Vse, kar vemo o kibernetskem napadu na Endesa in Energía XXI

Nedavni Kibernetski napad na Endeso in njenega reguliranega dobavitelja energije Energía XXI To je sprožilo pomisleke glede varstva osebnih podatkov v energetskem sektorju. Podjetje je priznalo nepooblaščen dostop na svojo komercialno platformo, ki je razkrila občutljive podatke milijonov uporabnikov v Španiji.

Glede na izjave podjetja prizadetim je incident napadalcu omogočil pridobivanje podatkov v zvezi s pogodbami o električni energiji in plinuvključno s kontaktnimi podatki, osebnimi dokumenti in bančnimi podatki. Čeprav oskrba z električno energijo in plinom ni bila ogrožena, je zaradi obsega kršitve ena najbolj občutljivih epizod v zadnjih letih v evropskem energetskem sektorju.

Kako je prišlo do napada na platformo Endesa

Elektropodjetje je pojasnilo, da je šlo za zlonamernega akterja uspelo premagati uvedene varnostne ukrepe na njihovi komercialni platformi in dostopu baze podatkov, ki vsebujejo podatke o strankah tako od Endesa Energía (prosti trg) kot od Energía XXI (regulirani trg). Incident se je domnevno zgodil konec decembra in Na dan je prišlo, ko so podrobnosti domnevnega ropa začele krožiti po forumih temnega spleta..

Endesa opisuje, kaj se je zgodilo, kot "Nepooblaščen in nezakonit dostop" poleg svojih komercialnih sistemov. Na podlagi začetne interne analize podjetje sklepa, da je vsiljivec bi imel dostop in bi lahko pobegnil različne bloke informacij, povezane z energetskimi pogodbami, čeprav vztraja, da prijavne poverilnice uporabniki so ostali varni.

Kibernetski napad se je po navedbah virov podjetja zgodil kljub že uvedenim varnostnim ukrepom in je prisilila k temeljitemu pregledu njegove tehnični in organizacijski postopkiVzporedno je bila v sodelovanju s ponudniki tehnologije sprožena notranja preiskava, da bi podrobno rekonstruirali, kako je do vdora prišlo.

Medtem ko preiskava še poteka, Endesa poudarja, da Njihove komercialne storitve še naprej delujejo normalnoČeprav je bil dostop nekaterih uporabnikov kot zajezitveni ukrep blokiran, je bila v teh prvih nekaj dneh prednostna naloga identificirati prizadete stranke in jih neposredno obvestiti o tem, kaj se je zgodilo.

Kateri podatki so bili ogroženi med kibernetskim napadom

Podrobnosti o komunikaciji podjetja, do katerih je napadalec lahko dostopal osnovni osebni in kontaktni podatki (ime, priimek, telefonske številke, poštni naslovi in ​​e-poštni naslovi), kot tudi informacije v zvezi s pogodbami o dobavi električne energije in plina.

Potencialno uhajajoče informacije vključujejo tudi osebni dokumenti, kot je DNI (nacionalni osebni dokument) in v nekaterih primerih tudi IBAN kode bančnih računov povezani s plačili računov. To ne pomeni le administrativnih ali komercialnih podatkov, temveč tudi posebej občutljive finančne informacije.

Poleg tega različni viri in puščanja informacij, objavljena na specializiranih forumih, kažejo, da bi ogroženi podatki vključevali energetske in tehnične informacije podrobne informacije, kot so CUPS (enolični identifikator odjemalnega mesta), zgodovina obračunavanja, aktivne pogodbe za električno energijo in plin, zabeleženi incidenti ali regulativne informacije, povezane z določenimi profili strank.

Vendar pa podjetje vztraja, da gesla za dostop do zasebnih območij iz Endesa Energía in Energía XXI niso bili prizadeti zaradi incidenta. To pomeni, da napadalci načeloma ne bi imeli potrebnih ključev za neposreden dostop do spletnih računov strank, čeprav imajo dovolj podatkov, da bi jih poskušali prevarati s personalizirano goljufijo.

Del nekdanjih strank podjetja je začel prejemati tudi obvestila opozorilo na morebitno razkritje njihovih podatkov, kar kaže na to, da kršitev vpliva na zgodovinske zapise in ne le na trenutno aktivne pogodbe.

Hekerjeva različica: več kot 1 TB in do 20 milijonov zapisov

Medtem ko Endesa analizira natančen obseg incidenta, kibernetski kriminalec, ki prevzema odgovornost za napad in se predstavlja kot "Španija" na temnem spletuNa specializiranih forumih je ponudil svojo različico dogodkov. Po njegovih besedah ​​mu je uspelo dostopati do sistemov zadevnega podjetja. nekaj več kot dve uri in izvleči podatkovno bazo v formatu .sql, ki je večja od 1 terabajta.

Na teh forumih Španija trdi, da je pridobila podatke iz približno 20 milijonov ljudištevilka, ki bi daleč presegla približno deset milijonov strank, ki jih imata Endesa Energía in Energía XXI v Španiji. Da bi dokazal, da to ni blef, je napadalec celo objavil vzorec približno 1.000 zapisov z resničnimi in preverjenimi podatki o strankah.

Kibernetski kriminalec je sam stopil v stik z mediji, specializiranimi za kibernetsko varnost. posredovanje specifičnih informacij novinarjev, ki so imeli pogodbe z Endeso v podporo verodostojnosti uhajanja informacij. Ti mediji so potrdili, da se posredovani podatki ujemajo z relativno nedavnimi domačimi pogodbami o dobavi.

Španija zagotavlja, da zaenkrat baze podatkov ni prodal tretjim osebamČeprav priznava, da je za približno polovico ukradenih informacij prejel ponudbe do 250.000 dolarjev, v svojih sporočilih vztraja, da se raje pogaja neposredno z elektroenergetskim podjetjem, preden sklene kakršne koli posle z drugimi zainteresiranimi stranmi.

V nekaterih od teh izmenjav heker kritizira podjetje zaradi pomanjkanja odziva in navaja, da "Niso me kontaktirali; za njihove stranke jim ni mar." in grozijo z objavo več informacij, če ne bodo prejeli odgovora. Endesa pa v javnosti ohranja previdno stališče in se omejuje na potrditev incidenta, ne da bi komentirala trditve napadalca.

Možno izsiljevanje in pogajanja s podjetjem

Ko je bila varnostna kršitev javno objavljena, se je scenarij razvil v poskus pritiska na podjetjeKibernetski kriminalec trdi, da je poslal e-pošto na več naslovov podjetij Endesa, v kateri je poskušal začeti pogajanja, kar je podobno izsiljevalska taktika brez začetno določene odkupnine.

Kot je Španija sama pojasnila nekaterim medijem, bi bil njegov namen se z Endeso dogovorite o finančnem znesku in roku v zameno za to, da ukradene baze podatkov ne bo prodal ali distribuiral. Zaenkrat trdi, da javno ni razkril konkretne številke in čaka na odgovor energetskega podjetja.

Medtem napadalec vztraja, da bo prisiljen, če ne bo dosegel nobenega dogovora sprejemanje ponudb tretjih oseb ki so pokazali zanimanje za pridobitev podatkov. Ta strategija se ujema z vse pogostejšim vzorcem kibernetske kriminalitete, kjer se kraja osebnih in finančnih podatkov uporablja kot vzvod za pritisk na velika podjetja.

S pravnega in regulativnega vidika so vsa plačila odkupnine ali prikriti dogovori To odpira zapleten etični in pravni scenarij.Zato se podjetja običajno izogibajo komentiranju tovrstnih stikov. V tem primeru je Endesa preprosto ponovila, da sodeluje z ustreznimi organi in da je njena prednostna naloga zaščita strank.

Medtem so varnostne sile začele spremljanje aktivnosti napadalca na temnem spletu Oblasti že zbirajo dokaze za njegovo identifikacijo. Nekateri viri namigujejo, da je napad morda izviral iz Španije, čeprav uradne potrditve o pravi identiteti Španca še ni.

Uradni odgovor Endese in ukrepi, ki so jih sprejeli organi

Po več dneh ugibanj in objav na podzemnih forumih je Endesa začela pošiljanje e-poštnih sporočil strankam, ki jih to lahko zadeva pojasnjujejo, kaj se je zgodilo, in ponujajo osnovna priporočila za zaščito. V teh sporočilih podjetje priznava nepooblaščen dostop in na kratko podrobno opisuje vrsto ogroženih podatkov.

Podjetje trdi, da je takoj, ko je bil incident odkrit, aktiviral svoje notranje varnostne protokolePodjetje je blokiralo ogrožene poverilnice in uvedlo tehnične ukrepe za zajezitev napada, omejitev njegovih učinkov in poskus preprečitve ponovitve podobnega incidenta. Med drugim izvaja posebno spremljanje dostopa do svojih sistemov, da bi odkrilo morebitno nepravilno vedenje.

V skladu z evropskimi predpisi o varstvu podatkov je Endesa kršitev prijavila Španska agencija za varstvo podatkov (AEPD) in do Nacionalni inštitut za kibernetsko varnost (INCIBE)Obveščene so bile tudi sile in korpus državne varnosti, ki so začele postopek za preiskavo dogodkov.

Podjetje vztraja, da deluje v skladu z »Transparentnost« in sodelovanje z oblastmiIn ne pozabite, da obveznost obveščanja velja tako za regulatorje kot za same uporabnike, ki so obveščeni postopoma, ko postane jasnejši poseben obseg uhajanja.

Potrošniška združenja, kot je Facua, so AEPD zaprosila, naj odpreti temeljito preiskavo Namen preiskave je ugotoviti, ali je imelo elektroenergetsko podjetje vzpostavljene ustrezne varnostne ukrepe in ali se upravljanje kršitev izvaja v skladu s predpisi. Poudarek je med drugim na hitrosti odziva, predhodni zaščiti sistemov in ukrepih, ki bodo sprejeti v prihodnje za zmanjšanje tveganj.

Resnična tveganja za stranke: kraja identitete in goljufije

Čeprav Endesa v svojih izjavah vztraja, da meni, "malo verjetno", da bo incident povzročil visoko tvegano škodo Glede pravic in svoboščin strank strokovnjaki za kibernetsko varnost opozarjajo, da razkritje tovrstnih informacij odpira vrata številnim scenarijem goljufij.

Z informacijami, kot so polno ime, številka osebne izkaznice, naslov in IBAN, Kibernetski kriminalci se lahko izdajajo za nekoga drugega. žrtev z visoko stopnjo verjetnosti. To jim na primer omogoča, da poskušajo sklepati pogodbe o finančnih produktih v svojem imenu, spreminjati kontaktne podatke v določenih storitvah ali vlagati zahtevke in vlagati upravne postopke, pri čemer se pretvarjajo, da so zakoniti lastniki.

Drugo očitno tveganje je množična uporaba informacij za phishing in neželeno poštoNapadalci lahko pošiljajo e-pošto, SMS-sporočila ali opravljajo telefonske klice, pri čemer se izdajajo za Endeso, banke ali druga podjetja, vključno s podatki o resničnih strankah, da bi si pridobili njihovo zaupanje in jih prepričali, naj posredujejo več informacij ali opravijo nujna plačila.

Varnostno podjetje ESET vztraja, da Nevarnost se ne konča z dnem, ko je kršitev prijavljenaInformacije, pridobljene v takšnem napadu, se lahko ponovno uporabljajo mesece ali celo leta, v kombinaciji z drugimi podatki, ukradenimi v prejšnjih incidentih, za ustvarjanje vse bolj sofisticiranih in težje odkritih goljufij. Za razumevanje tehničnih posledic obsežne okužbe je koristno pregledati, kaj se zgodi, če je računalnik globoko ogrožen: Kaj se zgodi, če je moj računalnik okužen z zlonamerno programsko opremo?.

Zato oblasti in strokovnjaki poudarjajo pomen ohraniti budnost v srednjeročnem in dolgoročnem obdobjuz občasnim pregledovanjem bančnih transakcij, nenavadnih obvestil in kakršne koli komunikacije, ki se zdi vsaj nekoliko sumljiva, tudi če je od prvotnega incidenta minilo že nekaj časa.

Priporočila za tiste, ki jih je prizadel napad na Endeso

Specializirane organizacije in podjetja za kibernetsko varnost so sama razširila vrsto praktični ukrepi za zmanjšanje vpliva tovrstnih kršitev med uporabniki. Prvi korak je previdnost pri vsaki nepričakovani komunikaciji, ki se nanaša na incident ali na osebne in finančne podatke.

Če prejmete e-poštna sporočila, besedilna sporočila ali klice, ki so videti, kot da prihajajo od družbe Endesa, banke ali druge entitete in vključujejo povezave, priloge ali nujne zahteve za podatkePriporočilo je, da ne klikate na nobene povezave ali posredujete nobenih informacij, v primeru dvoma pa se obrnite neposredno na podjetje prek njegovih uradnih kanalov. Bolje je, da nekaj minut preverite pristnost sporočila, kot pa da tvegate, da boste nasedli prevari. V teh primerih je koristno vedeti, kako blokirati zlonamerne vire: Kako blokirati spletno mesto.

Čeprav Endesa vztraja, da gesla svojih strank V tem napadu niso bili ogroženi.Strokovnjaki svetujejo, da izkoristite to priložnost za obnovitev gesel za dostop do pomembnih storitev in, kadar koli je to mogoče, aktivirate sisteme za dvofaktorska avtentikacijaTa dodatna plast varnosti napadalcu precej otežuje dostop do računa, tudi če mu uspe pridobiti geslo.

Priporočljivo je tudi pogosto preverjajte bančne račune in druge finančne storitve, povezane z razkritimi podatki, za odkrivanje nepooblaščenih transakcij ali nenavadnih stroškov. Če sumite, da so bili podatki posredovani morebitnemu goljufu, je priporočljivo, da o tem nemudoma obvestite banko in vložite policijsko poročilo.

Brezplačne storitve, kot so Sem bil ogoljufan Omogočajo vam, da preverite, ali se je e-poštni naslov ali drugi podatki pojavili v znanih kršitvah podatkov. Čeprav ne nudijo absolutne zaščite, vam pomagajo bolje razumeti svojo izpostavljenost in se informirano odločati o spremembah gesel in drugih preventivnih ukrepih.

Na voljo so telefonske linije za pomoč in uradni kanali

Za razrešitev dvomov in posredovanje incidentov, povezanih s kibernetskim napadom, je Endesa omogočila namenske telefonske linije za pomočStranke Endesa Energía lahko pokličejo brezplačno številko 800 760 366, medtem ko imajo uporabniki Energía XXI 800 760 250 da zahtevajo informacije ali prijavijo morebitne nepravilnosti, ki jih odkrijejo.

V poslanih sporočilih podjetje uporabnike prosi, da Bodite še posebej pozorni na morebitne sumljive komunikacije v prihodnjih dneh in da takoj sporočijo, če prejmejo sporočila ali klice, ki vzbujajo nezaupanje, bodisi prek teh telefonov bodisi s stikom z varnostnimi silami.

Poleg lastnih kanalov Endese lahko državljani uporabljajo tudi Pomoč Nacionalnega inštituta za kibernetsko varnost, ki ima brezplačno telefonsko številko 017 in številko WhatsApp 900 116 117 za reševanje vprašanj v zvezi z digitalno varnostjo, spletnimi goljufijami in varstvom podatkov.

Ti viri so namenjeni posameznikom, podjetjem in strokovnjakom ter omogočajo pridobite strokovno vodstvo o korakih, ki jih morate sprejeti, če sumite, da ste bili žrtev prevare, ali če želite okrepiti varnost svojih računov in naprav po kršitvi varnosti podatkov.

Policisti priporočajo, da se prijavijo vsi poskusi prevar v zvezi s tem incidentom. vložite uradno pritožbo pri policiji ali civilni stražiposredovanje e-poštnih sporočil, sporočil ali posnetkov zaslona, ​​ki lahko služijo kot dokaz v prihodnji preiskavi.

Še en napad v valu kibernetskih incidentov proti velikim podjetjem

Primer Endesa še dodatno prispeva k Naraščajoči trend kibernetskih napadov na velika podjetja v Španiji in Evropi, zlasti v strateških sektorjih, kot so energetika, promet, finance in telekomunikacije. V zadnjih mesecih so podjetja, kot so Iberdrola, Iberia, Repsol ali Banco Santander Tudi oni so trpeli incidenti, ki so ogrozili podatke milijonov strank.

Ta vrsta napada odraža, kako so se kriminalne združbe preusmerile od osredotočanja na zgolj finančne cilje k Osredotočenost na kritično infrastrukturo in multinacionalne korporacijekjer je vrednost ukradenih informacij in možnost pritiska na podjetja veliko večja. Cilj ni več le takojšen dobiček, temveč pridobitev podatkov, ki jih je mogoče izkoriščati dlje časa.

Na evropski ravni oblasti že leta spodbujajo strožje predpise, kot je na primer Splošna uredba o varstvu podatkov (GDPR) ali direktiva NIS2 o kibernetski varnosti, ki od podjetij zahteva, da izboljšajo svoje zaščitne sisteme in hitro poročajo o vseh pomembnih incidentih.

Puščanje informacij, ki ga je utrpela Endesa, poudarja, da kljub temu regulativnemu napredku Med teoretičnimi zahtevami in realnostjo še vedno obstaja precejšnja vrzel številnih tehnoloških infrastruktur. Zaradi kompleksnosti obstoječih sistemov, medsebojne povezanosti s številnimi ponudniki in vedno večje vrednosti podatkov so ta podjetja zelo privlačna tarča.

Za uporabnike ta scenarij pomeni, da je bistvenega pomena združiti zaupanje v ponudnike storitev s proaktivnim odnosom do samozaščiteUčenje prepoznavanja opozorilnih znakov in uporaba osnovnih smernic digitalne higiene, kot sta pravilno upravljanje gesel ali preverjanje občutljivih komunikacij.

Kibernetski napad na Endesa in Energía XXI kaže, v kolikšni meri lahko kršitev komercialne platforme velikega elektroenergetskega podjetja razkritje osebnih in finančnih podatkov milijonov ljudi in vodijo do poskusov izsiljevanja, kraje identitete in napadov z lažnim predstavljanjem. Medtem ko oblasti preiskujejo in podjetje krepi svoje sisteme, je najboljša obramba za stranke, da ostanejo obveščeni, bodo pri vseh sumljivih sporočilih izjemno previdni ter se zanašajo na uradne kanale in priporočila strokovnjakov za kibernetsko varnost.