Kompromitovani su podaci jednog dela korisnika mreže A1 u Hrvatskoj, prilikom upada u sistem podataka uprkos postojećim bezbednosnim merama.
„Nažalost, unatoč naprednim mjerama zaštite i stalnim podizanjem razine sigurnosti dogodio se sigurnosni incident povezan s jednom od baza korisničkih podataka kojim je kompromitiran dio osobnih podataka dijela A1 korisnika“, rekli su iz A1. Krađom podataka, kako su naveli, obuhvaćeno je oko 10 posto ukupnog broja korisnika te mreže.
Pretpostavlja se kako bi se moglo raditi o najmanje 100.000 korisnika, no to je tek prva procena i to, kako se čini, prema onome što je haker dosad objavio kao dokaz da je podatke zaista i ukrao. U najgorem scenariju moglo bi se raditi o znatno većem broju korisnika. Iz A1 naveli su i kako su Policijskoj upravi u Zagrebu podneli prijavu i da je kriminalističko istraživanje u toku.
Objavljeno je i koji podaci su kompromitovani
„Intenzivno se radi na utvrđivanju svih činjenica vezanih uz sigurnosni incident te je do sada računalnom forenzikom utvrđeno da su potencijalno kompromitirani podaci manje od 10 posto A1 korisnika. Izloženi podaci su ime i prezime, adresa, OIB te broj telefona. Naglašavamo da informacije o bankovnim karticama i računima nisu kompromitirane jer nisu dostupne u navedenoj bazi podataka. Sve korisnike čiji su osobni podaci potencijalno kompromitirani ćemo izravno obavijestiti“, dodaju.
Haker ucenjuje, policija reaguje
Osoba koja se predstavila kao haker koji je izvršio upad u sistem A1 o svemu je e-mailom obavestio nekoliko medija među kojima je i Index. U tom emailu izneo je tvrdnju da je izvršio upad u čitavu bazu podataka A1 korisnika i da je u A1 kao dokaz poslao samo deo tog popisa. Listu korisnika ili samo njen deo priložio je i u mailu medijima. Kako je Indexu neslužbeno potvrđeno haker je ucenio tu kompaniju nakon što im je provalio u sistem podataka. Tražio je novac u kriptovalutama i to u vrednosti od oko pola miliona dolara.
Prema saznanjima, policija je postupila krajnje ozbiljno u ovom slučaju, ne samo zbog ucene u kojoj se iznuđuje značajna financijska korist, nego i zbog toga što se radi o velikoj količini ličnih podataka korisnika. Naime, postoji opravdani strah kako bi se lični podaci mogli iskoristi za prodaju na dark tržištu a posebno za krađu identiteta.
Da li će podaci završiti na dark webu?
Haker je napisao da će, ako A1 ne ispuni njegove zahteve, objaviti podatke na više hakerskih i darknet foruma besplatno. Optužio je A1 da nije vodio računa o bezbednosti te je izjavio da nije ni bio potreban pravi haker da probije ranjivost koja je postojala u sistemu. A1 operatora je optužio i da u 24 sata od njegovih mailova koje je, kako je rekao, poslao na niz adresa, uključujući i visokorangirane osobe u kompaniji, nije korisnike obavestio o krađi podataka.
U podacima koje je poslao kao dokaz upada u sistem, osim imena, prezimena, JMBG-a i adrese, nalaze se podaci i o korišćenju A1 usluga i broj ugovora.
Oglasio se HAKOM
Iz HAKOM-a su kazali da iz prijave A1 Hrvatska, proizlazi da je na nekoliko službenih e-mail adresa taj telekom zaprimio e-mail poruku od strane nepoznatog pošiljaoca u kojoj navodi da je A1 Hrvatska d.o.o. bio žrtva hakerskog napada, te tvrdi da je u posedu određene baze njihovih korisnika (oko 10 posto). „A1 navodi i da je preliminarnom analizom podataka na navedenim linkovima utvrđeno da se radi o oko 100.000 profila korisnika sa sljedećim korisničkim podacima – ime i prezime, adresa, OIB, MSISDN, tarifna opcija“, ističu iz HAKOM-a dodajući da je A1 podneo prijavu zagrebačkoj Policijskoj upravi i obavestio Agenciju za zaštitu osobnih podataka (AZOP).
A1 mora obavestiti korisnike čiji su lični podaci kompromitovani
Napominju još i da A1 Hrvatska o tome ima obvezu obavestiti sve korisnike čiji su podaci izloženi i ugroženi ali i da ne mora obavestiti korisnike samo ako su bile primenjene tehnološke mere zaštite koje lične podatke čine nerazumljivim u slučaju neovlašćenog pristupa.
Vesna Gašpar, stručnjak iz sektora komunikacionih usluga HAKOM-a, rekla je za HRT kako HAKOM u ovom trenutku ne zna da je li A1 Hrvatska preduzeo sve bezebdnosne mere kako bi zaštitio svoje korisnike: „To će se sad sve analizirati – je li A1 implementirao tehničke i sigurnosne mjere u svrhu zaštite osobnih podataka. Zasad nemamo ništa više informacija osim onoga o čemu je dosad A1 Hrvatska objavio javnosti“, rekla je Gašpar.
Zbog ovoga ne možete raskinuti ugovor sa A1
Dodala je kako postojeći zakon nije predvideo raskid ugovora korisnika s operaterom bez penala u ovim slučajevima.
„Kako se radi o kompromitiranju osobnih podataka, za to je nadležna Agencija za zaštitu osobnih podataka (AZOP) pa će oni u svom djelokrugu poduzeti određene mjere. Ono što je bitno je da je A1 već komunicirao da se dogodio incident i da će svi korisnici biti obaviješteni o tome. Čekamo dodatne informacije od strane A1 i analizu njihovih implementiranih tehničkih i sigurnosnih mjera. Nakon toga uslijedit će određeni postupci prema A1. Prvenstveno se treba raditi na tome da se ubuduće ne dogodi ovako nešto. U slučaju da je došlo do ozbiljne povrede zakona postoji određena penalizacija operatora“, naglasila je Gašpar.
Rakar: „Ako imaju samo ove podatke, neće biti velike štete“
Iako postoji bojazan kako bi se ukradeni podaci mogli iskoristiti za krađu identiteta, IT stručnjak Marko Rakar kaže da je velika količina ličnih podataka već dostupna na internetu. „Ako imate nekretninu, ti podaci su u nekim registrima, ako ste direktor ili vlasnik neke tvrtke, ti podaci su dostupni i slično. Nije to ugodno, ali ako su iscurili podaci za koje A1 kaže da jesu, onda neće biti osobite štete“, kaže Rakar.
„Mail adrese i korisničke račune mogu pokušati kompromitirati, ali to ne znači da su već pokušali. Oni se ako imaju mail adrese mogu pokušati ulogirati, ali nemaju lozinke“, kaže Rakar.
Teško je prema dostupnim podacima reći kako je došlo do napada, ali mogu se pretpostaviti dve mogućnosti: „Proboj se najvjerojatnije dogodio prema nekoj njihovoj aplikaciji prema korisnicima, a koja je izložena prema internetu. Može biti neki sustav koji njihova korisnička podrška koristi za kontaktiranje korisnika ili sustav koji koriste njihovi dućani i partneri za prodaju, aktiviranje ugovora ili slično. Nema dovoljno informacija, ali pretpostavljam da bi moglo biti nešto od ovog“, kaže Rakar.