Egy adatvédelmi incidens során 49 millió Dell-ügyfél adatait lopták el
A Dell bejelentette, hogy egy adatvédelmi incidenst követően mintegy 49 millió ügyfele személyes adatait lopták el. Az incidens során egy online áruházuk API-hozzáférésének hiányosságait kihasználva jutottak hozzá az adatokhoz.
A Dell csütörtökön kezdte el küldeni az adatvédelmi értesítéseket ügyfeleinek, amelyben tájékoztatta őket, hogy egy vásárlói információkat tartalmazó portáljukat érte támadás. Az adatlopás elkövetője állítólag több mint 49 millió ügyfél adataihoz fért hozzá, beleértve a nevüket, fizikai címüket, valamint az általuk vásárolt hardverrel és rendelésekkel kapcsolatos információkat.
Az incidens részletei
Az adatvédelmi értesítés szerint a Dell vizsgálja az incidenst, és hangsúlyozza, hogy az ellopott adatok nem tartalmaznak pénzügyi információkat, e-mail címeket vagy telefonszámokat. A vállalat együttműködik a bűnüldöző hatóságokkal és egy kiberbiztonsági céggel az eset kivizsgálása érdekében.
A támadást először a Daily Dark Web jelentette, amely szerint egy Menelik nevű hacker április 28-án próbálta eladni az ellopott adatokat a Breach Forums hackerfórumon. Menelik saját elmondása szerint a Dell partner- és viszonteladói portálján keresztül jutott hozzá az adatokhoz, miután hamis céges nevekkel regisztrált fiókokat hozott létre, és két napon belül ellenőrzés nélkül hozzáférést kapott.
Így dolgozott a támadó
Miután hozzáférést szerzett a portálhoz, Menelik egy programot készített, amely 7 jegyű szolgáltatási címkéket generált és elküldte őket a portál oldalára, hogy kinyerje a visszakapott információkat. Mivel a portálon nem volt sebességkorlátozás, Menelik állítása szerint összesen 49 millió ügyfél adatait gyűjtötte be három hét alatt, percenként 5000 kérést generálva.
Az ellopott adatok között a következő terméktípusok szerepelnek:
- Monitorok: 22 406 133
- Alienware notebookok: 447 315
- Chromebookok: 198 713
- Inspiron notebookok: 11 257 567
- Inspiron asztali gépek: 1 731 767
- Latitude laptopok: 4 130 510
- Optiplex: 5 177 626
- Poweredge: 783 575
- Precision asztali gépek: 798 018
- Precision notebookok: 486 244
- Vostro notebookok: 148 087
- Vostro asztali gépek: 37 427
- Xps notebookok: 1 045 302
- XPS/Alienware asztali gépek: 399 695
Az API-k gyenge pontja
Az API-k specifikus hitelesítés nélküli hozzáférhetősége komoly gyengeséggé vált a vállalatok számára. Az elmúlt években több hasonló adatvédelmi incidens is történt, például 2021-ben a Facebook és a Twitter API-k hibái miatt több száz millió felhasználó adatait lopták el.
Ezek az esetek rámutatnak arra, hogy az API-k megfelelő védelmének hiánya, valamint a sebességkorlátozás nélküli hozzáférés komoly adatvédelmi kockázatot jelent. A Dell esete figyelmeztetésül szolgál, hogy a vállalatoknak nagyobb figyelmet kell fordítaniuk az API-k védelmére és a felhasználói hitelesítések megfelelő kezelésére.