Den koreanske smartphone- og tv-gigant, Samsung, mistede en ukendt mængde data relateret til et ukendt antal kunder – og holdt stille om det i næsten en måned.
Hvad skete der? Hvem blev ramt? Og er Samsung-brugere sikre?
Hvad skete der i Samsungs databrud?
Det korte svar er, at Samsung ikke ved, hvordan databruddet skete - eller i det mindste, det siges ikke i den 2. september pressemeddelelse, som ganske enkelt siger, at "I slutningen af juli 2022 erhvervede en uautoriseret tredjepart oplysninger fra nogle af Samsungs amerikanske systemer".
Udtalelsen fortsætter:
"Vi vil forsikre vores kunder om, at problemet ikke påvirkede CPR-numre eller kredit- og betalingskortnumre, men i nogle tilfælde, kan have påvirket oplysninger såsom navn, kontaktoplysninger og demografiske oplysninger, fødselsdato og produktregistrering Information. De berørte oplysninger for hver relevant kunde kan variere."
Kontaktoplysninger omfatter sandsynligvis hjemmeadresse, telefonnummer og e-mail. Yderligere oplysninger indsamlet under produktregistrering omfatter køn, præcise geolokationsdata, Samsung-kontoprofil-id, brugernavn og mere. Selv bare
din e-mailadresse kan være værdifuld for kriminelle.Samsungs halvhjertede forsikring kan trøste nogle kunder med, at de kriminelle ikke bruger deres kreditkortoplysninger til for eksempel at købe usporbar kryptovaluta. Men mængden af oplysninger, som virksomheden indrømmer kan er blevet taget, er svimlende, og ikke noget, der så let går ud som uvæsentligt.
Med dette detaljeringsniveau burde det være relativt trivielt for angribere at konstruere præcision spearphishing-angreb, udvikle SIM-swaps og optage kredit og lån i et offers navn.
Måske er det derfor, Samsungs udgivelse gør sig umage med at bemærke, at selvom den ikke tilbyder gratis kreditovervågning til ofre, " er berettiget i henhold til amerikansk lovgivning til én gratis kreditrapport årligt fra hver af de tre store landsdækkende kreditrapportering agenturer."
Samsung afslørede bruddet den 4. august 2022 og frigav denne begrænsede information hele 30 dage senere. Lovgivningen om offentliggørelse af databrud varierer på tværs af USA, men det er en almindelig bestemmelse, at underretning om et sådant brud sker så hurtigt som muligt og uden urimelig forsinkelse. Den maksimalt tilladte tidsramme for offentliggørelse er mellem 30 dage (Colorado, Florida) og 90 dage (Connecticut). Ved at udsætte offentliggørelsen så længe, kan Samsung bringe sig selv i fare.
Hvem blev berørt af Samsungs databrud?
Med hensyn til, hvem der blev berørt, giver Samsung ikke engang omtrentlige tal. Det kan være enhver kunde, der nogensinde har ejet en Samsung-enhed, eller det kan være en håndfuld. Vi ved det ikke endnu. Samsung har forsøgt at berolige berørte brugere ved at sige:
"Vi værdsætter vores kunders tillid, og hvis vi gennem vores undersøgelse fastslår, at hændelsen kræver yderligere underretning, vil vi kontakte dig i overensstemmelse hermed."
Android politi rapporterer, at hackergruppen, Lapsus$, tidligere i år hævdede at have eksfiltreret 190 GB følsomme data fra Samsung, inklusive algoritmer til alle biometriske oplåsningsoperationer, kildekode til bootloaderen til nyere Samsung-produkter og al kildekoden bag processen med at godkende og autentificere Samsung regnskaber.
Hvad kan du gøre ved det?
Okay, så hvad kan du egentlig gøre ved dette brud? Når dette niveau af information bliver afsløret, bør du engagere en kreditovervågningstjeneste for at holde øje med eventuelle nye kort- eller låneansøgninger i dit navn. Endnu bedre, fryse din kredit, indtil du er sikker på, at du er sikker. Det er sikkert også en god idé at ændre dit telefonnummer.
Og hvis du er bekymret og ønsker tryghed eller yderligere rådgivning, så kontakt Samsung direkte. Du kan også udtrykke din utilfredshed, så de, hvis noget som dette sker igen, ikke behandler dine oplysninger på en så tilsyneladende skødesløs måde.
