Feltörték a Foxpostot, de a rendőrség elkapta az ellopott adatokkal zsaroló hekkert

Október végén hekkertámadás érte a Foxpostot, a támadó felhasználói adatokhoz is hozzáfért, majd többmilliós váltságdíjat követelt, hogy ne tegye közzé vagy adja el az adatokat. A csomagautomatákat üzemeltető cég a rendőrséghez fordult – értesült a Telex a cégtől független forrásból. Információinkkal megkerestük a Foxpostot, akik elismerték, hogy hekkertámadás áldozatává váltak, de a belső vizsgálatuk alapján kevés felhasználó volt érintett, és az ő adataik sem kompromittálódtak, nem szivárogtak ki vagy kerültek tovább a hekkertől. Feljelentésük után a rendőrség nyomozást indított, és el is fogta az elkövetőt – tették hozzá.

A hozzánk eljutott információk és a cég nekünk küldött válaszai alapján az alábbiak szerint rekonstruáltuk a történteket.

Egy karbantartás ment félre

A Foxpost október 21-én előre bejelentett rendszerfrissítést végzett, amely kétórás tervezett szolgáltatásleállással járt. A későbbi támadást ekkor elkövetett technikai hibák tették lehetővé. „Az illetéktelen behatolásra két, egymástól független és önmagukban nem kritikus biztonsági rés rövid ideig tartó, együttes fennállása adott lehetőséget. A két hiba külön-külön nem tette volna lehetővé az adatokhoz való hozzáférést, együtt azonban ez a lehetőség létrejött, és a támadó ezt tudta kihasználni” – írta a cég.

A hekker október 30-án, a hajnali órákban hatolt be a hálózatba és fért hozzá a Foxpost egyik külső üzemeltetésű szerveréhez, ahonnan felhasználói adatokat lopott. A cég még aznap, október 30. délután kapott zsarolólevelet a hekkertől, aki azt állította, hogy közel egymillió ügyfél adatait szerezte meg, és 400 monero kriptovalutát (mai árfolyamon bő húszmillió forintot) követelt, hogy az adatokat ne tegye közzé vagy adja el, illetve a támadást lehetővé tevő biztonsági rést ne ossza meg másokkal. Úgy tudjuk, bizonyítékul egy linket is küldött, amelyen lopott ügyféladatokat osztott meg a céggel.

A hekker vagy hekkerek a levélben Flor De Loto néven nevezték magukat – árulta el kérdésünkre a Foxpost. Ez spanyolul azt jelenti, lótuszvirág. Megkérdeztük azt is, hányan voltak az elkövetők, és mindenkit elfogtak-e, de a cég ezzel kapcsolatban a rendőrséghez irányított minket.

Rögtön a rendőrséghez fordultak

A cég a levélre nem válaszolt. A követelt váltságdíjnál jóval alacsonyabb összegű próbautalás kifizetése mellett döntöttek a támadók bizalmának elnyerése érdekében, és azonnal értesítették a rendőrséget. Egyúttal vizsgálatot indított a támadás körülményeinek feltárására és a biztonsági problémák elhárítására. A rendőrség a feljelentés hatására nyomozást indított.

„A FoxPost Zrt. álláspontja határozott: nem engedünk a zsarolásnak, semmilyen körülmények között nem fizetünk hekkereknek vagy bármilyen bűnözői csoportnak. Hisszük, hogy a zsarolásnak való engedés nem megoldás, mert fenntartja és ösztönzi a bűnözés ezen formáját” – írta a Telexnek Bengyel Ádám, a Foxpost vezérigazgatója.

A kiberbiztonsági szakértők egyébként azt szokták javasolni a hekkerek áldozatává váló cégeknek, hogy ne fizessék ki a váltságdíjat. Nemcsak azért, mert ezzel a pozitív visszacsatolással motiválnák ezt a bűnözési formát; hanem azért is, mert nincs semmilyen garancia arra, hogy a hekkerek a váltságdíj megkapása után valóban betartják a szavukat.

„Minden szükséges lépést megteszünk az adatok védelme és rendszereink biztonságának garantálása érdekében, és szorosan együttműködünk a hatóságokkal, hogy megvédjük infrastruktúránkat. A rendőrség munkájának köszönhetően a tetteseket elfogták, adatok nem kerültek nyilvánosságra. Az ügyfelek kiszolgálása és az üzletmenet folyamatossága mindvégig zavartalan volt” – tette hozzá Bengyel Ádám.

Kevesebb az érintett, mint a hekker állította

Úgy tudjuk, a hekker a levelében azt írta, hogy közel egymillió felhasználó adatait szerezte meg, de ez erős túlzásnak bizonyult: „A lefolytatott belső vizsgálat arra a megállapításra jutott, hogy bizonyítottan hatvanhat felhasználó adatait sikerült a támadóknak megszerezni, az elméletileg elképzelhető legrosszabb esetben ez a szám százezres nagyságrendű lehet” – írta a cég.

„A támadó által ellopott, de nyilvánosságra nem került adatok közvetlen károkozásra nem alkalmasak. Az ellopott adatok köre: a regisztrációhoz használt név, lakcím, telefonszám és töredékrészben bankszámlaszám” – tették hozzá, hangsúlyozva, amit minden online jelenléttel bíró cég hangsúlyozni szokott az adathalász támadások megelőzése érdekében: bankkártyaadatokat soha, semmilyen formában nem kérnek a felhasználóiktól.

A Foxpost az uniós adatvédelmi rendeletben (GDPR) rögzített kötelezettsége szerint bejelentette az adatvédelmi incidenst a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH) is – a hatóság lapunknak küldött válasza szerint ez november 2-án történt meg, ezután hatósági ellenőrzést indítottak annak megítélésére, hogy a cég „maradéktalanul eleget tett-e az ügy kapcsán a GDPR szerinti kötelezettségeinek”. A GDPR szintén előírja az érintetett felhasználók tájékoztatását, a cég az azonosításuk után ezt is megtette.

Még februárban kerestük a rendőrséget is, de március eleji válaszukban még csak annyit közöltek, hogy a Budapesti Rendőr-főkapitányság Gazdasági Bűnözés Elleni Főosztálya folytat nyomozást, és mivel az folyamatban van, később adnak róla tájékoztatást. Cikkünk megjelenése után valóban tartottak is egy sajtótájékoztatót, illetve közleményt adtak ki, amelyből kiderült, hogy Orosháza mellett ütöttek rajta a 26 éves zsarolón és egy társán, aki segített neki.

A Simple elleni támadáskor is emlegették a Foxpostot

December elején nagy figyelmet kapott a hír, hogy a Simple-t is hekkertámadás érte. A támadók összesen 4300 felhasználó Simple-fiókjába tudtak belépni, de anyagi kár végül nem történt. Ezt az esetet most azért idézzük fel, mert akkoriban a közösségi médiában elkezdett terjedni, hogy feltörhették a Foxpostot, és az onnan származó adatokat használták fel a Simple elleni támadáshoz – a Foxpost szerint azonban ez alaptalan pletyka.

Ez egy gyakori támadási forma, angolul credential stuffingnak hívják, ami szó szerint arra utal, hogy fogják a valahonnan ellopott belépési adatokat, és azokat betöltik egy másik szolgáltatás belépési felületére, próba szerencse alapon – márpedig gyakran van szerencséjük, mert sokakra jellemző felhasználói magatartás, hogy több szolgáltatásnál az egyszerűbb megjegyezhetőség kedvéért ugyanazt a jelszót használják. (Itt érdemes megjegyezni, hogy már csak ezért is tanácsos mindenhova más jelszót használni, akár jelszókezelő segítségével, illetve beállítani a kéttényezős hitelesítést, hogy ha egy hekker ellopja a jelszavunkat, akkor se tudjon belépni a fiókunkba.)

„A bűnözők megszereztek egy nagyobb, máshonnan lopott, digitális belépési adatokat tartalmazó adatbázist, és ennek a felhasználásával, robotizált módszerrel megpróbáltak egyszerre minél több Simple-felhasználói fiókba bejutni. Azokban az esetekben jártak sikerrel, ahol a Simple felhasználónév-jelszó kombináció ugyanaz volt, mint a máshonnan ellopott belépési adatok” – mondta akkor a Telexnek Csányi Péter, az OTP Bank vezérigazgató-helyettese, a bank digitális divíziójának vezetője is, persze csak általánosságban beszélve, nem a Foxpostra vagy bármely más konkrét szolgáltatásra utalva.

Most, hogy kiderült: a Foxpostot valóban meghekkelték bő egy hónappal a Simple elleni támadás előtt, újra felmerülhet a két eset közötti kapcsolat, de a Foxpost szerint a két ügynek nincs köze egymáshoz.

„Ennek már csak azért nincs valóságalapja, mert a támadók fiókadatokhoz, felhasználói nevekhez és jelszavakhoz nem fértek hozzá” – írta kérdésünkre a cég.

Cikkünk első verziójához képest pontosítottuk a váltságdíjról szóló részt, illetve belinkeltük a rendőrség cikkünk megjelenése után kiadott közleményét a tettes elfogásáról.