Adatlopás az Orange cégnél!

Pár napja vált nyilvánossá, hogy ismeretlenek megszerezték az Orange cég francia felhasználói mintegy 3%-ának, azaz nagyjából 800.000 személynek az adatait.

Az eddigi hírek és az elvesztett adatmennyiség alapján a támadás jó eséllyel SQL injection alapú volt, amely a céges honlap "My accounts" oldalának adat szivárogtatási sérülékenységét használta ki.
Az Orange cég érintett oldala azóta nem elérhető, a sérülékenység vizsgálata folyamatban van.

A cég szóvivője szerint az eltulajdonított adatok elsősorban 'phishing' támadások alapjául szolgálhatnak, így ügyfeleiket fokozott figyelemre intette, azaz semmiképpen ne adják ki személyes adataikat egy nem megbízható forrású email-ben vagy egy abban elhelyezett linkre kattintva.
Megtudtuk azt is, hogy a cég kapcsolatba lépett az érintett felhasználókkal és az ügyfeleknek ez ügyben nincs más tennivalójuk.

Mit lehet erre mondani? Ez sajnos nem az első eset, hogy egy nagy cég megkísérli csökkenteni a felelősségét hasonló ügyekben.
Honnan tudja egy átlagos ügyfél, melyik linkek megbízhatóak, főleg, ha a kapott e-mail tartalmazza majd minden személyes adatát (pl. név, cím, számlaszám) és pont ezáltal nagyon hihetőnek tűnik majd?
De lépjünk túl ezen, ’best practice’ alapon megközelítve, nézzük, mit tehetett volna az Orange a fenti kommunikáció helyett.

Például felajánlhattak volna az ügyfeleknek egy 1 éves ingyenes tranzakció monitorozást a gyanús események kiszűrésére, ingyenes adatlopás elleni biztosítást, esetleg ingyenes anti-phishing vagy antívírus alkalmazást, nem utolsósorban pedig az esetre fókuszáló telefonos ügyfélszolgálatot. Persze, mindennek a költségvonzata már jóval magasabb, mint egy semmitmondó nyilatkozaté.

A hangsúly persze itt is a megelőzésen lett volna, ismét bebizonyosodott, hogy elengedhetetlen valamennyi publikus, személyes adatokat kezelő web alkalmazásra a rendszeres penetration teszt elvégzése, legalább évente egyszer vagy nagyobb változtatások után.
Ha pedig a baj megtörtént, legalább legyen egy hatékony incidens választervünk, amely képviseli az ügyfelek érdekeit is és nem hagyja őket magukra. Ilyen méretű cégek számára nem bocsátható meg a hasonló viselkedés, nem beszélve az esetleges következmények nélküliségről.


Kiemelt tudásbázisaink


Ismerje meg a Qualys integrált biztonsági megoldásait!

Tovább »
_________________________________
Tudjon meg többet a PCI DSS megfelelésről!

Tovább »
Minősítéseink
Kiemelt partnereink





© AperSky Tanácsadó Kft. - 2012.