TalkTalk nie szyfrował danych klientów

TalkTalk, brytyjski operator alternatywny, który w ubiegłym tygodniu stał się ofiarą cyberataku, w wyniku którego przejęto dane ponad 4 mln klientów firmy szuka pomocy u BEA Systems. W ocenie ekspertów, atak obnażył błędy jakie operator popełnił w kwestii bezpieczeństwa danych.

Ujawniony w ubiegłym tygodniu atak był dwuczęściowy. Zaczął się od klasycznego DDoS, który spowolnił stronę internetową operatora. Pod osłoną DDoS atakujący zaczęli wyłuskiwać dane z systemu firmy. W ocenie ekspertów, taki scenariusz ataku jest doskonale znany.

W sobotę grupa hakerów, która przyznała się do ataku zapowiedziała cynerataki na inne brytyjskie firmy telekomunikacyjne.

Jak twierdzi brytyjska prasa, operator przez wiele długich godzin nie była w stanie ocenić skali ataku i poniesionych strat. A te były duże, bo w ręce atakujących dostały się dane - w tym numery kart kredytowych - 4,2 mln klientów. Przechowywane przez operatora dane - jak się okazało - nie były szyfrowane, co mogłoby utrudnić cyberprzestępcom ich późniejsze wykorzystanie. Na dodatek, według niektórych informacji, skradzione zostały nie tylko dane obecnych klientów, ale także tych, którzy z usług firmy zrezygnowali wiele miesięcy temu.

Udany atak to początek kłopotów operatora. Musi się on liczyć z żądaniami odszkodowań od klientów. W ocenie prawników pojedyncze żądanie może mieć wartość 1000 funtów. Poza tym musi się liczyć z karą nałożoną przez urząd dbający o bezpieczeństwo danych. ta kara sięgnąć może 500 tys. funtów. Konsekwencją ataku może być również odpływ klientów.

Na ataku ucierpieć mogą także klienci, którzy mogą stać się ofiarą spamu telefonicznego, czy mailowego, a także obiektem wyrafinowanych ataków mających na celu wyłudzenia pieniędzy, w których wykorzystywane będą dane zdobyte w wyniku ujawnionego cyberataku. Co więcej pojawiły się już informacje o takich atakach. Na dodatek zdają się one świadczyć, że dane, a przynajmniej część z nich, została wykradziona znacznie wcześniej, nawet kilka miesięcy temu.

Część klientów twierdzi, że ich konta bankowe zostały wyczyszczone, ale TalkTalk jest zdanie, że na podstawie przechwyconych przez atakujących danych jest to niemożliwe.

Według mediów, firma już po ataku popełniła także olbrzymie błędy w kontaktach z klientami, czym doprowadziła ich do furii. Gdy klienci zgłaszali chęć zerwania umowy motywując to udanym atakiem informowano ich, że muszą zapłacić 247 funtów kary. Według brytyjskich organizacji konsumenckich - m.in. Which? - w takim wypadku kara nie powinna być naliczana.