W zeszły czwartek klienci Della zostali zaskoczeni komunikatem informującym o incydencie, do którego doszło na jednym z portali firmy. Do sieci trafiły dane obejmujące imiona i nazwiska klientów, ich miejsca zamieszkania oraz szczegóły dotyczące zamówień.
Co się dokładnie stało?
Komunikat z firmy wyglądał następująco:
W wielkim skrócie, z e-maili wysłanych do klientów wynika, iż naruszone dane obejmują nazwiska klientów, adresy fizyczne i informacje o urządzeniach. Te ostatnie obejmują dane o zamówieniu klienta i datę zamówienia, rodzaj sprzętu Dell, kod serwisowy, opis przedmiotu i szczegóły gwarancji. Nie obejmują jednak informacji wrażliwych, takich jak dane finansowe/płatnicze klientów, numery kontaktowe czy adresy e-mail.
Oprócz udostępnienia tych informacji Dell zapewnił klientów, iż rozwiązał problem, wdrażając niezbędne procedury reagowania na incydenty, ograniczając incydent, informując organy ścigania i przeprowadzając dochodzenie kryminalistyczne. Firma nie potwierdziła oficjalnie liczby klientów, których dotknęło naruszenie. W rozsyłanych powiadomieniach o naruszeniu nie było też żadnych szczegółów na ten temat ani odnośnie do okresu, w którym doszło do wycieku. Może wydawać się, iż firma nieco zbagatelizowała incydent, a przeciwnicy, którzy za nim stoją, wyglądają na całkiem aktywnych.
Jak doniósł dziennik Daily Dark Web kilka tygodni temu, naruszenie dotknęło 49 milionów klientów Della – tak twierdził plakat sprzedający bazę danych w DarkNet. W bazie znajdują się dokładne informacje o klientach, którzy zakupili systemy Dell w latach 2017-2024.
Jak atakujący dostali się do danych w Dellu?
Gdy sprawa nabrała rozgłosu, okazało się, iż do naruszenia nie doszło w wyniku aktywnych włamań do sieci Dell. Zamiast tego, jak powiedział różnym mediom sprzedawca danych „Menelik”, dostęp do ogromnej ilości danych stał się możliwy dzięki wykorzystaniu interfejsu API firmy Dell. Największą słabością okazał się portal Dell dla partnerów, w którym adwersarz został zarejestrowany jako partner. Ze względu na brak ograniczeń szybkości przeciwnik mógł bez przeszkód zbierać dane aż do momentu podjęcia decyzji o zatrzymaniu i poinformowaniu firmy. Jednak nie otrzymawszy odpowiedzi na swoje raporty, zaczął wystawiać skradzione dane na sprzedaż w Darknecie.
Co robić dalej? Informacje dla klientów
Chociaż firma załatała lukę, co potwierdza osoba atakująca, nie udostępniono żadnych szczegółów dotyczących rozmowy z hakerem. Chociaż Dell uważa to naruszenie za nieistotne dla klientów, muszą oni zachować ostrożność, zwłaszcza jeżeli ich adresy fizyczne nie uległy zmianie.
Istnieje duża szansa, iż ktoś zakupił dane. Możliwe więc, iż próbuje je w jakiś sposób zmonetyzować. Wykradzione informacje mogą pomóc oszustom podszywającym się pod pomoc techniczną Dell oszukać poszkodowane w wycieku osoby. Klienci powinni również uważać na niechciane wiadomości lub alerty dotyczące pomocy technicznej. Z tego powodu w przypadku otrzymania nietypowej korespondencji od firmy Dell, najlepiej najpierw potwierdzić jej autentyczność, kontaktując się z odpowiednim działem obsługi klienta. Korespondencja ta może obejmować prośby o instalację oprogramowania, zmianę hasła lub inne potencjalnie ryzykowne działania.
Co ciekawe, w przeszłości cyberprzestępcy próbowali już tej metody. Zdarzyły się przypadki otrzymania fałszywych pendrive’ów przez klientów jednego z dużych sklepów internetowych w USA. Po włożeniu do gniazda USB komputera instalowały na nim groźny malware.
