CheckFree: pięć milionów klientów narażonych po ataku

Amerykański serwis płatności online CheckFree (a także kilka banków korzystających z jego systemu transakcyjnego) rozpoczął akcję powiadamiania pięciu milionów swoich klientów o tym, że mogli paść ofiarą ataku cyberprzestępców.

Do ataku doszło pod koniec ubiegłego roku - przestępcy zdołali przejąć kontrolę nad domenami CheckFree i przekierować próbujących odwiedzić je klientów na "złośliwe" strony hostowane na Ukrainie. Pierwsze informacje o incydencie pojawiły się na początku grudnia - jednak dopiero teraz, w dokumentach złożonych w Biurze Prokuratora w New Hampshire, przedstawiciele CheckFree ujawnili jak duża jest liczba klientów, których dotyczy problem. To ok. 5 mln (wliczając klientów banków korzystających z rozwiązań CheckFree) - czyli znacznie więcej, niż pierwotnie myślano.

"5 mln osób powiadomionych o nielegalnym przekierowaniu ze stron CheckFree to tak naprawdę dwie grupy - pierwszą stanowią osoby, które, jak ustaliliśmy, próbowały dokonać transakcji za pośrednictwem stron zarządzanych przez naszych partnerów. Druga grupa to użytkownicy, którzy zarejestrowali się na stronie mycheckfree.com" - tłumaczy Melanie Tolley, wiceprezes ds. komunikacji koncernu Fiserv (do którego należy CheckFree).

Tolley nie podała, jakich dokładnie banków dotyczy problem - oświadczyła jednak, że ich klienci stanowią mniejszość w grupie osób, które mogły zostać zaatakowane przez przestępców (większość stanowiły osoby korzystające bezpośrednio z mechanizmu CheckFree). Warto zaznaczyć, że z systemu tego korzysta w USA ok. 42 mln użytkowników.

Przeprowadzone w ostatnich tygodniach dochodzenie wykazało, że przestepcy zdołali przejąć kontrole nad domenami firmy na niespełna 11 godzin w nocy i wczesnym rankiem 2 grudnia 2008. Osoby, które w tym czasie próbowały logować się do systemu były przekierowywane na ukraiński serwis, na którym osadzone były exploity próbujące zainfekować komputer złośliwym oprogramowaniem (głównie trojanami kradnącymi hasła).

Nie wiadomo dokładnie, jak przestępcy zdołali przejąć owe domeny - zdaniem niektórych specjalistów, pracownicy CheckFree mogli stać się celem tzw. spear-phishingu, czyli ataku phishingowego zaplanowanego z myślą o konkretnej ofierze (być może w ten sposób przestępcy zdołali ukraść niezbędne loginy i hasła).

Przedstawiciele Fiserv zastrzegają, że z ich analiz wynika, iż tak naprawdę problem mógł dotyczyć co najwyżej 160 tys. klientów (prawdopodobnie tylko tyle osób zostało przekierowanych na złośliwą stronę - nie wiadomo, u ilu z nich udało się zainstalować trojana) - tak wynika ze statystyk popularności serwisu. Ale ponieważ firma nie jest w stanie dokładnie sprawdzić, kto i kiedy odwiedził ich stronę, niezbędne jest poinformowanie wszystkich klientów, którzy 2 grudnia mogli odwiedzić serwis.

Sprawa jest o tyle poważna, że dotyczy nie tylko klientów CheckFree - z systemu tego korzysta również wiele małych i średnich amerykańskich banków (większe zwykle tworzą własne systemu transakcyjne). To znaczy, że wielu klientów może nawet nie wiedzieć, że korzystają z CheckFree - dlatego też niezbędne jest powiadomienie ich o incydencie (dzięki temu dowiedzą się, że muszą sprawdzić swój komputer pod kątem złośliwego oprogramowania).