ענקית הסמארטפונים והטלוויזיה הקוריאנית, סמסונג, איבדה כמות לא ידועה של נתונים הקשורים למספר לא ידוע של לקוחות - ושתקה על כך במשך כמעט חודש.

אז מה קרה? מי הושפע? והאם משתמשי סמסונג בטוחים?

מה קרה בפרצת הנתונים של סמסונג?

התשובה הקצרה היא שסמסונג לא יודעת איך פרצת הנתונים קרתה - או לפחות, לא נאמר ב-2 בספטמבר ידיעה לתקשורת, שקובע בפשטות כי, "בסוף יולי 2022, צד שלישי לא מורשה רכש מידע מכמה מהמערכות האמריקאיות של סמסונג".

ההצהרה ממשיכה:

"אנחנו רוצים להבטיח ללקוחות שלנו שהבעיה לא השפיעה על מספרי תעודת זהות או מספרי כרטיסי אשראי וחיוב, אבל בחלק במקרים, ייתכן שהשפיעו על מידע כגון שם, איש קשר ומידע דמוגרפי, תאריך לידה ורישום מוצר מֵידָע. המידע המושפע עבור כל לקוח רלוונטי עשוי להשתנות."

פרטי ההתקשרות כוללים ככל הנראה כתובת בית, מספר טלפון ואימייל. מידע נוסף שנאסף במהלך רישום המוצר כולל מגדר, נתוני מיקום גיאוגרפי מדויקים, מזהה פרופיל חשבון Samsung, שם משתמש ועוד. אפילו רק כתובת הדוא"ל שלך יכולה להיות בעלת ערך לפושעים.

ההבטחה החצי-לבית של סמסונג עשויה לנחם חלק מהלקוחות שהפושעים אינם משתמשים בפרטי כרטיס האשראי שלהם, למשל, לקנות מטבע קריפטוגרפי בלתי ניתן לאיתור. עם זאת, כמות המידע שהחברה מודה

instagram viewer
מאי שנלקחו הוא מדהים, ולא משהו שהתגלה כל כך בקלות כלא מהותי.

עם רמת פירוט זו, זה אמור להיות טריוויאלי יחסית לתוקפים לבנות דיוק התקפות חנית, מהנדס החלפת סים, ולוקח אשראי והלוואות על שם הקורבן.

אולי זו הסיבה שהשחרור של סמסונג מקפיד לציין שאמנם היא אינה מציעה ניטור אשראי בחינם לקורבנות, "אתם זכאים לפי החוק האמריקאי לדוח אשראי אחד בחינם מדי שנה מכל אחד משלושת דיווחי האשראי הגדולים בפריסה ארצית סוכנויות".

סמסונג חשפה את הפרצה ב-4 באוגוסט 2022, ופרסמה מידע מוגבל זה כעבור 30 ימים שלמים. החקיקה לגילוי פרצות נתונים משתנה בארה"ב, אך זוהי תניה נפוצה שהודעה על הפרה כזו תתבצע במהירות האפשרית וללא עיכוב בלתי סביר. מסגרת הזמן המקסימלית המותרת לחשיפה היא בין 30 יום (קולורדו, פלורידה) ל-90 יום (קונטיקט). על ידי דחיית החשיפה כל כך הרבה זמן, סמסונג עשויה להעמיד את עצמה בסכנה מסוימת.

מי הושפע מהפרת הנתונים של סמסונג?

לגבי מי שהושפע, סמסונג אפילו לא מוסרת מספרים משוערים. זה יכול להיות כל לקוח שאי פעם היה בבעלותו מכשיר סמסונג, או שזה יכול להיות קומץ בלבד. אנחנו עדיין לא יודעים. סמסונג ניסתה להרגיע את המשתמשים המושפעים בכך:

"אנו מעריכים את אמון הלקוחות שלנו, ובמידה ונקבע באמצעות החקירה שלנו שהאירוע מצריך הודעה נוספת, ניצור איתך קשר בהתאם".

משטרת אנדרואיד מדווח כי מוקדם יותר השנה, קבוצת הפריצה, Lapsus$, טענה שהוציאה 190GB של נתונים רגישים מסמסונג, כולל אלגוריתמים לכל ביומטרי פעולות ביטול נעילה, קוד מקור עבור טוען האתחול עבור מוצרי סמסונג חדשים יותר, וכל קוד המקור מאחורי תהליך ההרשאה והאימות של סמסונג חשבונות.

מה אתה יכול לעשות בנידון?

אוקיי, אז מה בעצם אתה יכול לעשות בנוגע להפרה הזו? עם חשיפה של רמת מידע זו, עליך לפנות לשירות ניטור אשראי כדי לפקוח עין על כל בקשה חדשה לכרטיס או הלוואה על שמך. אפילו טוב יותר, הקפיא את האשראי שלך עד שאתה בטוח שאתה בטוח. זה כנראה רעיון טוב לשנות גם את מספר הטלפון שלך.

ואם אתה מודאג ורוצה ביטחון או ייעוץ נוסף, פנה ישירות לסמסונג. אתה יכול להביע גם את חוסר שביעות הרצון שלך, כדי שאם משהו כזה יקרה שוב, הם לא יתייחסו למידע שלך בצורה כל כך רשלנית לכאורה.