Kórejský smartfón a televízny gigant Samsung stratil neznáme množstvo údajov týkajúcich sa neznámeho počtu zákazníkov – a mlčal o tom takmer mesiac.
Takže, čo sa stalo? Koho to postihlo? A sú používatelia Samsungu v bezpečí?
Čo sa stalo pri porušení údajov spoločnosti Samsung?
Krátka odpoveď je, že spoločnosť Samsung nevie, ako k porušeniu údajov došlo – alebo aspoň nehovorí 2. septembra tlačová správa, v ktorom sa jednoducho uvádza, že „Koncom júla 2022 neoprávnená tretia strana získala informácie z niektorých systémov spoločnosti Samsung v USA“.
Vyhlásenie pokračuje:
„Chceme ubezpečiť našich zákazníkov, že tento problém neovplyvnil čísla sociálneho poistenia ani čísla kreditných a debetných kariet, ale v niektorých prípady, môžu mať vplyv na informácie, ako je meno, kontaktné a demografické informácie, dátum narodenia a registrácia produktu informácie. Ovplyvnené informácie pre každého relevantného zákazníka sa môžu líšiť.“
Kontaktné údaje pravdepodobne zahŕňajú domácu adresu, telefónne číslo a e-mail. Ďalšie informácie zhromaždené počas registrácie produktu zahŕňajú pohlavie, presné geolokačné údaje, ID profilu účtu Samsung, používateľské meno a ďalšie. Dokonca len tak
vaša e-mailová adresa môže byť pre zločincov cenná.Polovičaté uistenie spoločnosti Samsung môže utešiť niektorých zákazníkov, že zločinci nepoužívajú údaje o ich kreditnej karte napríklad na nákup nevystopovateľnej kryptomeny. Avšak množstvo informácií, ktoré spoločnosť priznáva smieť boli prijaté je ohromujúce a nie je to niečo, čo by sa tak ľahko vydávalo za nehmotné.
S takouto úrovňou detailov by malo byť pre útočníkov pomerne triviálne skonštruovať presnosť spearphishingové útoky, vymieňať SIM karty a brať úvery a pôžičky v mene obete.
Možno to je dôvod, prečo vydanie spoločnosti Samsung s námahou poznamenáva, že hoci obetiam neponúka bezplatné monitorovanie kreditu, majú podľa zákonov USA nárok na jednu bezplatnú úverovú správu ročne od každého z troch hlavných celoštátnych úverových správ agentúry“.
Spoločnosť Samsung odhalila porušenie 4. augusta 2022 a zverejnila tieto obmedzené informácie o celých 30 dní neskôr. Legislatíva v oblasti zverejňovania údajov o porušení ochrany údajov sa v USA líši, ale je bežnou podmienkou, že oznámenie o takomto porušení sa uskutoční čo najrýchlejšie a bez zbytočného odkladu. Maximálny povolený časový rámec na zverejnenie je od 30 dní (Colorado, Florida) do 90 dní (Connecticut). Odložením zverejnenia tak dlho sa spoločnosť Samsung môže dostať do istého rizika.
Koho postihlo porušenie údajov spoločnosti Samsung?
Pokiaľ ide o to, koho sa to týkalo, Samsung neuvádza ani približné čísla. Môže to byť každý zákazník, ktorý niekedy vlastnil zariadenie Samsung, alebo to môže byť len hŕstka. To ešte nevieme. Spoločnosť Samsung sa pokúsila upokojiť dotknutých používateľov slovami:
"Vážime si dôveru našich zákazníkov a ak na základe vyšetrovania zistíme, že incident si vyžaduje ďalšie oznámenie, budeme vás zodpovedajúcim spôsobom kontaktovať."
Android polícia uvádza, že začiatkom tohto roka hackerská skupina Lapsus$ tvrdila, že od spoločnosti Samsung získala 190 GB citlivých údajov vrátane algoritmov pre všetky biometrické údaje. operácie odomknutia, zdrojový kód pre bootloader pre novšie produkty Samsung a celý zdrojový kód procesu autorizácie a autentifikácie Samsung účtov.
Čo s tým môžete urobiť?
Dobre, takže čo vlastne môžete urobiť s týmto porušením? S touto úrovňou informácií by ste mali využiť službu monitorovania kreditu, aby ste dohliadali na každú novú žiadosť o kartu alebo pôžičku vo vašom mene. Ešte lepšie je zmraziť svoj kredit, kým si nebudete istí, že ste v bezpečí. Pravdepodobne by bolo dobré zmeniť si aj telefónne číslo.
A ak máte obavy a chcete uistenie alebo ďalšiu radu, kontaktujte priamo spoločnosť Samsung. Svoju nespokojnosť môžete prejaviť aj vy, aby v prípade, že sa niečo podobné zopakuje, nezaobchádzali s vašimi informáciami tak zdanlivo nedbalým spôsobom.