Rekonstruáltuk, hogyan történhetett a Simple-fiókok tömeges feltörése

December 5-én, kedden este több ezer Simple-felhasználó kapott értesítést arról, hogy valaki belépett a fiókjába, és megváltoztatta a kapcsolattartó emailcímet. Bár anyagi kár végül senkit nem ért, nagy volt az ijedtség a felhasználók között – jogosan, hiszen ilyen jellegű, ennyi embert érintő incidens, ennyire népszerű alkalmazásnál, ahol az emberek ráadásul online fizetéseket is intéznek, még nem nagyon történt Magyarországon. Az események rekonstruálásában Csányi Péter, az OTP Bank vezérigazgató-helyettese, a bank digitális divíziójának vezetője volt segítségünkre, így első kézből származó információk alapján vonhatjuk le a tanulságokat az esetből.

Bár az eset kipattanása után az kezdett el terjedni, hogy „feltörték a Simple-t”, szerencsére nem ez történt, az akció kiindulópontja egy máshonnan származó felhasználói adatbázis volt. „A bűnözők megszereztek egy nagyobb, máshonnan lopott, digitális belépési adatokat tartalmazó adatbázist, és ennek a felhasználásával, robotizált módszerrel megpróbáltak egyszerre minél több Simple felhasználói fiókba bejutni. Azokban az esetekben jártak sikerrel, ahol a Simple felhasználónév-jelszó kombináció ugyanaz volt, mint a máshonnan ellopott belépési adatok. Amelyik felhasználói fiókba be tudtak jutni, ott megváltoztatták a kapcsolattartási emailcímet, feltehetőleg azzal a céllal, hogy azon keresztül eltereljék a szolgáltató és a felhasználó közötti kommunikációt. Megpróbáltak egyéb változtatásokat is véghez vinni, de ezek nem voltak sikeresek.”

Itt rögtön levonhatunk egy fontos tanulságot. Bármennyire is kényelmes, nem jó ötlet több online szolgáltatásnál is ugyanazt a jelszót használni, mert így, ha egy helyről ellopják a felhasználói adatokat, rögtön sérülékennyé tesszük magunkat más alkalmazásoknál is. Ahogyan most a gyakorlatban is láttuk, az ilyen adatbázisok lopására irányuló kibertámadások egyik célja az, hogy a megszerzett felhasználónév-jelszó párosokat próba-szerencse alapon más szolgáltatásoknál is kipróbálják az online bűnözők – és most láthattuk, hogy ennek mi lehet az eredménye.

4300 áldozat, 3 millió megúszta

Az OTP tájékoztatása szerint a támadás 4300 Simple-fióknál járt sikerrel, ami soknak hangzik, de ha a több mint 3 millió regisztrált felhasználóhoz mérjük, azt látjuk, hogy alig több mint az egy ezreléküket érintette. A Simple azért lehetett csábító célpont a támadóknak, mert kártyás tranzakciókat lehet indítani a rendszerből. „A bankkártyaadatokhoz nem tudnak hozzáférni, azokat titkosítva és egy nagyon szigorú szabvány szerint tároljuk. Az emailcímekhez jutottak hozzá, és emellett egyes esetekben a felhasználó nevét vagy telefonszámát, esetleg a címét tudhatták meg” – mondja Csányi Péter.

Hogy honnan jutottak a támadók az adatbázishoz, amit felhasználtak a támadáshoz, egyelőre rejtély. Több pletyka is elkezdett keringeni online, de mivel az OTP hivatalos tájékoztatása szerint semmilyen információjuk nincs arról, mi lehetett a jelszavak eredeti forrása, ezeket nyugodtan lehet alaptalannak tekinteni. Csányi Péter szerint „az köztudott, hogy gyengébb védettségű felületek feltörésével jutnak hozzá a digitális bűnözők ezekhez az adatokhoz, és ezekből képeznek adatbázisokat, amit aztán vagy maguk próbálnak »hasznosítani«, vagy értékesítenek. A felhasználóknak időről időre érdemes ellenőrizniük az erre szakosodott nyilvános weboldalakon, hogy használták-e már az emailcímüket hasonló támadás során.” A Google vagy az Apple rendszeresen szokta értesíteni a saját felhasználóit, ha a náluk regisztrált adataik feltűnnek adatszivárgásokban, ezeket az üzeneteket illik komolyan venni és jelszóváltással reagálni rá. Az elővigyázatossági ellenőrzésekhez használhatjuk például a Have I Been Pwned vagy az Avast Hack Check oldalakat.

Az a hír is elterjedt, hogy már hetek óta zajlik ez a támadás a Simple ellen, de Csányi Péter ezt cáfolja: „Az adatokkal való visszaélés folyamatos jelenség, minden nap több ilyen vagy más módszerrel elkövetett kísérletet látunk. De az ilyen méretű, tömeges visszaélés nem mindennapos, ilyen az elmúlt hetekben, korábban nem volt.” Hogy egy-egy ilyen, nagy visszhangot kapó támadásra hány olyan kísérlet jut, amit a védelmi rendszerek elhárítanak, érthető okokból nem akartak válaszolni az OTP-nél.

Mit tegyen, aki Simple-felhasználó, de nem volt érintett a mostani támadásban?

„A nem érintett Simple-felhasználók esetén a jelszócserét annak javasoljuk az esettől függetlenül is, aki más platformon is azonos jelszót használ, vagy érintett egy korábbi publikus adatszivárgásban az emailcíme. Illetve én magam 2-3 havonta a biztonság kedvéért a fontosabb jelszavaimat lecserélem, mert az ördög nem alszik” – mondja a bank digitális divíziójának vezetője. Aki elővigyázatosságból a kártyáját is letiltatta, annál is van remény, hogy az új kártya költségét visszakapja: „Általánosságban is igaz, hogy ha valaki úgy érzi, hogy a szolgáltatója hibájából kellett kártyát cserélnie, a bejelentését minden esetben megvizsgálják, és ha jogos, akkor meg is térítik a költségét.”

A támadás, úgy tűnik, kedd éjjel véget is ért, szerda reggelre az összes érintett profilt visszaállították, a támadók által megadott emailcímeket eltávolították róluk, és a felhasználók egy kötelező jelszócsere után újra be tudnak lépni. A régi, a támadók által megszerzett és használt jelszavakkal már nem érhetők el a megtámadott Simple-fiókok. „Remélem, hogy hozzájárul a Simple-ügyfelek biztonságérzetéhez, hogy a tömeges belépési kísérletek kedd esti megkezdése után gyorsan blokkoltuk az érintett fiókokat, erről nyilvános tájékoztatást adtunk, majd a következő órákban három, személyre szóló üzenetben osztottuk meg a teendőket, hogy szerda reggeltől ismét működni tudjanak ezek a felhasználói fiókok” – mondja Csányi Péter.

A pánikot kedden este növelte, hogy a telefonos ügyfélszolgálat elérhetetlenné vált – ami persze érthető, hiszen egyik percről a másikra nem lehet sok ezer egyszerre telefonáló ügyfélre felkészülni. Csányi Péter szerint „A Simple telefonos ügyfélszolgálata folyamatosan működött, de a kapacitásai valóban végesek, és egy ilyen eset hamar leköti az összes telefonos munkatársunkat. Az OTP Mobil Kft. ügyfélszolgálata is részt vett a válságstábban, ami az ügyet kezelte, így amikor már volt biztos információnk, akkor nem csak a proaktív tájékoztatásban, hanem a válaszadásokban is egységesen tudtunk kommunikálni. Viszont az, hogy szerintem példásan gyorsan és jól kommunikálva kezelte az OTP Mobil kft. csapata az ügyet, talán még pozitív irányba is befolyásolhatja mind a Simple, mind az OTP megítélését.”