Korejski gigant za pametne telefone i TV, Samsung, izgubio je nepoznatu količinu podataka koji se odnose na nepoznati broj korisnika—i šutio je o tome gotovo mjesec dana.
Dakle, što se dogodilo? Tko je bio pogođen? I jesu li korisnici Samsunga sigurni?
Što se dogodilo u slučaju povrede Samsungovih podataka?
Kratak odgovor je da Samsung ne zna kako je došlo do povrede podataka—ili barem ne kaže 2. rujna priopćenje za javnost, koji jednostavno kaže: "Krajem srpnja 2022. neovlaštena treća strana prikupila je podatke iz nekih Samsungovih sustava u SAD-u".
Izjava se nastavlja:
"Želimo uvjeriti naše klijente da problem nije utjecao na brojeve socijalnog osiguranja ili brojeve kreditnih i debitnih kartica, ali u nekim slučajevima, mogli utjecati na podatke kao što su ime, kontakt i demografski podaci, datum rođenja i registracija proizvoda informacija. Podaci na koje se to odnosi za svakog relevantnog kupca mogu se razlikovati."
Podaci za kontakt vjerojatno uključuju kućnu adresu, broj telefona i e-poštu. Dodatne informacije prikupljene tijekom registracije proizvoda uključuju spol, precizne geolokacijske podatke, ID profila Samsung računa, korisničko ime i još mnogo toga. Čak i samo
vaša adresa e-pošte može biti vrijedna kriminalcima.Samsungovo polusrdačno uvjeravanje moglo bi utješiti neke kupce da kriminalci ne koriste podatke njihove kreditne kartice za, na primjer, kupnju kriptovalute kojoj se ne može ući u trag. Međutim, količina informacija koje tvrtka priznaje svibanj uzeti je zapanjujuće, a ne nešto tako lako protumačeno kao nevažno.
Uz ovu razinu detalja, napadačima bi trebalo biti relativno trivijalno konstruirati preciznost spearphishing napadi, projektirati zamjene SIM kartica i podizati kredite i zajmove na ime žrtve.
Možda je to razlog zašto se Samsungovo izdanje trudi primijetiti da, iako žrtvama ne nudi besplatno praćenje kredita, "vi prema zakonu SAD-a imaju pravo na jedno besplatno kreditno izvješće godišnje od svakog od tri glavna nacionalna kreditna izvješća agencije."
Samsung je otkrio kršenje 4. kolovoza 2022. i objavio ove ograničene informacije punih 30 dana kasnije. Zakoni o otkrivanju povrede podataka razlikuju se u SAD-u, ali uobičajena je odredba da se obavijest o takvoj povredi podnese što je moguće brže i bez neopravdanog odgađanja. Maksimalni dopušteni vremenski okvir za otkrivanje je između 30 dana (Colorado, Florida) i 90 dana (Connecticut). Ovoliko dugo odgađajući otkrivanje, Samsung bi se mogao dovesti u opasnost.
Tko je bio pogođen kršenjem podataka Samsunga?
Što se tiče toga tko je pogođen, Samsung ne daje čak ni približne brojke. To bi mogao biti svaki kupac koji je ikada posjedovao Samsung uređaj ili bi to mogla biti tek šačica. Još ne znamo. Samsung je pokušao umiriti pogođene korisnike rekavši:
"Cijenimo povjerenje naših kupaca i, ako našom istragom utvrdimo da incident zahtijeva dodatnu obavijest, kontaktirat ćemo vas u skladu s tim."
Android policija izvještava da je ranije ove godine hakerska skupina Lapsus$ tvrdila da je izvukla 190 GB osjetljivih podataka iz Samsunga, uključujući algoritme za sve biometrijske operacije otključavanja, izvorni kod za bootloader za novije Samsungove proizvode i sav izvorni kod iza procesa autorizacije i autentifikacije Samsunga računi.
Što možete učiniti u vezi s tim?
U redu, što zapravo možete učiniti u vezi ove povrede? S ovom razinom informacija koje se otkrivaju, trebali biste angažirati uslugu kreditnog nadzora koja će paziti na sve nove zahtjeve za karticu ili kredit na vaše ime. Još bolje, zamrznite svoj kredit dok ne budete sigurni da ste sigurni. Vjerojatno je dobra ideja promijeniti i broj telefona.
A ako ste zabrinuti i želite sigurnost ili daljnji savjet, obratite se izravno Samsungu. Možete i vi izraziti svoje nezadovoljstvo, kako se, ako se ovako nešto ponovi, ne bi tako naizgled nemarno odnosili prema vašim podacima.
