Haker koji je napao A1 Hrvatska te ukrao lične podatke najmanje 100.000 korisnika traži da mu kompanija u iduća 24 sata isplati oko pola miliona dolara u kriptovalutama. Ako to ne učini, tvrdi, objaviće ukradene podatke na više hakerskih i darknet foruma.
A1 je objavio da su ukradeni podaci od oko 10 posto ukupnog broja korisnika te mreže. Izloženi podaci su ime i prezime, adresa, OIB te broj telefona, piše Index.
Juče je osoba koja se predstavila kao haker koji je upao u sistem A1 o svemu e-mailom obavijestila nekoliko medija. U tom je mailu iznio tvrdnju da je hakirao cijelu bazu podataka A1 korisnika i da je u A1 kao dokaz poslao dio tog popisa.
Haker: Za 24 sata objavljujem podatke
Index je preko maila stupio u kontakt s hakerom, koji kaže da mu iz A1 nisu odgovorili na mailove koje je poslao na više adresa, između ostalog i visokorangiranim osobama u kompaniji.
“Prije najave nisu me obavijestili ni odgovorili na moj upit. Moj zahtjev za 150 ETH nije popunjen. Prošlo je skoro 48 sati, dao sam im 72”, piše haker.
Sto pedeset ethereuma (ETH) trenutno vrijedi 476.678 američkih dolara, a rok od 72 sata ističe kasno večeras.
“U slučaju da 72 sata prođu, baza podataka biće napravljena javnom. U slučaju da mi plate kao što zahtijevam, nikome ništa”, navodi.
“Najveći debil je ovo mogao postići”
Optužuje i A1 da nije dovoljno zaštitio podatke korisnika te ga upućuje da se ugleda na teleoperatere iz SAD-a.
“Čitao sam neke članke danas, A1 je 100% kriv. Brojni GDPR zakoni su prekršeni. Kao što sam rekao, na alatima radnika NE BI trebalo da bude dozvoljeno gledati lične informacije korisnika kojima trenutno ne pomažu preko telefona ili u trgovini. Takođe spominjem da američki operatori uopšte ne dozvoljavaju pristup korisničkom računu i gledanje informacija bez verifikacije korisnika preko koda poslanog SMS porukom. Neka se A1 ugleda”, piše haker.
Na kraju je još jednom ponovio prijetnju: “Prošlo je 48 sati. Za 24 sata sve objavljujem ako nema uplate od 150 ETH ili protuponude od A1.”
Rakar: Ako imaju samo ove podatke, neće biti velike štete
Iako postoji bojazan kako bi se ukradeni podaci mogli iskoristiti za krađu identiteta, IT stručnjak Marko Rakar kaže da je velika količina osobnih podataka već dostupna na internetu. “Ako imate nekretninu, ti podaci su u nekim registrima, ako ste direktor ili vlasnik neke tvrtke, ti podaci su dostupni i slično. Nije to ugodno, ali ako su iscurili podaci za koje A1 kaže da jesu, onda neće biti osobite štete”, kaže Rakar.
“Mail adrese i korisničke račune mogu pokušati kompromitirati, ali to ne znači da su već pokušali. Oni se, ako imaju mail adrese, mogu pokušati ulogirati, ali nemaju lozinke”, kaže Rakar.
Teško je prema dostupnim podacima reći kako je došlo do napada, ali mogu se pretpostaviti dvije mogućnosti, kaže.
“Proboj se najvjerojatnije dogodio prema nekoj njihovoj aplikaciji prema korisnicima, koja je izložena prema internetu. Može biti neki sustav koji njihova korisnička podrška koristi za kontaktiranje korisnika ili sustav koji koriste njihovi dućani i partneri za prodaju, aktiviranje ugovora ili slično. Nema dovoljno informacija, ali pretpostavljam da bi moglo biti nešto od ovog”, kaže Rakar.
Iz A1 kažu da su Policijskoj upravi zagrebačkoj podnijeli krivičnu prijavu i da je kriminalističko istraživanje u toku.
