Z vdorom v Telekom pridobili tudi zaupne podatke

Po enem najresnejših kibernetskih napadov na Telekom Slovenije, v katerem je bilo na temnem spletu razkritih 385 internih dokumentov z osebnimi podatki nekaterih njihovih naročnikov ter podatki o strankah, partnerjih in Telekomovi hčerinski družbi IPKO na Kosovu, je več vprašanj o Telekomovi informacijsko-tehnološki varnosti, pa tudi o njihovi odgovornosti za zlonamerno odkrite (angl. doxxing) podatke o vsaj 150 osebah, vključno s telefonskimi številkami.

Vdor v Telekom Slovenije: občutljivi podatki že na temnem spletu

Že včeraj smo poročali, da so se v nekaterih uredništvih znašli dokumenti, ki naj bi vsebovali občutljive informacije o Telekomovih naročnikih, vključno z naslovi, telefonskimi številkami in IP-naslovi, in da so ukradeni podatki po informacijah na forumih na temnem spletu sodeč tudi že na ogled.

V datotekah, ki smo jih pridobili in preverili v uredništvu, je videti, da je bilo odtujenih več podatkov, vključno z imeni, priimki, naslovi, hišnimi in telefonskimi številkami strank, prav tako po grobih ocenah blizu tisoč elektronskih naslovov zaposlenih in o dovoljenjih, ki jih ti imajo v sistemu.

Pri tem ne gre le za Telekomove zaposlene, temveč tudi za zaposlene v družbi IPKO, na Darsu … V Darsovem primeru naj bi se v datotekah pojavljale vsebine, povezane s cestninjenjem in vinjetami ter s kaznimi za tovornjakarje. Najdejo se tudi slike radarjev, pa cestninjenja iz tujine, in sicer iz Slovaške in Madžarske.

V datotekah.json, ki se uporabljajo za izmenjavo podatkov med spletnimi strežniki in spletnimi aplikacijami, je mogoče po večini razbrati interno komunikacijo. Nepridipravi jo lahko uporabijo za razumevanje, kako deluje določen sistem. Prav tako se zdi, da so v datotekah.json nekateri podatki zaposlenih.

Odprava posledic napada je Univerzo v Mariboru stala 140.000 evrov

Telekom ponuja storitve za kibernetsko varnost

V primeru Telekoma, družbe z »največjim mobilnim omrežjem z največ baznimi postajami in največjim dostopovnim optičnim omrežjem« v državi, vzbuja začudenje, kako slabo šifrirani so pri njih občutljivi podatki, saj se zdi, da bi bilo že ob nekoliko bolj poglobljenem brskanju razkritih vsebin mogoče priti celo do gesel uporabnikov.

Telekom sicer aktivno trži storitve kibernetske varnosti in sočasno preiskuje kibernetske napade pri napadenih podjetjih in institucijah.

»Za celovito zaščito vašega podjetja vam ponujamo MDR-rešitev (angl. Managed Detection and Response), ki podjetjem in organizacijam omogoča zaznavanje groženj in takojšnje odzivanje nanje. Uporaba pravih orodij, zaznavanje varnostnih groženj in odziv so ključni za zaustavitev napada. Vse to spremljajo in izvajajo naši certificirani strokovnjaki v Centru kibernetske varnosti in odpornosti 24 ur na dan in vse dni v letu,« piše na Telekomovi spletni strani. 

Na vprašanja, ki mo jih včeraj naslovili na Telekom, smo popoldne prejeli odgovor, v katerem navajajo, da natančna analiza varnostnega incidenta, v katerem so bili razkriti nekateri podatki, še poteka. »Do nepooblaščenega dostopa do podatkov je prišlo v podpornem orodju za interni redni delovni tok upravljanja sprememb in odprave napak. V primerih, kjer se obravnavana sprememba oziroma odprava napake nanaša na določenega naročnika, pa lahko zapisi vsebujejo tudi nekatere njegove podatke, a le tiste, ki so nujni za izvedbo spremembe oziroma odprave napake,« so med drugim zapisali (odgovor v celoti na dnu članka).

Na Telekomu Slovenije še niso odgovorili na naša vprašanja. FOTO: Jure Eržen/Delo

Varnost v rokah vodilnih

Kaj o enem največjih vdorov pravijo v nacionalnem odzivnem centru za kibernetsko varnost Si-cert? Odgovorili so na kratko in skopo, da ne morejo komentirati preiskav, ki še tečejo. Sicer po njihovi oceni podjetja »različno razumejo pomembnost kibernetske varnosti«, pri čemer naj bi imela glavno vlogo vodstva podjetij.

»Pogosto žal vodilni v podjetjih še vedno imajo investicije v kibernetsko varnost za nepotreben strošek. Ne vsa, večja podjetja se, denimo, dovolj zavedajo tveganj ob izgubi podatkov ali drugih kibernetskih napadih, da poskrbijo za ustrezne zmogljivosti ekip, ki skrbijo za varnost,« pravijo na Si-certu in dodajajo, da so »sistemi postali povsod dokaj kompleksni« in da ni mogoče »vedno zagotavljati popolne varnosti, kar pravzaprav poznamo tudi iz nedigitalnega življenja«.

Zato je po njihovem pomembno predvsem to, kako se ob incidentu ukrepa in kako hitro se sprejmejo ukrepi za njegovo zamejitev in obvladovanje. Kot so še zatrdili, je »ekipa Telekoma Slovenije hitro in strokovno pristopila k obvladovanju tega incidenta«. Si-cert sicer vsako leto obdela več kibernetskih incidentov. Lani so jih obdelali 4587, od tega 790 tehnično zahtevnejših.