Údajný únik dat ze Slavia pojišťovny: útočníci tvrdí, že získali až 150 GB citlivých informací
Na internetu se začaly šířit informace o možném kybernetickém incidentu ve společnosti Slavia pojišťovna. Podle tvrzení útočníků měli získat přístup k interním systémům a odcizit velké množství dat, která údajně obsahují informace o klientech i interní dokumenty společnosti.
Na internetu se začaly šířit informace o možném kybernetickém incidentu ve společnosti Slavia pojišťovna. Podle tvrzení útočníků měli získat přístup k interním systémům a odcizit velké množství dat, která údajně obsahují informace o klientech i interní dokumenty společnosti.
Rozsah incidentu zatím nebyl oficiálně potvrzen.
Tvrzení útočníků: až 150 GB dat
Informace o incidentu se nejprve objevily na platformách sledujících úniky dat na dark webu a následně je začala přebírat česká média. Útočník vystupující pod přezdívkou ByteToBreach tvrdí, že ze systémů Slavia pojišťovny získal přibližně 150 GB dat.
Podle zveřejněného popisu mají data obsahovat například:
- databáze klientů
- dokumenty k pojistným smlouvám
- interní dokumentaci společnosti
- komunikaci se zákazníky
- materiály ze škodních událostí včetně příloh.
Útočník měl zároveň zveřejnit menší ukázku dat jako důkaz kompromitace. Pravost těchto dat ani jejich rozsah zatím nebyly nezávisle potvrzeny.
Možný způsob kompromitace
Podle tvrzení útočníka měl být vstupním bodem do infrastruktury nástroj Adminer, což je webová aplikace určená pro správu databází.
Útočník tvrdí, že po získání přístupu:
- nahrál na server webshell
- vytvořil reverse shell pro vzdálené ovládání systému
- postupně stáhl databáze a soubory z interní infrastruktury.
Tyto technické detaily pocházejí pouze z tvrzení útočníka a zatím nebyly nezávisle ověřeny.
Společnost incident prověřuje
Slavia pojišťovna podle vyjádření pro média incident prověřuje. Mluvčí společnosti potvrdil, že bezpečnostní událost byla zaznamenána a že souvisela s chybou u dodavatelské společnosti, kterou zachytil jejich bezpečnostní systém.
V době publikace článku však nebyly zveřejněny detailní informace o rozsahu kompromitace ani o tom, zda skutečně došlo k úniku dat klientů.
Podobné incidenty obvykle vyžadují několik dní až týdnů forenzní analýzy, než je možné přesně určit jejich rozsah.
Typický scénář data-extortion útoků
Podle zkušeností z posledních let je zveřejnění informací o údajném úniku dat často součástí širší strategie tzv. data-extortion útoků.
Útočníci nejprve:
- získají přístup do infrastruktury organizace
- stáhnou citlivá data
- následně pohrozí jejich zveřejněním nebo je částečně publikují na dark webu.
Cílem je zvýšit tlak na organizaci, aby zaplatila výkupné nebo jinak reagovala na požadavky útočníků.
V této fázi incidentu proto bývá běžné, že útočníci zveřejňují vlastní odhady rozsahu kompromitace. Ty však nemusí vždy odpovídat skutečnému objemu nebo citlivosti získaných dat.
Potenciální dopady
Pokud by se tvrzení o úniku dat potvrdila a mezi odcizenými soubory byla například zdravotní dokumentace nebo jiné podklady ke škodním událostem, mohlo by jít o incident se závažnými dopady na ochranu osobních údajů.
Pojišťovny totiž běžně zpracovávají informace související se zdravotním stavem klientů nebo s pojistnými událostmi. Taková data patří mezi zvláštní kategorie osobních údajů podle GDPR a jejich únik může představovat vysoké riziko pro práva a svobody dotčených osob.
V případě potvrzeného úniku osobních údajů by organizace musela incident oznámit Úřadu pro ochranu osobních údajů bez zbytečného odkladu, obvykle do 72 hodin od jeho zjištění. Pokud by existovalo vysoké riziko pro dotčené osoby, bylo by zároveň nutné informovat i klienty, kterých se incident týká.
Rozsah údajně uniklých dat ani jejich citlivost však zatím nebyly veřejně potvrzeny.
Situaci budeme sledovat
V tuto chvíli není jasné, jak velký incident ve skutečnosti byl ani zda se tvrzení útočníků o rozsahu úniku dat potvrdí.
Pokud se objeví další ověřené informace nebo oficiální vyjádření společnosti, článek budeme aktualizovat.