Október végén hekkertámadás érte a Foxpostot, a támadó felhasználói adatokhoz is hozzáfért, majd többmilliós váltságdíjat követelt, hogy ne tegye közzé vagy adja el az adatokat. A csomagautomatákat üzemeltető cég azonban nem teljesítette a követelést, hanem a rendőrséghez fordult – értesült a Telex a cégtől független forrásból. Információinkkal megkerestük a Foxpostot, akik elismerték, hogy hekkertámadás áldozatává váltak, de a belső vizsgálatuk alapján kevés felhasználó volt érintett, és az ő adataik sem kompromittálódtak, nem szivárogtak ki vagy kerültek tovább a hekkertől. Feljelentésük után a rendőrség nyomozást indított, és el is fogta az elkövetőt – tették hozzá.
A hozzánk eljutott információk és a cég nekünk küldött válaszai alapján az alábbiak szerint rekonstruáltuk a történteket.
Egy karbantartás ment félre
A Foxpost október 21-én előre bejelentett rendszerfrissítést végzett, amely kétórás tervezett szolgáltatásleállással járt. A későbbi támadást ekkor elkövetett technikai hibák tették lehetővé. „Az illetéktelen behatolásra két, egymástól független és önmagukban nem kritikus biztonsági rés rövid ideig tartó, együttes fennállása adott lehetőséget. A két hiba külön-külön nem tette volna lehetővé az adatokhoz való hozzáférést, együtt azonban ez a lehetőség létrejött, és a támadó ezt tudta kihasználni” – írta a cég.
A hekker október 30-án, a hajnali órákban hatolt be a hálózatba és fért hozzá a Foxpost egyik külső üzemeltetésű szerveréhez, ahonnan felhasználói adatokat lopott. A cég még aznap, október 30. délután kapott zsarolólevelet a hekkertől, aki azt állította, hogy közel egymillió ügyfél adatait szerezte meg, és 400 monero kriptovalutát (mai árfolyamon bő húszmillió forintot) követelt, hogy az adatokat ne tegye közzé vagy adja el, illetve a támadást lehetővé tevő biztonsági rést ne ossza meg másokkal. Úgy tudjuk, bizonyítékul egy linket is küldött, amelyen lopott ügyféladatokat osztott meg a céggel.
A hekker vagy hekkerek a levélben Flor De Loto néven nevezték magukat – árulta el kérdésünkre a Foxpost. Ez spanyolul azt jelenti, lótuszvirág. Megkérdeztük azt is, hányan voltak az elkövetők, és mindenkit elfogtak-e, de a cég ezzel kapcsolatban a rendőrséghez irányított minket.
Nem fizettek a zsarolóknak
A cég a levélre nem válaszolt, és a váltságdíjat sem fizette ki, ehelyett feljelentést tett a rendőrségen, egyúttal vizsgálatot indított a támadás körülményeinek feltárására és a biztonsági problémák elhárítására. A rendőrség a feljelentés hatására nyomozást indított.
„A FoxPost Zrt. álláspontja határozott: nem engedünk a zsarolásnak, semmilyen körülmények között nem fizetünk hekkereknek vagy bármilyen bűnözői csoportnak. Hisszük, hogy a zsarolásnak való engedés nem megoldás, mert fenntartja és ösztönzi a bűnözés ezen formáját”
– írta a Telexnek Bengyel Ádám, a Foxpost vezérigazgatója. A kiberbiztonsági szakértők egyébként valóban azt szokták javasolni a hekkerek áldozatává váló cégeknek, hogy ne fizessék ki a váltságdíjat. Nemcsak azért, mert ezzel a pozitív visszacsatolással motiválnák ezt a bűnözési formát; hanem azért is, mert nincs semmilyen garancia arra, hogy a hekkerek a váltságdíj megkapása után valóban betartják a szavukat.
„Minden szükséges lépést megteszünk az adatok védelme és rendszereink biztonságának garantálása érdekében, és szorosan együttműködünk a hatóságokkal, hogy megvédjük infrastruktúránkat. A rendőrség munkájának köszönhetően a tetteseket elfogták, adatok nem kerültek nyilvánosságra. Az ügyfelek kiszolgálása és az üzletmenet folyamatossága mindvégig zavartalan volt” – tette hozzá Bengyel.
Kevesebb az érintett, mint a hekker állította
Úgy tudjuk, a hekker a levelében azt írta, hogy közel egymillió felhasználó adatait szerezte meg, de ez erős túlzásnak bizonyult: „A lefolytatott belső vizsgálat arra a megállapításra jutott, hogy bizonyítottan hatvanhat felhasználó adatait sikerült a támadóknak megszerezni, az elméletileg elképzelhető legrosszabb esetben ez a szám százezres nagyságrendű lehet” – írta a cég.
„A támadó által ellopott, de nyilvánosságra nem került adatok közvetlen károkozásra nem alkalmasak. Az ellopott adatok köre: a regisztrációhoz használt név, lakcím, telefonszám és töredékrészben bankszámlaszám” – tették hozzá, hangsúlyozva, amit minden online jelenléttel bíró cég hangsúlyozni szokott az adathalász támadások megelőzése érdekében: bankkártyaadatokat soha, semmilyen formában nem kérnek a felhasználóiktól.
A Foxpost az uniós adatvédelmi rendeletben (GDPR) rögzített kötelezettsége szerint bejelentette az adatvédelmi incidenst a Nemzeti Adatvédelmi és Információszabadság Hatóságnál (NAIH) is – a hatóság lapunknak küldött válasza szerint ez november 2-án történt meg, ezután hatósági ellenőrzést indítottak annak megítélésére, hogy a cég „maradéktalanul eleget tett-e az ügy kapcsán a GDPR szerinti kötelezettségeinek”. A GDPR szintén előírja az érintetett felhasználók tájékoztatását, a cég az azonosításuk után ezt is megtette.
Még februárban kerestük a rendőrséget is, de március eleji válaszukban még csak annyit közöltek, hogy a Budapesti Rendőr-főkapitányság Gazdasági Bűnözés Elleni Főosztálya folytat nyomozást, és mivel az folyamatban van, később adnak róla tájékoztatást.
A Simple elleni támadáskor is emlegették a Foxpostot
December elején nagy figyelmet kapott a hír, hogy a Simple-t is hekkertámadás érte. A támadók összesen 4300 felhasználó Simple-fiókjába tudtak belépni, de anyagi kár végül nem történt. Ezt az esetet most azért idézzük fel, mert akkoriban a közösségi médiában elkezdett terjedni, hogy feltörhették a Foxpostot, és az onnan származó adatokat használták fel a Simple elleni támadáshoz – a Foxpost szerint azonban ez alaptalan pletyka.
Ez egy gyakori támadási forma, angolul credential stuffingnak hívják, ami szó szerint arra utal, hogy fogják a valahonnan ellopott belépési adatokat, és azokat betöltik egy másik szolgáltatás belépési felületére, próba szerencse alapon – márpedig gyakran van szerencséjük, mert sokakra jellemző felhasználói magatartás, hogy több szolgáltatásnál az egyszerűbb megjegyezhetőség kedvéért ugyanazt a jelszót használják. (Itt érdemes megjegyezni, hogy már csak ezért is tanácsos mindenhova más jelszót használni, akár jelszókezelő segítségével, illetve beállítani a kéttényezős hitelesítést, hogy ha egy hekker ellopja a jelszavunkat, akkor se tudjon belépni a fiókunkba.)
„A bűnözők megszereztek egy nagyobb, máshonnan lopott, digitális belépési adatokat tartalmazó adatbázist, és ennek a felhasználásával, robotizált módszerrel megpróbáltak egyszerre minél több Simple-felhasználói fiókba bejutni. Azokban az esetekben jártak sikerrel, ahol a Simple felhasználónév-jelszó kombináció ugyanaz volt, mint a máshonnan ellopott belépési adatok” – mondta akkor a Telexnek Csányi Péter, az OTP Bank vezérigazgató-helyettese, a bank digitális divíziójának vezetője is, persze csak általánosságban beszélve, nem a Foxpostra vagy bármely más konkrét szolgáltatásra utalva.
Most, hogy kiderült: a Foxpostot valóban meghekkelték bő egy hónappal a Simple elleni támadás előtt, újra felmerülhet a két eset közötti kapcsolat, de a Foxpost szerint a két ügynek nincs köze egymáshoz.
„Ennek már csak azért nincs valóságalapja, mert a támadók fiókadatokhoz, felhasználói nevekhez és jelszavakhoz nem fértek hozzá” – írta kérdésünkre a cég.
