OTP Simple fiókok ezreit törték fel újrahasznosított jelszavakkal
Újabb eset világít rá arra, hogy milyen kellemetlen helyzetet idézhet elő az internetes szolgáltatásokban használt jelszavaink újrahasznosítása, ezúttal az OTP Simple „több ezer” ügyfele tapasztalhatta az este folyamán, hogy biztonsági okokból felfüggesztették a fiókjukat. A pénzintézet szerint anyagi kár nem történt, mégis felmerül pár kérdés a védelmi vonal erősségével kapcsolatban, többek közt a többlépcsős azonosítás hiánya.
Átmenetileg szünetel a bejelentkezés az OTP Simple szolgáltatás weboldalán, miután december 5-én este az OTP Mobiltól független forrásból, jogosulatlanul megszerzett adatok segítségével illetéktelenek hozzáférhettek egyes Simple-fiókokhoz, majd megváltoztatták a hozzárendelt e-mail címeket. Az OTP ügyfélszolgálatát felkereső ügyfelek a Telexnek este kilenc körül jelezték, hogy szinte lehetetlen elérni a bankot, akinek mégis sikerült, azt „tömeges feltörésről” tájékoztatták. Az érintettek pontos száma egyelőre nem ismert, a bank közleménye„több ezer” ügyfelet említ a beazonosítások után.
Az intézet tájékoztatása szerint anyagi kár nem történhetett, mivel a bankkártyákhoz tartozó CVC kódra is szükség lenne a tranzakciók indításához, amit nem tárol a szolgáltatás. A Simple oldalán olvasható tájékoztatás szerint a szolgáltatás a kártyaadatokat a nemzetközi biztonsági előírásoknak (PCI DSS szabványnak) megfelelően, biztonságosan tárolja, 2017 óta PCI DSS tanúsítvány birtokosa, a PCI SSC (Payment Card Industry Security Standards Council) által elismert és nyilvántartott hivatalos auditor által negyedévente felülvizsgálva.
A kompromittált Simple-fiókkal rendelkező ügyfeleknek éjszaka küldött tájékoztatást a bank, miután munkatársai ideiglenes felfüggesztették a fiókokat és érvénytelenítették a korábbi jelszavakat. Az érintettek a továbbiakban új jelszó beállításával tudják használni fiókjukat az ügyfélszolgálattól kapott üzenetben küldött jelszómódosító link segítségével. Biztonsági okokból szükséges a bankkártya ismételt rögzítése a fiókban, de a blokkolt ügyfelek más típusú, a Simple szolgáltatást nem érintő tranzakciót továbbra is tudnak indítani a kártyájukról. Az OTP Simple használható többek közt csekkbefizetésre, parkolójegyek, autópálya-matricák és mozijegyek vásárlására is.
Nyerd meg az 5 darab, 1000 eurós Craft konferenciajegy egyikét! A kétnapos, nemzetközi fejlesztői konferencia apropójából a HWSW kraftie nyereményjátékot indít.
Az intézmény hangsúlyozza, hogy az új jelszó semmiképpen ne egy korábban beállított, vagy más szolgáltatásban használt karaktersor legyen – ez már magától értetődő lenne azután, hogy a megszerzett felhasználónév/jelszó kombinációkat „más, nem OTP-s platformokról szerezték meg” a kiberbűnözők, akik automatizált módon próbálkoztak a Simple-fiókok esetében, és a sikeres bejelentkezést követően tudták megváltoztatni az e-mail címeket.
Az OTP Simple a tájékoztatás alapján sejthetően úgynevezett credential stuffing áldozata lett, tehát a támadók kompromittált azonosítókkal, más szervezeteknél történt adatsértések során nyilvánosságra került jelszavakkal próbálkoztak a bejelentkezési végpontokon, majd további rosszindulatú tevékenységeket végeztek, miután már sikerült hozzáférést szerezniük. Ez a módszer jellemzően kétfaktoros hitelesítés hiányában működik.
Az ilyen típusú támadások gyakori és nagy mennyiségben történő, automatizált módon kivitelezett kísérletei többrétegű biztonsági stratégiával védhetők ki, többek közt a hamis bejelentkezési kérelmek blokkolása, az erősebb hitelesítési követelmények, például két- vagy multifaktoros azonosítás, esetleg az egyre elterjedebb passkey-ek, fizikai tokenek használata csökkenthetik a kockázatot. Az olyan szolgáltatások/szervezetek amelyek csak egyfaktoros hitelesítést alkalmaznak, például csak felhasználónév/jelszó párost igényelnek a bejelentkezéshez, nagyobb kockázatnak teszik ki felhasználóikat, mivel a támadóknak csak egyféle támadást kell végrehajtaniuk a rendszerbe való bejutáshoz.
Csak 2022-ben több mint 700 millió lopott azonosítót sikerült nyilvánossá tenni ismert adatszivárgások révén, így az ellopott felhasználói azonosítók megszerzése nagyon könnyű feladat azoknak a támadóknak, akik rendelkeznek megfelelő erőforrásokkal. 2022 elején a PayPal ügyfeleinek egy része is credential stuffing áldozatává vált, melynek során 34 942 profil tranzakciós előzményei, hozzákapcsolt kártyái és PayPal-számlái juthattak a hackerek kezére.
A felhasználók felé nem lehet elégszer hangsúlyozni, hogy ne használjanak azonos jelszavakat több különböző online szolgáltatás esetében, vegyék igénybe akár jelszómenedzser-szolgáltatások segítségét, és ahol lehetséges, állítsák be a kétlépcsős hitelesítést. Érdemes időnként ellenőrizni e-mail címünket a Have I Been Pwned? adatbázisában is, ahol jól követhető, hogy mely adatszivárgások során, honnan és milyen jellegű adataink kerülhettek ki a sötét webes piacokra.