Įsilaužėliai interneto paslaugų teikėjo tinkle buvo nuo 2023 m. rugpjūčio mėn.
Mokėjimų apdorojimo bendrovė „Slim CD“ pranešė klientams apie didelį duomenų saugumo pažeidimą, kurio metu buvo pažeisti beveik 1,7 mln. žmonių asmeniniai ir finansiniai duomenys. Įsilaužėliai prieigą prie bendrovės sistemos turėjo beveik metus – nuo 2023 m. rugpjūčio mėn. iki 2024 m. birželio mėn.
Bendrovė „Slim CD“ yra JAV įsikūrusi mokėjimų apdorojimo sprendimų, leidžiančių įmonėms naudotis elektroniniais ir kortelių mokėjimais per interneto terminalus, mobiliąsias ir stalines programas, teikėja. Bendrovė pažymėjo, kad įtartina veikla jos tinkle pirmą kartą aptikta 2024 m. birželio 15 d. Vėlesnio tyrimo metu paaiškėjo, kad kibernetiniai nusikaltėliai į bendrovės sistemą įsiskverbė dar 2023 m. rugpjūčio 17 d.
Pranešime nukentėjusiems klientams teigiama, kad per tą laiką įsilaužėliai galėjo pasiekti įvairių tipų duomenis, įskaitant klientų vardus ir pavardes, fizinius adresus, kredito kortelių numerius ir galiojimo datas. Nors CVV (saugumo kodas) nebuvo pažeistas, kyla rizika, kad kredito kortelės gali būti panaudotos apgaulės būdu.
Bendrovė patikslino, kad prie kredito informacijos buvo prieita dvi dienas – 2024 m. birželio 14 ir 15 d. Dėl to įsilaužėliai galėjo peržiūrėti arba nukopijuoti kredito kortelių duomenis, tačiau „Slim CD“ patikina, kad CVV kodo nebuvimas sumažina sukčiavimo tikimybę.
Aptikus incidentą, „Slim CD“ ėmėsi priemonių sustiprinti savo sistemų saugumą, kad ateityje panašūs incidentai nepasikartotų. Bendrovė taip pat patarė klientams išlikti budriems ir saugotis įtartinos veiklos savo banko sąskaitose, o apie bet kokias įtartinas operacijas nedelsiant pranešti savo bankui arba kortelių paslaugų teikėjui.
Atskirai „Slim CD“ nukentėjusiems asmenims nepasiūlė nemokamų apsaugos nuo tapatybės vagystės paslaugų, o tai sukėlė klausimų klientams. Daugelis tų, kuriems buvo pranešta, galėjo net nežinoti apie „Slim CD“, nes bendrovė teikia paslaugas per mažmeninės prekybos, viešbučių ir restoranų sektoriaus įmones.