Szerző: Dömös Zsuzsanna

2023. december 11. 10:55

Bekapcsolta az OTP a kétfaktoros hitelesítést a Simple-ben

A felhasználóknak küldött üzenet szerint az Anonymous csoport volt a múlt hét pénteken elkövetett, Simple-fiókokat érintő újabb biztonsági incidens elkövetője. Az események hevében hétvégén megérkezett a kétfaktoros azonosítás is a szolgáltatásba, aminek a bevezetése az eredeti terv szerint december 11-én kezdődött volna.

Újabb biztonsági incidensben érintett az OTP Simple szolgáltatás, miután december 5-én kedd este a hivatalos 4300 Simple-fiókhoz hozzáférhettek illetéktelenek a független forrásból, jogosulatlanul megszerzett adatok segítségével, majd megváltoztatták a hozzárendelt e-mail címeket. December 8-án a SimplePay még arról tájékoztatta a felhasználókat, hogy „bankkártya-elfogadás esetén lassulás tapasztalható”, de hétvégén sem tudott mindenki belépni a mobil applikációba, egyesek fennakadásokra, hálózati hibákra panaszkodtak, illetve a Telexnek küldött képek szerint többen hackerektől is angol nyelvű levelet kaphattak.

A december 8-án történt újabb kibertámadás során szétküldött üzenet a szövegezés alapján az Anonymous csoporthoz köthető: a levélben a bűnözők a magyar korrupciót és az izraeli népirtás támogatását emlegetik, és az írók állításuk szerint "egymillió dollárt" loptak el az „extra adót szedő” OPT-től, amit jótékony célra fordítottak. A támadók szerint az OTP-nek „volt képe azt mondani a világnak, hogy bankjai biztonságosak”. A Telex olvasóinak visszajelzése alapján a küldők a tulajdonosok valódi jelszavát küldték el bizonyítékul.

simple

Mindent vivő munkahelyek

Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Mindent vivő munkahelyek Mindig voltak olyan informatikai munkahelyek, melyek nagyon jól fekszenek az önéletrajzban.

Az OTP hasonló választ küldött, mint az első esetnél: a péntek esti támadás során az elkövetők más felületeken eltulajdonított felhasználónév/jelszó kombinációkkal férhettek hozzá a felhasználói fiókokhoz, ezért biztonsági okokból átmenetileg elfüggesztette a Simple applikáció működését. A vállalat hozzátette azt is, hogy a fiókban tárolt bankkártyaadatokat a PCI DSS szabvány szerint tárolja a Simple rendszere.

A belépési kísérletek megakadályozására és a Simple-fiókok, valamint az ott tárolt személyes adatok további védelmére az OTP Mobil bekapcsolta a kétfaktoros azonosítást valamennyi, már meglévő felhasználói fiók esetében. A cég a kétfaktoros hitelesítés bevezetéséről valamivel korábban, december 3-án tájékoztatotta az ügyfeleket, amikor a december 11-től hatályos ÁSZF-módosulásról küldött levelet a felhasználóknak.

A támadás napján jelent meg a Simple webes felületén egy tájékoztatás is arról, miként működik a kétfaktoros fiókazonosítás e-mailes bejelentkezés esetén. Amennyiben a netező a Simple és Simple Classic alkalmazásokban, valamint a SimplePay felületen új böngészőből  ismeretlen eszközről jelentkezik be, egy hat számjegyű azonosítókód érkezik a regisztrált e-mail címre. A szolgáltató viszont megjegyzi, hogy Google-, Facebook- és Apple-fiókon keresztül történő belépéshez nem lehet beállítani a plusz védelmet, és azt javasolja, hogy ezen fiókokhoz külön állítsa be a felhasználó a kétfaktoros hitelesítést az adott szolgáltatásokban.

a címlapról