:

Szerző: Dömös Zsuzsanna

2023. december 11. 10:55

Bekapcsolta az OTP a kétfaktoros hitelesítést a Simple-ben

A felhasználóknak küldött üzenet szerint az Anonymous csoport volt a múlt hét pénteken elkövetett, Simple-fiókokat érintő újabb biztonsági incidens elkövetője. Az események hevében hétvégén megérkezett a kétfaktoros azonosítás is a szolgáltatásba, aminek a bevezetése az eredeti terv szerint december 11-én kezdődött volna.

Újabb biztonsági incidensben érintett az OTP Simple szolgáltatás, miután december 5-én kedd este a hivatalos 4300 Simple-fiókhoz hozzáférhettek illetéktelenek a független forrásból, jogosulatlanul megszerzett adatok segítségével, majd megváltoztatták a hozzárendelt e-mail címeket. December 8-án a SimplePay még arról tájékoztatta a felhasználókat, hogy „bankkártya-elfogadás esetén lassulás tapasztalható”, de hétvégén sem tudott mindenki belépni a mobil applikációba, egyesek fennakadásokra, hálózati hibákra panaszkodtak, illetve a Telexnek küldött képek szerint többen hackerektől is angol nyelvű levelet kaphattak.

A december 8-án történt újabb kibertámadás során szétküldött üzenet a szövegezés alapján az Anonymous csoporthoz köthető: a levélben a bűnözők a magyar korrupciót és az izraeli népirtás támogatását emlegetik, és az írók állításuk szerint "egymillió dollárt" loptak el az „extra adót szedő” OPT-től, amit jótékony célra fordítottak. A támadók szerint az OTP-nek „volt képe azt mondani a világnak, hogy bankjai biztonságosak”. A Telex olvasóinak visszajelzése alapján a küldők a tulajdonosok valódi jelszavát küldték el bizonyítékul.

simple

A Gitlab mint DevSecOps platform (x)

Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

Az OTP hasonló választ küldött, mint az első esetnél: a péntek esti támadás során az elkövetők más felületeken eltulajdonított felhasználónév/jelszó kombinációkkal férhettek hozzá a felhasználói fiókokhoz, ezért biztonsági okokból átmenetileg elfüggesztette a Simple applikáció működését. A vállalat hozzátette azt is, hogy a fiókban tárolt bankkártyaadatokat a PCI DSS szabvány szerint tárolja a Simple rendszere.

A belépési kísérletek megakadályozására és a Simple-fiókok, valamint az ott tárolt személyes adatok további védelmére az OTP Mobil bekapcsolta a kétfaktoros azonosítást valamennyi, már meglévő felhasználói fiók esetében. A cég a kétfaktoros hitelesítés bevezetéséről valamivel korábban, december 3-án tájékoztatotta az ügyfeleket, amikor a december 11-től hatályos ÁSZF-módosulásról küldött levelet a felhasználóknak.

A támadás napján jelent meg a Simple webes felületén egy tájékoztatás is arról, miként működik a kétfaktoros fiókazonosítás e-mailes bejelentkezés esetén. Amennyiben a netező a Simple és Simple Classic alkalmazásokban, valamint a SimplePay felületen új böngészőből  ismeretlen eszközről jelentkezik be, egy hat számjegyű azonosítókód érkezik a regisztrált e-mail címre. A szolgáltató viszont megjegyzi, hogy Google-, Facebook- és Apple-fiókon keresztül történő belépéshez nem lehet beállítani a plusz védelmet, és azt javasolja, hogy ezen fiókokhoz külön állítsa be a felhasználó a kétfaktoros hitelesítést az adott szolgáltatásokban.

Az üzemeltetői szakmát számos nagyon erős hatás érte az elmúlt években. A történet pedig messze nem csak a cloudról szól, hiszen az on-prem világ is megváltozott.

a címlapról