Истина где-то ниже
Сентябрь 11, 2018

Мобильный оператор оштрафует клиентов за слабые пароли

Очень плохоПлохоСреднеХорошоОчень хорошо (Еще нет голосов, оставьте первым)
Загрузка...

Чешский филиал мобильного оператора Vodafone намерен возместить убытки от действий киберпреступников за счет пострадавших. С апреля по октябрь 2017 года злоумышленники взламывали учетные записи клиентов и использовали деньги с абонентских счетов для оплаты игорных сервисов. За семь месяцев они похитили в общей сложности 667 тыс. крон (около 2 млн рублей). Теперь Vodafone требует, чтобы пострадавшие сами оплатили нанесенный ущерб, так как те использовали ненадежный пароль «1234».

Мобильный оператор автоматически создавал учетную запись в сервисе My Vodafone для всех новых клиентов. В онлайн-магазине можно было оплатить услуги, перевести минуты на другой номер или заказать дубликат SIM-карты. При этом многие пользователи даже не догадывались о существовании сервиса или же не знали свой пароль. Представители компании признают, что его могли вводить сотрудники оператора при покупке телефона, если клиент затруднялся придумать пароль самостоятельно.

Преступники действовали методом простого перебора. Они заходили в онлайн-магазин и искали аккаунты, к которым подходил пароль 1234. Потом заказывали в местных отделениях Vodafone перевыпуск SIM-карты и забирали ее. Документов для подтверждения личности в офисах компании не спрашивали: достаточно было номера телефона и пароля от учетной записи. С полученного таким образом нового счета мошенники за счет оператора переводили деньги в букмекерские конторы Tipsport и Chance.

После того как деятельность злоумышленников вскрылась, компания Vodafone заявила, что не несет ответственности за их действия и что ущерб ляжет на плечи пострадавших клиентов. Представители оператора уверены, что виноваты пользователи, которые поставили ненадежные пароли или не потрудились их сменить.

Как пишет издание iDNES, оператор неоднократно публиковал предупреждения о последствиях на своем сайте, куда людям не было необходимости заходить, и в сервисе самообслуживания, которым многие не пользовались.

Для того чтобы взыскать долги с жертв преступников, представители Vodafone уже начали прибегать к услугам коллекторов.

По просьбе журналистов BleepingComputer эксперт компании ESET изучил портал My Vodafone. Он пришел к выводу, что требования к паролю все еще не соответствуют нормам безопасности, так как при регистрации от пользователя требуется ввести всего от 4 до 6 цифр. Такие значения легко вычислить при брутфорс-атаке.

Судья Мирослав Чапек (Miroslav Čapek) подверг критике не только мошенников, но и оператора, заметив, что тот действует неэтично и с позиции силы. По его мнению, если бы Vodafone изначально подключала сервис только клиентам, которые сами об этом попросили, то не было бы и подсудимых. Судья отметил, что ущерб мог быть еще больше, поскольку преступники получили доступ и к личным данным пользователей — дате рождения, адресу, банковскому счету и полному списку звонков.

Источник: https://threatpost.ru/czech-vodafone-forces-victims-to-compensate-damage/28139/