Június közepén a svájci központú UBS Bank hivatalosan is megerősítette, hogy egyik beszállítója, a Chain IQ elleni kibertámadás során több mint 100 ezer munkatárs személyes adatai kerülhettek illetéktelen kezekbe. A támadás újabb figyelmeztetés arra, hogy a nagyvállalatok IT-biztonságát nem csak a saját rendszereiken keresztül lehet támadni, hanem egyre gyakrabban az ellátási lánc mentén, harmadik feleken keresztül is.

A Chain IQ egy nemzetközi beszerzési és tanácsadó vállalat, amely olyan nagy ügyfeleknek nyújt szolgáltatásokat, mint az UBS, a Pictet vagy más pénzügyi szereplők. A cég június 10-én észlelte az első gyanús tevékenységeket, majd rövidesen aktiválta az incidens-reakciós protokollját.

A támadás során körülbelül 130 000 alkalmazott – köztük az UBS jelenlegi vezérigazgatója, Sergio Ermotti – személyes adatai szivárogtak ki. Ezek között szerepelt:

• teljes név,
• munkahelyi e-mail cím,
• vezetékes, és néhol mobiltelefonszám,
• munkahelyi pozíció és szervezeti egység.

A kiszivárgott adatok egy része már fel is került a darknetre, és több forrás szerint árusítják is azokat. A támadást a World Leaks nevű hackercsoport vállalta magára – korábbi nevükön Hunters International –, amely főként adatszivárogtatással foglalkozik. Módszerük nem a hagyományos zsarolóvírus-típusú fájltitkosítás, hanem az úgynevezett „leakware”, amelynek során az ellopott adatokat fenyegetésként használják zsarolásra, vagy egyszerűen nyilvánosságra hozzák, ha a célpont nem fizet.

A csoport a Chain IQ-t szemelte ki, és ezzel közvetetten az UBS-hez jutott el – anélkül, hogy az UBS rendszereihez közvetlenül hozzá kellett volna férniük. Ez egy tankönyvi példája a beszállítói láncon keresztül végrehajtott támadásnak.

Az UBS közleménye szerint ügyféladatok nem kerültek veszélybe, és a bank működését sem befolyásolta a támadás.

Ettől függetlenül a munkavállalói adatok kiszivárgása jelentős kockázatot jelent, mert így például célzott adathalász-támadások indíthatóak az e-mail címükre, a nevükben hamis kommunikációt folytathatnak a bűnözők, de akár a munkavállalók fizikai biztonságának szempontjából is veszélyes, ha nyilvánosságra kerül a lakcímük.

A Finma, Svájc pénzügyi felügyeleti hatósága már vizsgálja az ügyet, és hasonlóan az Európai Központi Bankhoz, figyelmeztetett a beszállítói láncban rejlő kockázatokra.

Mit tanulhatunk az esetből?

A történtek rávilágítanak arra, hogy a legnagyobb szervezetek biztonságát is gyengíthetik harmadik felek.

A támadás célpontja ebben az esetben nem a bank volt, hanem a háttérben dolgozó, üzleti tanácsadással foglalkozó vállalat. Egy jól kivitelezett, az ellátási lánc elleni támadás nagyobb kockázatot jelenthet, mint egy klasszikus ransomware-fenyegetés. Egy globális pénzintézet biztonsága ma már nem kizárólag a saját IT-részlegén múlik. A harmadik félként működő partnerek megfelelő védelme nélkül még a legnagyobb bankok sem lehetnek biztonságban.

A hír forrása: Reuters