Przejęte konta, skradzione dane i groźby
Szwedzki producent ciężkich pojazdów użytkowych, Scania, potwierdził, że padł ofiarą ataku cybernetycznego, który zakończył się kradzieżą dokumentacji zawierającej poufne dane ubezpieczeniowe. Incydent, do którego doszło pod koniec maja, objął wewnętrzny system obsługujący zgłoszenia ubezpieczeniowe — aplikację udostępnioną przez zewnętrznego partnera IT. Jak podaje Scania, cyberprzestępcy wykorzystali dane uwierzytelniające jednego z legalnych użytkowników, by niepostrzeżenie zalogować się do systemu i pobrać dokumenty. Źródłem wycieku były prawdopodobnie dane logowania przejęte za pomocą złośliwego oprogramowania, które infekuje urządzenia w celu kradzieży haseł. To nie pierwszy przypadek, gdy narzędzia tego typu otwierają przestępcom drzwi do zamkniętych systemów korporacyjnych. W tym przypadku atakujący wykorzystali konto techniczne zewnętrznego dostawcy, co pokazuje, że nawet pośrednie punkty dostępu mogą stanowić poważne zagrożenie dla bezpieczeństwa dużych organizacji. Po zdobyciu dostępu i wykradzeniu dokumentów hakerzy przeszli do kolejnej fazy — próby wymuszenia. Skontaktowali się z pracownikami Scanii, wysyłając e-maile z adresów w domenie proton.me, żądając pieniędzy w zamian za nieujawnienie skradzionych danych. Wiadomości zawierały groźby i ostrzeżenia o publikacji, a część wykradzionych materiałów zaczęła pojawiać się na forach w darknecie. Platforma Hackmanac jako pierwsza odnotowała wpis cyberprzestępcy podpisującego się jako „Hensi”, który zaoferował dane do sprzedaży jednemu zainteresowanemu nabywcy.
Prywatność klientów zagrożona, śledztwo trwa
Dokumenty, które trafiły w ręce przestępców, dotyczą roszczeń ubezpieczeniowych. Mogą zawierać dane osobowe, informacje finansowe, a nawet medyczne – wszystko zależy od charakteru zgłoszeń. Scania nie podała, ilu klientów lub pracowników zostało objętych naruszeniem, ale potwierdziła, że zawiadomiła odpowiednie organy ochrony danych, w tym urzędy odpowiedzialne za prywatność w Unii Europejskiej. Jednocześnie zapewnia, że skala incydentu jest ograniczona, choć wciąż analizowana. Zaatakowana aplikacja została natychmiast wyłączona i od momentu wykrycia incydentu nie jest dostępna online. Firma prowadzi obecnie wewnętrzne dochodzenie z udziałem specjalistów ds. bezpieczeństwa, a także współpracuje z odpowiednimi służbami. W nocy z 29 na 30 czerwca atakujący ponowili próbę kontaktu, wysyłając kolejne wiadomości do pracowników Scanii. Tym razem skorzystano również z konta e-mail należącego do zewnętrznego użytkownika, którego konto prawdopodobnie również zostało zhakowane. Niedługo później fragmenty danych trafiły do przestrzeni publicznej, co potwierdza, że przestępcy zrealizowali przynajmniej część swoich gróźb. Scania, należąca do grupy Volkswagen, zatrudnia ponad 59 tysięcy osób i sprzedaje rocznie ponad 100 tysięcy pojazdów na całym świecie. Jest znana z produkcji silników przemysłowych i okrętowych, a także z innowacji w dziedzinie ekologicznego transportu ciężkiego. Incydent z końca maja rzuca cień na jej wizerunek w zakresie zarządzania danymi i bezpieczeństwa informatycznego — szczególnie że sprawa dotyczy danych klientów, a nie wyłącznie informacji technicznych. Firma podkreśla, że niezwłocznie wdrożyła środki zaradcze i cały czas monitoruje sytuację. Istotne pozostaje teraz zminimalizowanie skutków naruszenia, ustalenie pełnego zakresu wycieku i wzmocnienie zabezpieczeń, zwłaszcza w relacjach z partnerami zewnętrznymi.
