Nedbank rapporterer et dataovertrædelse, der kunne have påvirket 1,7 millioner kunder

I begyndelsen af februar fik IT-eksperter, der arbejdede for Nedbank, en af Sydafrikas 'store fire' kommercielle banker, oplyst, at nogle af deres kunder måske var blevet påvirket af et dataovertrædelse. Inden for en uge havde de grundigt undersøgt hændelsen, og Mike Brown, Nedbanks administrerende direktør, blev enige om at diskutere angrebet i et interview med CNBC Africa. På et tidspunkt sagde han, at Nedbank-kunder ikke behøver at gøre noget andet. ' Men hvad fik ham til at sige det? Og er det sådan et godt råd?

Et brud på et selskab med direkte markedsføring påvirker 1,7 millioner Nedbank-kunder

En af de første ting, som Nedbank-klienter skal vide, er, at der ikke er noget, der tyder på, at deres banks IT-sikkerhed er blevet kompromitteret. Overtrædelsen skete hos en tredjepartstjenesteudbyder kaldet Computer Facilities Ltd., som Nedbank havde hyret med det formål at kontakte kunder via e-mail og SMS. Tekniske detaljer omkring angrebets art er praktisk taget ikke-eksisterende, men vi lærte, at hackere på et tidspunkt fik adgang til nogle servere, der tilhørte Computerfaciliteter og indeholdt de personlige oplysninger fra Nedbank-brugere. Ifølge MyBroadband.co.za var ID-numre, telefonnumre og fysiske adresser og e-mail-adresser på 1,7 millioner Nedbank-kunder udsat for risiko.

Af hensyn til tingene ved hverken Nedbank eller Computerfaciliteter, om nogen af disse data faktisk blev stjålet, men ud af en overflod af forsigtighed behandler banken dem som kompromitterede. Potentielt berørte konti er inkluderet i en svindeldatabase, og Nedbank-medarbejdere vil holde øje med dem for at sikre, at enhver mistænksom aktivitet bliver behandlet hurtigt og effektivt.

I sit interview var Nedbanks administrerende direktør fast ved, at bankkontonumre, adgangskoder eller pinkoder ikke blev påvirket af overtrædelsen. Derfor synes han at tro, at Nedbank-kunder ikke behøver at gøre noget usædvanligt for at beskytte sig selv. Der er dog et eller to problemer med dette.

Nedbank-kunder må ikke undervurdere overtrædelsen

De potentielt kompromitterede oplysninger fra Computerfaciliteter er ikke nok til at lade hackere stjæle Nedbank-kundernes bankkonti, og Mike Brown sagde gentagne gange, at så længe folk ikke giver væk fra følsomme oplysninger som pinkoder, adgangskoder og bankkontonumre, er deres penge skal være sikker. Dette er meget sandt, men ved at sige, at Nedbank-klienter ikke behøver at gøre "noget andet", antager Brown, at folk generelt er årvågne nok og ikke kan narre til at give væk deres login-legitimationsoplysninger. Det enorme antal brugere, der hver dag bliver offer for socialtekniske angreb, viser, at dette ikke rigtig er tilfældet.

Selvom det har eksisteret i årtier nu, er phishing fortsat en af de mest effektive måder at indsamle loginoplysninger på. Jo mere troværdige e-mails, desto større er chancen for succes, og takket være bruddet på Computerfaciliteter, kunne meddelelserne, som Nedbank-kunder modtager, være ret overbevisende.

Hvis de får hånden på dataene, kan skurke oprette phishing-e-mails, der adresserer målet ved navn, og de kan få beskederne til at se ud som om de kommer fra banken. I mellemtiden åbner tilstedeværelsen af telefonnumre og fysiske adresser muligheden for andre svindel.

Med andre ord takket være bruddet på Computerfaciliteter kan Nedbank-kunder falde bytte for en lang række angreb, hvoraf nogle kan være ekstremt sofistikerede. I lyset af dette var Mike Browns beslutning om at bede sine klienter om at gøre alt, hvad de normalt gør, sandsynligvis ikke så god idé. Berørte kunder skal være opmærksomme på de potentielle farer og bør nærme sig hverdagens opgaver med en masse ekstra forsigtighed.