Valószínűleg a legnagyobb visszhangot kiváltó, az online szolgáltatásokat legsúlyosabban kompromittáló biztonsági incidens történt a múlt héten az Egyesült Államokban, mely fel fogja erősíteni az online szolgáltatók megbízhatóságáról folytatott vitákat, és – jó esetben – komoly technológiai és üzleti változásokhoz fog vezetni ezen a területen.

A botrány nagyságára jellemző, hogy a marketinggel és távközlési szolgáltatásokkal foglalkozó amerikai cég, az Epsilon kénytelen volt kiadni egy rövid közleményt a problémáról – erre egyébként, sok nyugati országhoz hasonlóan, törvény kötelezi őket. (Magyarországon is kívánatos lenne ennek bevezetése, többek között Jóri András adatvédelmi biztos is jó ideje szorgalmazza egy ilyen törvény meghozását – egyelőre eredmény nélkül.)

A gond hétköznapi: március 30-án crackertámadás érte az Epsilon szervereit, melynek kiterjedtségéről és sikerességéről nincsenek pontos információk, ám kár mindenképpen keletkezett, bizonyítja ezt a szolgáltatások leállítása, a figyelmeztetések kiadása. A helyzet súlyosságát jellemzi, hogy a dallasi székhelyű Epsilon nem az átlagfelhasználóknak kínál marketingrendszert, hanem nagyvállalatoknak: az évente 40 milliárd levelet továbbító cég 2500 ügyfele közül hét a Fortune magazin által kiemelt első tízbe tartozik, köztük nagy bankok is vannak, az uralkodó elektronikai üzletlánc, a Best Buy, vagy például az USA-ban roppant népszerű, digitális videorögzítést kínáló TiVo.

A cég szűkszavú közleménye felhívja a figyelmet, hogy a behatolás során a támadók e-mailcímekhez és nevekhez hozzáfértek ugyan, de egyéb személyes adat nem szivárgott ki, ám ennél többet a vállalat szóvivője vasárnapi sajtótájékoztatóján sem kívánt mondani, mondván, hogy a vizsgálat még folyik.

A veszély azonban szakértők szerint nem elhanyagolható, mivel ez a két fontos személyes adat egyéb módszerekkel, adathalászattal, más adatbázisok felhasználásával alkalmas arra, hogy a crackerek tovább bővítsék a profilt, és megszerezzék például az illetők társadalombiztosítási számát stb. – arról nem is beszélve, hogy ezek az adatok önmagukban is értékesíthetőek spamelésre.

Az Epsilon értesítette az incidensről ügyfeleit, akik mindannyian gyorsan léptek, és arról értesítették a fogyasztókat, hogy semmiképp se válaszoljanak adathalász levelekre, melyek egyéb információkat kérnek tőlük a cég nevében. Ugyanakkor arra is kitértek, hogy saját eddigi vizsgálataik szerint más adatok, például kártyaszámok nem szivárogtak ki.

Arról egyelőre nincs információ, hogy pontosan hány embert is érint az adatlopás, és arról sem tudni, hogy milyen biztonsági rést használtak ki a támadók.