Milliónyi Vodafone-ügyfél adatait nyúlták le bűnözők

Nem kis felháborodást okozott a hét végén, hogy Ausztráliában a Vodafone ügyfeleinek személyes, érzékeny adatait illetéktelenek szerezték meg, a helyi adatvédelmi biztos már be is jelentette, hogy azonnali vizsgálatot indított.

A híradások ellentmondóak, a pontos részleteket még mindig nem tudni, de a biztonsági incidenst maga a Vodafone is elismerte, miután több lap is beszámolt róla, hogy a megszerzett adatokat már eladásra kínálják az interneten. Azt még nem tudni, hogy hány előfizetőt érint az ügy, a pesszimista becslések szerint több milliót, még az sincs kizárva, hogy az összeset.

Az információk között szemezgetve az látszik biztosnak, hogy arra nem jogosultak hozzáfértek az ügyfelek személyes bejelentkezési adataihoz az ügyfélkapcsolati (CRM-) rendszerben (így aztán névhez, lakcímhez, PIN-kódhoz, jogosítványszámhoz, bankkártyák adataihoz stb.). A biztonsági rést erősíthette, hogy egyszerű volt a belépés, nem volt szükséges egy SMS-es megerősítés a bejelentkezéshez, s mivel az adatbázis elérhető volt az internetről is, könnyű prédának bizonyult. A cég a kompromittálódás után bejelentette, hogy minden korábbi jelszót töröltek.

Mivel az eddigiek alapján nagyon valószínű, hogy – emberi vagy technológiai okokból – a partnerek hozzáférési rendszerében támadt a rés, még várni kell a vizsgálat eredményeire. A cég közleményében arra utalt, hogy gyanújuk szerint adatkereskedelemről lehet szó, melyért egy alkalmazott vagy egy beszállító, partner a felelős.

Hasonló eset már megtörtént a T-Mobile-lal is Nagy-Britanniában 2009-ben, amikor egy alkalmazott milliószámra bocsátott áruba előfizetői adatokat.

Előzmények