Лични данни на 3 000 служители на UniCredit се продават в интернет

Продавачът показа някои частични данни, за да потвърди достоверността им и казва, че ще публикува още

След хакерска атака личните данни на около 3000 служители на UniCredit бяха обявени за продажба във форуми за киберпрестъпност, информира Bloomberg.

Данните са пуснати в продажба на 19 април и съдържат имейли, телефонни номера, криптирани пароли и имена, написа в своя уебсайт Telsy, звено на Telecom Italia. “Базата данни изглежда истинска и е в резултат на SQL инжекционна атака“ според Telsy. SQL инжектирането е техника за въвеждане на злонамерен код, използвана за атака на приложения.

От UniCredit посочват, че са се свързали със “съответните органи“ и въпросът се разследва.

“Името на UniCredit е замесено в предполагаем случай за изтичане на данни в Румъния, свързан с HR платформа за набиране на служители, предоставена и управлявана от трета страна”, заявяват от банката в отговор на въпроси на Bloomberg и допълват, че няма данни за достъп до системите й.

Изтеклите данни се продават въз основа на план, свързан с броя на “редовете”, предлагани на купувача. Цената на пълния пакет, включващ 150 000 реда данни, е 10 000 долара и съдържа информация на UniCredit “от края на 2018-2019 г.”, сочи публикацията на Telsy. Това прави 1000 долара за достъп до имената на 3000 служители.

Продавачът показа някои частични данни, за да потвърди достоверността им и казва, че ще публикува допълнителни извадкови данни след 24-36 часа от първата публикация.

Подобно на много големи компании и институции, банките са се сблъсквали с няколко кибератаки, които са нарушавали дейността им или е изтичала лична информация на клиентите. Миналата година UniCredit откри теч на данни, включително имена, телефонни номера и имейли, на 3 милиона клиенти.

UniCredit, която инвестира милиарди евро от 2016 г. за модернизиране на своите системи за киберсигурност и информационни технологии, заяви, че сигурността на данните и поверителността са нейни ключови приоритети по всяко време.

На 5 юли миналата година писах за Първа глоба за нарушаване на GDPR в РумънияРумънският надзорен орган за защита на личните данни глоби Unicredit Bank S.A. с 130 000 евро за нарушаване на чл. 25, §1 от Общия регламент за защита на данните (GDPR). Санкцията е заради неприлагането на подходящи технически и организационни мерки, както при определянето на средствата за обработка, така и на самите операции по обработка, предназначени за ефективно прилагане на принципите за защита на данните, като например минимизиране на данните и интегриране на необходимите предпазни мерки при обработването, за да отговорят на изискванията на GDPR и да защитят правата на субектите на данни.

Броят на засегнатите клиенти е 337 042 души, в периода между 25 май 2018 г. – 10 декември 2018 г.

На 22 ноември 2018 г., надзорният орган е уведомен, че личният идентификационен номер и адреса на лицата, извършващи плащания към UNICREDIT BANK SA, чрез онлайн транзакции, са разкрити на бенефициента на сделката чрез банково извлечение.

Можете да споделите: