Kroll, amerykańskie przedsiębiorstwo zajmujące się doradztwem finansowym, padło ofiarą hakerów. Firma przyznaje, że ujawniona mogła zostać tym samym spora ilość wrażliwych danych. A wszystko zaczęło się od karty SIM.
SIM-swapping, czyli oszustwo polegające na wyłudzeniu od operatora duplikatu cudzej karty SIM, to już doskonale znana praktyka. Zazwyczaj jednak ofiarami tego procederu padają osoby prywatne, na które ktoś np. zaciągnie szybką pożyczkę. Ale tym razem oberwało się korporacji i to takiej, dla której bezpieczeństwo danych powinno być priorytetem.
19 sierpnia br. nieznany sprawca pojawił się w amerykańskim salonie T-Mobile i w jakiś sposób przekonał pracownika, by ten wydał mu aż trzy duplikaty kart należących do menedżerów firmy Kroll. Umożliwiło to dostęp do niektórych plików zawierających dane osobowe osób ubiegających się o ogłoszenie upadłości w sprawach BlockFi , FTX i Genesis, jak poinformowano w oficjalnym komunikacie w piątek.
Kroll nie zdradza szczegółów incydentu, obwiniając o niego przede wszystkim telekom, ale w sieci można znaleźć informacje, że zawiodła naiwna polityka bezpieczeństwa. Procesy ponoć w całości oparto na hasłach wysyłanych SMS-em, dzięki czemu napastnik, mając odpowiednie numery, mógł wejść do systemów firmy jak do siebie.
Co ciekawe, kilka dni wcześniej biznesmen Bart Stephens, współzałożyciel Blockchain Capital, złożył pozew przeciwko anonimowemu hakerowi, który w rzekomym ataku polegającym na wyłudzeniu karty SIM miał ukraść kryptowaluty o wartości 6,3 miliona dolarów (ok. 26 mln zł). Niemniej nie ma żadnych dowodów na wzajemne powiązanie obydwu tych incydentów.
Za to problem ma Departament Bezpieczeństwa Wewnętrznego USA, który jeszcze przed paroma tygodniami wzywał telekomy, by zaostrzyły procedury związane z wydawaniem duplikatów. Jak oceniono, obecne metody weryfikacji tożsamości, oparte na wyrywkowych pytaniach z życiorysu, są niedostateczne. Głównie dlatego, że wiele odpowiedzi zdaniem urzędników znaleźć można w social media.
Rzecz jasna, z tego płynie też jeszcze jedna lekcja: autoryzacja mobilna (MFA) jest zdecydowanie bezpieczniejsza niż klasyczne kody SMS. W tym pierwszym przypadku SIM-swapping nie pozwoli na zbyt wiele, a w tym drugim jest tak, jak widać. Inna sprawa, że redakcja jest pełna podziwu dla pracownika T-Mobile USA, który od ręki wydaje trzy duplikaty SIM osobie z ulicy.
Źródło zdjęć: Brian A Jackson / Shutterstock
Źródło tekstu: Materiały prasowe, oprac. własne
