18:57
18/9/2022

Jak informuje The Times, tydzień temu doszło do włamania do Revoluta. Podobnie jak w przypadku opisywanego przez nas w piątek włamania do Ubera, zawinił pracownik, który dał się złapać na atak phishingowy.

UPDATE: Przedstawiciel Revoluta na Polskę, potwierdził nam że firma została zhackowana. Nie wskazał jednak ilu Polaków znajduje się w 50k poszkodowanych osób.

50150 poszkodowanych klientów

Dziennikarz Times informuje, że o ataku dowiedział się z oświadczenia VDAI, czyli litewskiego odpowiednika naszego UODO (bo Revolut działa na mocy litewskiej licencji bankowej). Z oświadczenia wynika, że atak dotknął 50144 osób z czego 20,687 ofiar to Europejczycy a 379 to Litwini.

Włamywacz pozyskał dostęp do:

  • imion i nazwisk
  • adresów e-mail
  • adresów zamieszkania
  • informacji o transakcjach.

Hasła oraz dane kart nie zostały pozyskane. Revolut w wypowiedzi dla The Times twierdzi też, że “szybko zidentyfikował i wyizolował atak” i że nie skradziono żadnych pieniędzy. Za to na swojej stronie jeszcze nic nie twierdzi — firma nie wystosowała komunikatu dla mediów ani nie opublikowała w sprawie ataku żadnego posta w swoich mediach społecznościowych.

Na poświęconym Revulutowi Reddicie znaleźć można natomiast post od osoby, która już otrzymała od Revoluta powiadomienie, że jej dane zostały skradzione:

We recently received a highly targeted cyber attack from an unauthorized third party that may have gained access to some of your information for a short period of time. You do not need to take any action, however we wanted to let you know, and sincerely apologize for this incident. We immediately detected and isolated the cyberattack. As you were part of a very small percentage of affected customers, we want to reassure you that your data is now safe, and we understand that you may have questions about this incident. We emphasize that no access was made to the theft of funds. Your money is safe, as always. You can use your card and account normally. As a precaution, we have created a dedicated team to monitor your account and keep your money and account safe. Although your money is safe, you may be at increased risk of fraud. We recommend that you be especially vigilant for any suspicious activity, including suspicious emails, phone calls or messages. We will be in touch shortly with further information if needed. Although our support team representatives are available to assist you, we may not yet be able to answer all of your questions as investigations are still ongoing. This was an isolated incident and the security of our customers’ accounts remains our top priority. Although cyber-attacks are a regular threat to many businesses, we took immediate action to properly manage this incident and protect our customers. Thank you, The Revolut team
(…)
How many Revolut customers are affected?
0.16% of our customers.
(…)

Co ciekawe, w dołączonych do powiadomienia pytaniach i odpowiedziach znajduje się informacja, że atak objął swoim zakresem 0,16% klientów. Tak zapisane, wygląda na mały problem. Ale z oświadczenia litewskiego UODO wiemy, że to 50150 osób (a przy okazji, możemy obliczyć, że firma ma aktualnie ponad 31 milionów klientów).

Włamywacz obrażał klientów Revoluta już tydzień temu

W komentarzach do powyższego posta z Reddita znajduje się ciekawy komentarz:

Wygląda na to, że niektórzy z użytkowników Revoluta już tydzień temu zaobserwowali włamywaczy w akcji. Najprawdopodobniej przejęli oni kontrolę nad chatem (lub kontem jednego z pracowników supportu) i w niewybredny sposób komunikowali się z klientami:

Revolut wyjaśniając internautom ten incydent tydzień temu nie wspomniał, że jest to wynik włamania:

Hello there! We’re aware of a number of users that received inappropriate wording via chat this evening. We are addressing the issue and are taking steps to ensure this does not happen again. We apologise for any offence caused by this.

UPDATE: Z e-maili jakie do Polaków skierował Revolut (oraz ich aktualizacji) wynika, że nie są to tylko i wyłącznie osoby, które kontaktowały się z firmą przez czat. A zatem atakujący musiał mieć szerszy dostęp niż tylko dostęp do czatu.

Mam Revoluta, co robić, jak żyć?

Jak widać po poście na Reddicie, Revolut kontaktuje się z poszkodowanymi. Jeśli więc nie dostaliście e-maila, to prawdopodobnie nie jesteście w gronie ofiar tego ataku i nic nie musicie robić.

Z tego incydentu, który podobnie jak piątkowy atak na Ubera, zaczął się od socjotechniki na pracownika warto wyciągnąć wnioski. Pracownicy łapią i bedą się łapali na phishingi. Każdy kiedyś kliknie w linka, poda swoje hasło oraz kod do dwuetapowego uwierzytelnienia. Dlatego warto siebie samego i swoich pracowników wyposażyć w klucze U2F — wtedy nawet jeśli się kliknie i poda hasło a nawet jeśli użyje się tego klucza fałszywej stronie, to nic złego się nie stanie. Dlaczego klucze U2F działają lepiej niż hasła wysyłane SMS-em, albo kody generowane w aplikacji? Mamy o tym filmik:

Podobnie jak w przypadku ataku na Ubera, tak i w tym przypadku — jeśli w sprawie pojawią się nowe informacje, będziemy Was informować w aktualizacjach. A jeśli z tego incydentu wyniknie masowe zagrożenie dla Polaków, wyślemy Wam alert przez naszą aplikację mobilną CyberAlerty — dlatego jeśli jeszcze jej nie macie, zachęcamy do jej pobrania i zainstalowania. Jest całkowicie darmowa i nie wymaga rejestracji, a dzięki niej błyskawicznie dowiecie się o zagrożeniach, które są istotne.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje pieniądze, dane i tożsamość przed cyberprzestępcami. Wpadnij na nasz kultowy 3,5 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i prostych do wdrożenia porad, które skutecznie podniosą Twoje bezpieczeństwo.

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze. Prowadzimy go przystępnym językiem, przeplatając demonstracjami ataków na żywo -- dlatego zabierz ze sobą swoich rodziców! W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

19 komentarzy

Dodaj komentarz
  1. Yhy. I tak to jest ruskie towarzystwo ten revolut.

    • @Rhxf56

      Ziomki z Litwy by się zdziwili że tak ich odbierasz – weź se zwiększ rozdzielczość renderingu patrząc na wschód

  2. Dostałem informację że się na konto chcą dostać, już miałem autoryzacje i telefon z revolut

  3. Litwini to też Europejczycy ;)

  4. A dane PESEL i skany dowodów co trzeba było wysłać są bezpieczne?

    • Weryfikację dowodu przeprowadzała firma trzecia która się tym specjalizuje, revolut nie ma twoich dokumentów

    • Najprawdopodobniej tak (nie były objęte wyciekiem), ale gwarancji nie ma…

  5. A Ty weź lepiej dokładnie się przyjrzyj kto jest właścicielem, bo to nie są Litwini ;)

  6. Mnie też bardzo zastanawia czy nr pesel i skany dowodów nie wpadły w niepowołane ręce.

  7. Pierwsze o czym pomyślałem to skany dowodów czy dane osobowe.
    Drugie to phishing, na który ktoś z Revoluta dał się złapać.
    Myślę sobie, że mogą stawiać niewielki nacisk na autoryzacje kont użytkowników(pracowników). Żadnego 2FA czy pracownik też i to zawalił ?
    Pamiętam, że jak jakiś czas temu pracowałem dla pewnego banku, to przy logowaniu miałem dwa dodatkowe składniki, z czego jeden to certyfikat zapisany na kluczu podobnym do Yubikey. Gdybym nawet chciał, to byłoby mi trudno się na coś złapać.
    Możliwe, że Revolut powinien przemyśleć to, jak takie “włamanie” mogło być w ogóle możliwe, a my użytkownicy czy nie trzeba profilaktycznie zastrzec swoich dokumentów.

  8. Ja na miejscu wszystkich wyrobiłbym nowy dowód, aby uniknąć nieprzyjemności

    • Imię i nazwisko też?
      Datę urodzenia też?
      Płeć też?
      Numer PESEL też?

      Przecież to oczywiste, że żądanie skanu dokumentu na dowód czegokolwiek to dno i metr mułu.

  9. “Każdy kiedyś kliknie w linka, poda swoje hasło oraz kod do dwuetapowego uwierzytelnienia.”

    No ta, ale niekoniecznie od razu potrzeba klucz U2F, bo czy menadżer haseł nie zabezpieczy nas przed tego typu atakiem nie rozpoznając adresu strony do której chcemy się zalogować?
    Chyba że dalej będziemy próbować się zalogować i ręcznie użyjemy menadżera haseł do wypełnienia danych logowania. Ale też z drugiej strony, np w przypadku Bitwardena musimy wyszukać ręcznie zapisane dane logowania dla danej strony w aplikacji, bo już kilknięcie prawym w pole np hasła i próba uruchomienia wpisania danych lub podobne użycie na mobilce, skończy się niepowodzeniem z Bitwardenem, bo Bitwarden nie będzie miał dla tej strony (fałszywej) żadnego zapisanego loginu. Zostanie nam tylko skopiowanie ręcznie bezpośrednio z Bitwardena wyszukując hasło i ew login dla danej storny i używając ich na fałszywej stronie

  10. Od kiedy to trzeba osobno mówić ile poszkodowanych było Europejczyków a ile Litwinów xD? To Litwini już nie są Europejczykami xDDD?

    • Zrób xD rozbiór XDD logiczny LOL zdania Xd

  11. Dobrze że nie instalowałem tego gówna

  12. no Risk no Fan :)

  13. Ja tylko zapytam. Jakto możliwe, że Europejczyków jest zaledwie dwudziestu, a Litwinów już ponad trzysta? I w ogóle jak może być ułamkowa liczba ofiar?

  14. A co ze skanami dokumentow ktore rewolut wymaga?

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: