← Sajber vesti
CP.STR.02 · SAJBER VESTI VEST · № ID0730
Napadi ↳ CyberPress

Novi proboj u Carnivalu — ukradeni podaci 6 miliona putnika

Carnival, jedna od najvećih kompanija za prekookeanska putovanja, prijavio je krađu podataka za blizu 6 miliona putnika. Napadači nisu razbijali atome da bi upali u računarsku mrežu, već su nasamarili jednog od zaposlenih da im preda pristupne podatke. Lažno se predstavivši, ubedili su ga da im otvori put do baze podataka o putnicima. Imena, datumi rođenja, adrese, brojevi pasoša i vozačkih dozvola, a negde i broj socijalnog osiguranja, kao pandan našem JMBG-u — uskoro će se, po svemu sudeći, naći na Dark vebu. Napadač je u mreži boravio danima pre nego što ga je tehnička služba uočila, a pogođeni putnici o tome su saznali tek pet nedelja kasnije. Ovo se Carnivalu ne dešava prvi put: već je imao slične slučajeve 2020. i 2021, što je ispraćeno sudskim poravnanjem sa američkim državama 2022.

↯ ŠTA ZNAČI

Ovakvi slučajevi ne bole odmah, nego kroz vreme: kombinacija imena, datuma rođenja i broja pasoša je gotov pribor za krađu identiteta i phishing koji deluje uverljivo jer napadač zna autentične podatke potencijalnih žrtava. Lozinka se promeni, ali pasoš, datum rođenja i JMBG teško. Putnicima je ponuđena usluga praćenja zloupotrebe procurelih informacija, ali ograničena samo na dve godine. Nasamarenog zaposlenog verovatno čeka otkaz, iako na socijalni inženjering niko nije imun u potpunosti. Pravo pitanje je kako je jedna globalna kompanija sebi ponovo dozvolila da greška jednog čoveka ugrozi podatke šest miliona ljudi. To vam je, otprilike, kao cela Srbija.

→ PREPORUČENI KORACI

  1. 01 Posle ovakvih slučajeva obično kreće talas phishing prevara koje zvuče ubedljivo jer napadač zna prave podatke potencijalnih žrtava — svaki hitan zahtev za promenu lozinke, pristup nalozima ili uplate proveri drugim kanalom, ne klikom iz poruke
  2. 02 Ako si putovao sa Carnivalom, prijavi se za besplatno praćenje finansijskih manipulacija pre 31. avgusta. Ne računaj da ćeš biti zaštićen, već samo upozoren na moguće malverzacije
  3. 03 Uvedi obaveznu proveru identiteta za hitne zahteve (callback na poznati broj), jer awareness obuke ne mogu da spreče napade socijalnim inženjeringom
  4. 04 Smanji štetu unapred: segmentacija pristupa bazama i alarm kada neko počne masovno da izvlači podatke
  5. 05 Ako čuvaš tuđe lične informacije, preispitaj da li ti uopšte trebaju i koliko dugo — podatak koji ne čuvaš ne može da procuri
otvori izvor → ← nazad na sve vesti