telefonicznych lub wiadomości tekstowych.

– Zostały wprowadzone dodatkowe zabezpieczenia na kontach klientów dotkniętych zdarzeniem, jako środek ostrożności by upewnić się, że ich dane i fundusze zostają bezpieczne. 

Niestety, firmy są dziś pod stałą presją i ryzykiem cyberataków. Zabezpieczamy się przed nimi. W razie wystąpienia, jesteśmy zawsze gotowi je zwalczać.” – jak czytamy.

Czekamy więc na ewentualny opis wektora ataku lub dalsze informacje.

~tt

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. FanKA

    Czy cyberatak można nazywać niekompetencje pracowników proszących się o kłopoty? Tym bardziej pracowników „banku”?

    Odpowiedz
    • Tomasz Turba

      Niestety tak. Socjotechnika, phishing i ich wariacje od zarania dziejów są najlepszą techniką ataku. Firmy współcześnie radzą sobie z tym jedynie regulaminami i odpowiedzialnością osoby, a działy IT dążą do minimalizacji impaktu i eskalacji takiego zagrożenia.

      Odpowiedz
      • prost

        Są rozwiązanie, które praktycznie eliminują fishing. Revolut i Uber powinny wziąć przykład z Google oraz BNP Paribas Polska, które zabezpieczyły wszystkie swoje aplikacje poprzez klucze U2F i biometrię. Wtedy nie doszłoby do tych incydentów.

        Google defends against account takeovers and reduces IT costs
        https://www.yubico.com/resources/reference-customers/google/

        Najkrótsza ścieżka do Zero Trust Security
        https://secfense.com/pl/
        „Zabezpiecz całą organizację za pomocą uwierzytelniania FIDO2 lub dowolnej innej metody uwierzytelniania wieloskładnikowego. Uwolnij firmę od haseł i zastąp je uwierzytelnianiem MFA na wszystkich swoich aplikacjach.”

        Secfense Case Study | BNP Paribas Polska | Jak wprowadzić MFA w całej organizacji
        https://www.youtube.com/watch?v=gXQ-MIJSySU

        Odpowiedz
        • „BNP Paribas Polska, które zabezpieczyły wszystkie swoje aplikacje poprzez klucze U2F (…)” – bankowość elektroniczną również? ;-)

          Odpowiedz
          • prost

            Sekurak na pewno się domyślił, że chodziło mi o aplikacje używane przez pracowników Google oraz BNP Paribas Polska.
            Co do używania kluczy bezpieczeństwa w bankowości internetowej i mobilnej to są już przykłady wdrożeń:
            1) Banco Ganadero z Boliwi – Yubikey OTP,
            2) Morgan Stanley,
            3) Bank of America,
            4) KeyBank z USA,
            5) Boursorama Banque z Francji – FIDO2
            Problem z kluczami bezpieczeństwa w bankowości jest taki, że ta metoda autoryzacji nie daje możliwości sprawdzenia szczegółów zlecanego przelewu i dlatego nie spełnia wymogów PSD2.

          • Ale mówimy tutaj na początek o logowaniu do bankowości (uwierzytelnienie, nie autoryzacja).

          • prost

            RE: Ale mówimy tutaj na początek o logowaniu do bankowości (uwierzytelnienie, nie autoryzacja).

            Bank of America umożliwia tylko autoryzację kluczami U2F. Chodzi o to aby osoby, które mieszkają poza zasięgiem sieci komórkowej miały jak zautoryzować przelewy.
            Z informacji, które znalazłem Morgan Stanley umożliwia za pomocą kluczy uwierzytelnienie podczas logowania do bankowości internetowej i mobilnej oraz autoryzację przelewów.
            W USA nie muszą się przejmować PSD2.

  2. Kamil

    A co z PCI DSS ? Tokenizacja numerów ich nie obowiązuje ?

    Odpowiedz
    • Tomasz Turba

      Z pewnością. Dlatego musimy poczekać na rozdźwięk / oficjalne stanowisko.

      Odpowiedz
  3. M.

    >firma skontaktowała się bezpośrednio z konkretnymi klientami
    >że ​​w związku z incydentem nie będzie dzwonił, wysyłał SMS (…) więc wszelkie próby kontaktu należy traktować z podejrzliwością.

    taaaak

    Odpowiedz
    • Tomasz Turba

      Genialne, widać, że umią w Incident Response.

      Odpowiedz

Odpowiedz