Diferite mass-media au raportat o creștere a atacurilor asupra conturilor de acces GMX și Web.de. Se raportează un număr mare de încercări eșuate de logare pentru numeroase conturi. În februarie, clienții au observat uneori până la o sută de încercări de conectare eșuate într-o singură noapte. Acest lucru arată cât de periculos este atunci când infractorii cibernetici folosesc datele provenite din diverse scurgeri de date pentru a obține acces la alte conturi ale celor afectați.
O nouă săptămână, un nou raport de atacuri ale hackerilor: Conform diferitelor rapoarte, serviciile de poștă electronică GMX și web.de se confruntă în prezent cu atacuri masive asupra conturilor utilizatorilor lor. GMX și web.de sunt cele mai populare două servicii de poștă electronică din Germania. Este posibil ca în spatele atacurilor să se afle noile scurgeri de date care au devenit cunoscute în ultimele luni.
Metoda populară de hacking Credential stuffing
În ianuarie, doar proiectul “Have I Been Pwned” a reușit să înregistreze aproape 71 de milioane de adrese de e-mail într-o bază de date cuprinzătoare, dintre care aproximativ 35% erau necunoscute anterior. Have I Been Pwned” este un proiect bine cunoscut care colectează date de conectare disponibile în mod deschis, care au făcut obiectul unor scurgeri de informații, și le stochează într-o bază de date.
Umplerea credențialelor este în prezent o metodă foarte răspândită folosită de hackeri. Aceasta este o tehnică de atac în care datele de autentificare furate sunt încercate pe diferite platforme pentru a obține acces neautorizat la conturi. Datele de acces vechi sunt preluate și verificate pentru a vedea dacă aceste date pot fi folosite pentru a se autentifica pe alte platforme. Acest lucru duce adesea la încercări de autentificare incorecte, așa cum s-a observat acum la GMX și Web.de. Folosind această metodă, infractorii cibernetici au reușit să spargă aproximativ 35 000 de conturi PayPal în SUA la sfârșitul anului trecut, de exemplu.
Potrivit 1&1, în prezent nu există o activitate de atac crescută.
Potrivit unui purtător de cuvânt al 1&1, compania din spatele GMX și Web.de, nu a fost detectată nicio creștere specifică a activității de atac asupra acestor servicii, în ciuda amenințării generale a atacurilor cibernetice. Utilizatorii vor fi informați despre încercările de conectare eșuate la următoarea conectare reușită, aceasta fiind o măsură de securitate pentru a-i avertiza.
Totuși, acest lucru nu înseamnă că parolele sau conținutul sunt în pericol. 1&1 atribuie, de asemenea, numărul mare de încercări de logare incorectă scurgerilor de date, în care datele de acces, în mare parte învechite, ajung în colecțiile de date ale infractorilor.
Compania subliniază, de asemenea, importanța măsurilor de securitate, cum ar fi utilizarea unor parole unice pentru fiecare serviciu și activarea autentificării cu doi factori, pentru a spori protecția conturilor de utilizator. În cazul în care sunt recunoscute încercări suspecte de autentificare cu date corecte, sistemele de securitate ale 1&1 intervin pentru a bloca accesul și a informa utilizatorul afectat, pentru a asigura în continuare securitatea.
Ce ar trebui să facă cei afectați
Cei afectați care au observat un număr mare de încercări eșuate de logare sunt sfătuiți să fie precauți. Ca primă măsură, ar trebui schimbată parola curentă. Vă recomandăm să folosiți cel puțin douăsprezece caractere, incluzând atât litere mici și mari, cât și numere și caractere speciale. De asemenea, parola de e-mail nu ar trebui să fie utilizată pentru alte conturi online. Se recomandă, de asemenea, autentificarea cu doi factori. Un al doilea factor, similar unui TAN în serviciile bancare online, împiedică hackerii să obțină acces la căsuța poștală – chiar dacă cunosc parola utilizatorului.
Cei afectați de un atac cibernetic nu ar trebui să respingă un astfel de atac ca pe o chestiune banală. În calitate de cabinet de avocatură, cunoaștem câteva cazuri dramatice în care cei afectați nu și-ar fi putut imagina niciodată că un atac ar putea avea consecințe atât de drastice. Amenințarea din ce în ce mai mare a infractorilor care combină datele capturate din diverse scurgeri și furturi de date pentru a efectua atacuri țintite asupra utilizatorilor pare deosebit de periculoasă. De exemplu, orice persoană care utilizează întotdeauna aceleași date de acces devine rapid victima unor infracțiuni ulterioare, deoarece autorii pot obține cu ușurință accesul, deoarece datele de conectare sunt adesea deja disponibile datorită scurgerilor anterioare. Rezultatul: atacuri de phishing, furt de identitate etc.
Au dreptul la despăgubiri cei afectați?
În temeiul articolului 15 din RGPD, utilizatorii pot solicita informații de la companie pentru a afla dacă sunt afectați de scurgerea de date. În cazul în care compania nu furnizează apoi nicio informație sau furnizează informații incomplete, acest lucru poate duce deja la o cerere de despăgubire în favoarea dumneavoastră în temeiul art. 82 GDPR. În plus, pot fi luate în considerare și alte încălcări ale obligațiilor în legătură cu respectiva scurgere de date, ceea ce poate duce la pretenții de despăgubiri.
Recent, instanțele germane au acordat reclamanților pretenții ridicate de despăgubiri în temeiul art. 82 GDPR în cazul încălcărilor GDPR. Standardul este din ce în ce mai mult interpretat foarte larg de către instanțe. În unele cazuri, instanțele susțin, de asemenea, că despăgubirile la care au dreptul reclamanții trebuie să aibă un efect de descurajare și, prin urmare, să atingă o valoare disuasivă.
La sfârșitul anului 2023, CEJ a luat o hotărâre spectaculoasă în acest sens, care consolidează foarte mult drepturile a milioane de consumatori din UE. Dacă propriile date au fost utilizate în mod abuziv ca urmare a unui atac al hackerilor, șansele de a primi despăgubiri nemateriale în temeiul GDPR sunt mai bune ca niciodată. Acest lucru se datorează faptului că, pe de o parte, teama de utilizare abuzivă a datelor este suficientă pentru a primi despăgubiri. Și, în al doilea rând, companiile ale căror sisteme au fost piratate pot cu greu să susțină că nu sunt vinovate.