Megtámadták a Snapchatet

A Snapchat beszámolt arról a támadásról, amelynek során személyes adatokat csaltak ki a cégtől. Az eset mindenki számára hordoz tanulságokat.
 

A Snapchat múlt pénteken egy adathalász támadást azonosított, amely célzott módon valósult meg. Az ismeretlen elkövető a bérosztály egyik alkalmazottjának küldött egy elektronikus levelet, méghozzá nem is akármilyen formában. A küldeményt ugyanis úgy állította össze, mintha azt a Snapchat elnök-vezérigazgatója, Evan Spiegel küldte volna. Noha azt a cég nem árulta el, hogy ebben a levélben pontosan milyen üzenet szerepelt, az biztos, hogy az egyik bérezéssel foglalkozó alkalmazott bedőlt a trükknek. Gondosan összeszedte azon információkat, amiket kértek tőle, és továbbította azokat. Viszont az adatok nem Spiegel postafiókjában landoltak, hanem a támadóhoz kerültek.

A Snapchatnél az eset felfedezését követően azonnali vizsgálat kezdődött. Ez megállapította, hogy a célzott adathalász támadás során felhasználói adatok nem kerültek illetéktelen kezekbe, ugyanakkor jelenlegi és volt alkalmazottakkal kapcsolatos bizalmas információk kiszivárogtak. Így a vállalat értesítette az FBI-t a történtekről, a nyomozás folyamatban van. 

A szolgáltatás jelenleg napi több mint 100 millió aktív felhasználóval büszkélkedhet, és különösen a fiatalabb korosztály körében népszerű. A vállalat közleménye szerint mára akkora közösség gyűlt a szolgáltatás köré, hogy a videómegosztások napi száma meghaladja a hétmilliárdot. Így nem csoda, hogy a kiberbűnözők is egyre aktívabban állítják célkeresztjükbe a szolgáltatást. 

A Snapchatet jelenleg leginkább az vigasztalhatja, hogy felhasználói adatok nem kerültek veszélybe, és az incidenskezelés is ellátta a feldatát. Négy órával a támadás bekövetkezte után sikerült detektálni az eseményt, és meg lehetett tenni az első védelmi intézkedéseket. Ugyanakkor a vállalat azt nem árulta el, hogy a mostani incidens hány alkalmazottját érintette. 

"Amikor egy ilyen esemény történik, akkor nem tehetsz mást, mint beismered a hibádat, vigyázol az érintett emberekre, és tanulsz a hibáidból. Az utóbbinak megfelelően a következő hetekben megerősítjük a már amúgy is szigorú, biztonsággal és adatvédelemmel foglalkozó képzési programunkat" - nyilatkozta a vállalat. 

Felhasználók középpontban

Ahogy arról nemrégen beszámoltunk a social engineering típusú támadások jelentik napjaink egyik legnagyobb kockázatát. A Proofpoint kutatása szerint az adathalász célokat szolgáló elektronikus levelek 98 százaléka nem tartalmaz semmiféle exploitot vagy veszélyes kódot. Ehelyett az emberi hiszékenységre, kíváncsiságra apellálnak, és a felhasználók átejtésével, illetve közreműködésével próbálnak károkat okozni. 

"Napjainkban az egyik legjobb megoldás a social engineering elleni védekezéshez, ha az alkalmazottakat oktatjuk. A technológia és a tudatosságnövelő képzések kombinálásával az általánosan használt megtévesztő technikák, illetve az adathalászat ellen is lehet küzdeni" - mondta Bill Sweeney, a BAE Systems szakértője.