Novi proboj u Carnivalu — ukradeni podaci 6 miliona putnika
Carnival, jedna od najvećih kompanija za prekookeanska putovanja, prijavio je krađu podataka za blizu 6 miliona putnika. Napadači nisu razbijali atome da bi upali u računarsku mrežu, već su nasamarili jednog od zaposlenih da im preda pristupne podatke. Lažno se predstavivši, ubedili su ga da im otvori put do baze podataka o putnicima. Imena, datumi rođenja, adrese, brojevi pasoša i vozačkih dozvola, a negde i broj socijalnog osiguranja, kao pandan našem JMBG-u — uskoro će se, po svemu sudeći, naći na Dark vebu. Napadač je u mreži boravio danima pre nego što ga je tehnička služba uočila, a pogođeni putnici o tome su saznali tek pet nedelja kasnije. Ovo se Carnivalu ne dešava prvi put: već je imao slične slučajeve 2020. i 2021, što je ispraćeno sudskim poravnanjem sa američkim državama 2022.
Ovakvi slučajevi ne bole odmah, nego kroz vreme: kombinacija imena, datuma rođenja i broja pasoša je gotov pribor za krađu identiteta i phishing koji deluje uverljivo jer napadač zna autentične podatke potencijalnih žrtava. Lozinka se promeni, ali pasoš, datum rođenja i JMBG teško. Putnicima je ponuđena usluga praćenja zloupotrebe procurelih informacija, ali ograničena samo na dve godine. Nasamarenog zaposlenog verovatno čeka otkaz, iako na socijalni inženjering niko nije imun u potpunosti. Pravo pitanje je kako je jedna globalna kompanija sebi ponovo dozvolila da greška jednog čoveka ugrozi podatke šest miliona ljudi. To vam je, otprilike, kao cela Srbija.
- Posle ovakvih slučajeva obično kreće talas phishing prevara koje zvuče ubedljivo jer napadač zna prave podatke potencijalnih žrtava — svaki hitan zahtev za promenu lozinke, pristup nalozima ili uplate proveri drugim kanalom, ne klikom iz poruke
- Ako si putovao sa Carnivalom, prijavi se za besplatno praćenje finansijskih manipulacija pre 31. avgusta. Ne računaj da ćeš biti zaštićen, već samo upozoren na moguće malverzacije
- Uvedi obaveznu proveru identiteta za hitne zahteve (callback na poznati broj), jer awareness obuke ne mogu da spreče napade socijalnim inženjeringom
- Smanji štetu unapred: segmentacija pristupa bazama i alarm kada neko počne masovno da izvlači podatke
- Ako čuvaš tuđe lične informacije, preispitaj da li ti uopšte trebaju i koliko dugo — podatak koji ne čuvaš ne može da procuri