Amikor egy bank rájön, hogy 1,5 millió ügyfelének adatát ellophatták

​Az amerikai Flagstar Bank hónapokig tartó vizsgálódást követően megállapította, hogy több mint másfél millió ügyfelének adata kerülhetett illetéktelen kezekbe.
 

A banki szférára vonatkozó szigorú jogszabályi és iparági követelmények ellenére a kiberbűnözők időről időre megtalálják azokat a gyenge pontokat, amik a legkorszerűbb védelmi arzenállal felvértezett intézmények esetében is komoly incidensekhez vezethetnek. Erre szolgáltatott példát az USA egyik jelentős bankja, a Flagstar, amely egy éven belül két komoly biztonsági incidens elszenvedője volt. 

A bank elleni első támadásra még 2021 januárjában került sor, amikor az elkövetők az akkor még nulladik napi hibának számító, Accellion FTA sebezhetőséget fordították a saját javukra, és fértek hozzá bizalmas adatokhoz. A második kibertámadás pedig tavaly decemberben következett be, amire nyilvánosan csak az elmúlt napokban derült fény, amikor a pénzintézet elkezdte kiértesíteni az érintett ügyfeleit. 

A bank szerint a decemberi támadás során a feketekalapos hackerek egyebek mellett nevekhez és társadalombiztosítási számokhoz is hozzáférést szerezhettek. Erre azonban meglehetősen nehezen derült fény, mivel a bank állítólag csak június 2-án jött rá arra, hogy a támadás súlyosabb, mint azt korábban gondolta. 

Nyilván a Flagstar jelezte, hogy az incidenst decemberben hamar észlelte, és azonnal megtette az ilyen esetekre előírt incidensreagálási lépéseket, valamint értesítette az illetékes hatóságokat. Azt azonban nem részletezte, hogy miért tartott majdnem fél évig, amire kiderült, hogy 1.547.169 ügyfelének adata illetéktelen kezekbe kerülhetett. 

A Flagstar Bank közölte, hogy jelenleg nincs információja arról, hogy a lopott adatokkal történtek volna visszaélések. Ugyanakkor az érintett ügyfelei számára két évre olyan adatvédelmi szolgáltatásra fizetett elő, amelynek révén a jövőbeli esetleges visszaélések kiszűrhetővé válhatnak.