HAKER koji je napao A1 Hrvatska te ukrao osobne podatke najmanje 100.000 korisnika traži da mu tvrtka u iduća 24 sata isplati oko pola milijuna dolara u kriptovalutama. Ako to ne učini, tvrdi, objavit će ukradene podatke na više hakerskih i darknet foruma.

Podsjećamo, A1 je objavio da su ukradeni podaci od oko 10 posto ukupnog broja korisnika te mreže. Izloženi podaci su ime i prezime, adresa, OIB te broj telefona.

Jučer je osoba koja se predstavila kao haker koji je upao u sustav A1 o svemu e-mailom obavijestila nekoliko medija, među kojima je i Index. U tom je mailu iznio tvrdnju da je hakirao cijelu bazu podataka A1 korisnika i da je u A1 kao dokaz poslao dio tog popisa. 

Haker: Za 24 sata objavljujem podatke

Index je preko maila stupio u kontakt s hakerom, koji kaže da mu iz A1 nisu odgovorili na mailove koje je poslao na više adresa, između ostalog i visokorangiranim osobama u kompaniji.

"Prije najave nisu me obavijestili ni odgovorili na moj upit. Moj zahtjev za 150 ETH nije popunjen. Prošlo je skoro 48 sati, dao sam im 72", piše haker.

150 ethereuma (ETH) trenutno vrijedi 476.678 američkih dolara, a rok od 72 sata istječe kasno večeras.

"U slučaju da 72 sata prođu, baza podataka bit će napravljena javnom. U slučaju da mi plate kao što zahtijevam, nikome ništa", navodi.

"A1 je 100% kriv"

Optužuje i A1 da nije dovoljno zaštitio podatke korisnika te ga upućuje da se ugleda na teleoperatere iz SAD-a.

"Čitao sam neke članke danas, A1 je 100% kriv. Brojni GDPR zakoni su prekršeni. Kao što sam rekao, na alatima radnika NE BI trebalo biti dozvoljeno gledati osobne informacije korisnika kojima TRENUTNO ne pomažu preko telefona ili u trgovini. Također spominjem da američki operatori uopće ne dozvoljavaju pristup korisničkom računu i gledanje informacija bez verifikacije korisnika preko koda poslanog SMS porukom. Neka se A1 ugleda", piše haker.

Na kraju je još jednom ponovio prijetnju: "Prošlo je 48 sati. Za 24 sata sve objavljujem ako nema uplate od 150 ETH ili protuponude od A1."

Rakar: Ako imaju samo ove podatke, neće biti velike štete

Iako postoji bojazan kako bi se ukradeni podaci mogli iskoristiti za krađu identiteta, IT stručnjak Marko Rakar kaže da je velika količina osobnih podataka već dostupna na internetu. "Ako imate nekretninu, ti podaci su u nekim registrima, ako ste direktor ili vlasnik neke tvrtke, ti podaci su dostupni i slično. Nije to ugodno, ali ako su iscurili podaci za koje A1 kaže da jesu, onda neće biti osobite štete", kaže Rakar.

"Mail adrese i korisničke račune mogu pokušati kompromitirati, ali to ne znači da su već pokušali. Oni se, ako imaju mail adrese, mogu pokušati ulogirati, ali nemaju lozinke", kaže Rakar.

Teško je prema dostupnim podacima reći kako je došlo do napada, ali mogu se pretpostaviti dvije mogućnosti, kaže.

"Proboj se najvjerojatnije dogodio prema nekoj njihovoj aplikaciji prema korisnicima, koja je izložena prema internetu. Može biti neki sustav koji njihova korisnička podrška koristi za kontaktiranje korisnika ili sustav koji koriste njihovi dućani i partneri za prodaju, aktiviranje ugovora ili slično. Nema dovoljno informacija, ali pretpostavljam da bi moglo biti nešto od ovog", kaže Rakar.

Iz A1 kažu da su Policijskoj upravi zagrebačkoj podnijeli kaznenu prijavu i da je kriminalističko istraživanje u tijeku.