Mit tanulhatunk az NBA-t érintő adatlopásból?

Az NBA (National Basketball Association) értesíti a rajongókat egy adatvédelmi incidensről, amely során néhány személyes adatukat, amelyeket egy harmadik fél által üzemeltetett hírlevél-szolgáltató „tartott”, ellopták. Az NBA egy globális sport- és médiaszervezet, amely öt profi sportligát irányít, köztük az NBA-t, a WNBA-t, a Basketball Africa League-t, az NBA G League-et és az NBA 2K League-et. Az NBA programjait és mérkőzéseit világszerte sugározzák, több mint 215 országban és területen, több mint 50 nyelven

Mi történt pontosan és hogyan érinti a rajongókat?

Az „Adatvédelmi Incidens Értesítés” című e-mailekben, amelyeket ismeretlen számú rajongónak küldtek el, az NBA azt mondja, hogy rendszereiket nem törték fel, és az érintett rajongók hitelesítő adatai nem kerültek veszélybe ebben az esetben. Azonban néhány rajongó személyes adatait ellopták. „Nemrégiben tudomást szereztünk arról, hogy egy jogosulatlan harmadik fél hozzáférést szerzett és másolatot készített nevéről és e-mail-címéről, amelyet egy harmadik fél által üzemeltetett szolgáltató tartott, aki segít nekünk e-mailben kommunikálni azokkal a rajongókkal, akik ezt az információt megosztották velünk az NBA-vel,” – mondja az NBA. „Nincs arra utaló jelünk, hogy rendszereinket, felhasználónevét, jelszavát vagy bármilyen más információt, amelyet velünk megosztott, érintette volna.” Miután tudomást szerzett az incidensről, az NBA együttműködik a harmadik fél szolgáltatójával egy folyamatban lévő vizsgálat részeként, és külső kiberbiztonsági szakértők segítségét is igénybe vette annak elemzésére, hogy milyen mértékben érintette az incidens.

Milyen veszélyekkel járhat az adatok kiszivárogtatása?

Az NBA azt is figyelmeztetett, hogy az adatok jellegéből adódóan fokozottabb lehet annak a valószínűsége, hogy az érintett személyek phishing támadásoknak vagy különféle csalásoknak lesznek kitéve. Az érintett rajongókat erősen arra ösztönözték, hogy legyenek körültekintőek a gyanús e-mailek vagy más üzenetek megnyitásakor, amelyek úgy tűnhetnek, mintha az NBA-től vagy annak partnereitől származnának.

„Az információ jellege miatt fokozott lehet annak a kockázata, hogy ‘phishing’ e-maileket kapj olyan e-mail-fiókoktól, amelyek úgy tűnnek, mintha az NBA-hez tartoznának, vagy hogy más úgynevezett ‘szociális mérnöki’ támadások célpontjává válik (amikor egy személy megpróbálja becsapni a címzettet, hogy osszon meg bizalmas információkat vagy olyan cselekedeteket hajtson végre, amelyek ellentétesek az érdekeivel),” – mondta az NBA. Az üzenetben hozzáteszi, hogy az NBA soha nem kéri e-mailben a rajongók fiókadatait, beleértve a felhasználóneveket vagy a jelszavakat is. Az érintett rajongóknak azt is tanácsolták, hogy ellenőrizzék: a kapott e-mailek valóban egy hiteles „@nba.com” e-mail-címről érkeztek-e, ellenőrizzék, hogy a beágyazott linkek megbízható weboldalra mutatnak-e, és soha ne nyissanak meg olyan e-mail-mellékleteket, amelyekre nem számítanak. „Nemrégiben tudomást szereztünk arról, hogy egy jogosulatlan harmadik fél hozzáférést szerzett az NBA egy mobilalkalmazás- és e-mail-kommunikációs szolgáltatójának informatikai rendszereihez” – mondta egy NBA szóvivő a BleepingComputernek. „Ennek eredményeként néhány NBA-rajongó nevének és e-mail-címének másolatai idegen kézbe kerültek.”

Miért történhetett meg az incidens?

Az incidens pontos okát és körülményeit még vizsgálják, de valószínűleg feltörtékegy harmadik fél által üzemeltetett hírlevél-szolgáltató rendszerét . Ez azt jelenti, hogy az NBA nem tudta közvetlenül megvédeni a rajongók adatait, mivel azokat egy külső cég tárolta. Ez felveti annak szükségességét, hogy az NBA és más hasonló szervezetek gondosabban válasszák ki és ellenőrizzék azokat a szolgáltatókat, amelyekkel együttműködnek, és biztosítsák, hogy megfeleljenek a legmagasabb adatvédelmi és biztonsági előírásoknak.

Hogyan előzhetjük meg az ilyen eseteket a jövőben?

Az ilyen adatvédelmi incidensek elkerülése érdekében fontos, hogy mindig óvatosak legyünk azzal kapcsolatban, hogy kivel és hogyan osztjuk meg személyes adatainkat. Ha lehetséges, kerüljük el az olyan weboldalakat vagy alkalmazásokat, amelyek felesleges információkat kérnek tőlünk vagy nem biztosítják az adatvédelmi nyilatkozatukat. Ha mégis meg kell osztanunk bizonyos adatokat egy harmadik féllel (például egy hírlevélre való feliratkozáshoz), akkor használjunk erős jelszavakat és különböző e-mail-címeket különböző szolgáltatókhoz. Emellett érdemes bekapcsolni a kétfaktoros hitelesítést (2FA), ha az elérhető, hogy megnehezítsük a jogosulatlan hozzáférést a fiókjainkhoz. Végül, de nem utolsósorban, legyünk körültekintőek a gyanús e-mailek vagy üzenetek megnyitásakor, és ne kattintsunk olyan linkekre vagy mellékletekre, amelyek rosszindulatú weboldalakra vagy szoftverekre vezethetnek.

Forrás:
https://nki.gov.hu/it-biztonsag/hirek/adathalasz-tamadasokra-figyelmezteti-szurkoloit-az-nba/
https://www.bleepingcomputer.com/news/security/nba-alerts-fans-of-a-data-breach-exposing-personal-information/