U javnost je izašla informacija da je velika baza podataka, povezana s IDMeritom, neko vrijeme bila dostupna bez zaštite. Radi se o podacima koji se koriste za ‘Know Your Customer’ provjere, što je povezano s onim kad vas aplikacija ili servis traži osobnu iskaznicu i selfie kako bi potvrdio da ste stvarna osoba. U izvještajima se spominje više milijardi zapisa ukupno, a oko milijardu njih s osjetljivijim osobnim podacima.
Ovo nije klasično ‘hakiranje’ u smislu da je netko probio lozinku, nego je baza bila krivo postavljena i dostupna izvana. Kad se to dogodi, napadač često ne mora ništa ‘razbijati’, nego samo dođe do podataka jer su vrata ostala otvorena. U takvim bazama se obično nađu kombinacije podataka koje se mogu zloupotrijebiti za prijevare, primjerice ime i prezime, datum rođenja, adresa, mail, broj telefona i razne oznake s dokumenata.
Najveći problem je što takva kombinacija olakšava krađu identiteta i ciljani ‘phishing’, odnosno lažne poruke ili mailovi koji izgledaju kao da dolaze od banke ili poznate firme i pokušavaju vas navući da kliknete link ili upišete podatke. Kad prevaranti imaju vaše stvarne podatke, poruka djeluje uvjerljivije pa je veća šansa da netko nasjedne.
Posebno je neugodno što provjeru identiteta mnoge tvrtke ne rade same, nego je naruče od specijaliziranih dobavljača. To znači da rupa kod jedne firme može utjecati na korisnike više različitih aplikacija, od financijskih servisa do raznih platformi koje traže verifikaciju računa.
Ako ste ikad radili takvu provjeru identiteta, ima smisla pojačati oprez idućih tjedana. Pazite na poruke koje traže ‘hitnu’ potvrdu, uplatu ili klik, pogotovo ako stižu s čudnih adresa ili brojeva. Uključite dvofaktorsku zaštitu gdje god možete, to je dodatna provjera pri prijavi, npr. kod iz aplikacije, a ne samo lozinka. I ako dobijete obavijest o pokušaju prijave ili promjeni lozinke koju niste tražili, reagirajte odmah, promijenite lozinku i provjerite sigurnosne postavke.
U izvještajima se navodi da je baza nakon upozorenja zatvorena, ali to ne briše rizik, jer ako je netko podatke preuzeo dok su bili dostupni, oni mogu završiti u krugovima za prijevare. Zato je realno očekivati više pokušaja lažnih poziva, poruka i mailova koji se pozivaju na vaše ime ili neki ‘detalj’ kako bi zvučali uvjerljivo.