Portal The Times informuje o skutecznym ataku na Revolut, firmę świadczącą usługi finansowe. Przedsiębiorstwo podlega litewskiemu prawu, stąd na stronie Valstybinė duomenų apsaugos inspekcija (odpowiednik polskiego UODO) można znaleźć oświadczenie zawierające dodatkowe fakty.
Zgodnie z opisem, dostęp do serwerów zdobyto z wykorzystaniem socjotechniki. To wspólny element z niedawnym atakiem na firmę Uber, gdzie sposób był dokładanie taki sam. Dlatego warto regularnie szkolić pracowników z rozpoznawania phishingu, można przygotować quiz (podobny do https://phishingquiz.withgoogle.com, ale przykłady powinny dotyczyć naszej firmy), a następnie zbierać uzyskane przez pracowników wyniki, aby sprawdzić poziom wiedzy i odpowiednio reagować na poszczególne przypadki jej braku.
Skala ataku jest stosunkowo nieduża, ponieważ dotyczy 50150 osób (gdzie ogólna liczba użytkowników Revolut to 15 milionów). Niestety uzyskane dane są dość wrażliwe, zgodnie z komunikatem wyciekły imiona, nazwiska, adresy e-mail, adresy pocztowe, numery telefonów i pewna część numerów kart kredytowych. Natomiast środki na kontach podobno nie są zagrożone. Do użytkowników, których dane zostały wykradzione, firma wysłała komunikat. Jak to często bywa, nie zawiera on żadnych technicznych szczegółów.
Okazuje się, że w aplikacji pojawiały się pewne niestosowne komunikaty. Revolut odniósł się do tej kwestii za pośrednictwem Twitter’a, wyjaśniając, że problem został rozwiązany. Nie ma pewności, czy te komunikaty z aplikacji są powiązane z opisywanym atakiem.
Z powodu braku jakichkolwiek danych o technicznej stronie ataku, ciężko podać rekomendacje, jakie można wdrożyć w środowiskach korporacyjnych, aby uniknąć podobnych sytuacji. Jako użytkownicy oprócz stosowania tradycyjnych metod, jak długie i złożone hasła, weryfikacje dwuetapowe, korzystanie z kluczy bezpieczeństwa itd., powinniśmy pamiętać o dwóch sprawach, dotyczących właściwie jedynie banków.
Bardzo dobrym pomysłem jest dywersyfikacja środków. Zdecydowanie nie należy przechowywać znacznych sum pieniędzy wyłącznie w jednym banku. Ważna jest również fizyczna gotówka. Bankom także zdarzają się awarie czy prace techniczne, być może usługi typu płatności kartą nie będą w chwili, gdy ich potrzebujemy, dostępne. Dlatego pomimo rozwoju techniki fizyczne pieniądze są wciąż najpewniejszym zabezpieczeniem.
