Revolut ha subito un attacco informatico che ha consentito a terzi di accedere non autorizzati alle informazioni personali di decine di migliaia di clienti. L’incidente è avvenuto una settimana fa, domenica notte, ed è stato descritto come “highly targed” (in italiano, “preso di mira in modo molto elevato”). Fondata nel 2015, Revolut è una società di tecnologia finanziaria che ha visto una rapida crescita, offrendo ora servizi bancari, di gestione del denaro e di investimento a clienti di tutto il mondo. A scoprire i dettagli dell’attacco è stato il sito BleepingComputer, che ha anche raccolto le dichiarazioni di un portavoce dell’azienda. Secondo il quale una terza parte non autorizzata ha avuto accesso “per un breve periodo di tempo” ai dettagli di solo lo 0,16% dei clienti di Revolut (il che, applicando della matematica di base, significa che Revolut vanta oltre 31 milioni di utenti complessivi).
“Abbiamo immediatamente identificato e isolato l’attacco per limitarne efficacemente l’impatto e abbiamo contattato i clienti interessati. I clienti che non hanno ricevuto un’e-mail non sono stati interessati”, spiega Revolut. Secondo la divulgazione della violazione all’Ispettorato statale per la protezione dei dati in Lituania, dove Revolut ha una licenza bancaria, risulta che 50.150 clienti sono stati colpiti.
Sulla base delle informazioni di Revolut, l’agenzia ha affermato che il numero di clienti interessati nello Spazio economico europeo è 20.687 e solo 379 cittadini lituani sono potenzialmente colpiti da questo incidente. Non sono stati divulgati i dettagli su come la terza parte che ha attuato delle minacce e ha ottenuto l’accesso al database, ma sembra che l’attaccante si sia affidato all’ingegneria sociale. Il fatto che Revolut non voglia spiegare nel dettaglio come gli attacchi sono stati attuati pone in essere un elemento oscuro in tutta la vicenda.
L’agenzia lituana per la protezione dei dati osserva che le informazioni probabilmente esposte includono:
- Indirizzi email
- Nomi completi
- Indirizzi postali
- Numeri di telefono
- Dati della carta di pagamento limitati
- Dati dell’account
Tuttavia, in un messaggio a un cliente interessato , Revolut afferma che il tipo di dati personali compromessi varia a seconda dei clienti. Non è stato possibile accedere ai dettagli della carta, ai PIN o alle password. Revolut sottolinea che l’intruso non ha avuto accesso ai fondi degli utenti.
“Il denaro dei nostri clienti è al sicuro, come lo è sempre stato. Tutti i clienti possono continuare a utilizzare le proprie carte e conti normalmente”, ha detto il portavoce dell’azienda a BleepingComputer. L’azienda ha reagito rapidamente all’intrusione e ha limitato in modo significativo il rischio per i propri clienti, isolando l’attacco entro l’inizio di lunedì (2:00). Per precauzione, Revolut ha formato un team dedicato incaricato di monitorare gli account dei clienti, per assicurarsi che sia il denaro che i dati siano al sicuro.
Agli utenti consigliamo di essere “estremamente attenti” a qualsiasi messaggio che richieda dati personali o password. Revolut non prevede di contattare i clienti in merito all’incidente e non ha intenzione di verificare o richiedere informazioni sensibili. In dettaglio, ecco la dichiarazione completa che BleepingComputer ha ricevuto da un portavoce di Revolut:
Revolut ha recentemente subito un attacco informatico altamente mirato. Ciò ha portato una terza parte non autorizzata a ottenere l’accesso ai dettagli di una piccola percentuale (0,16%) dei nostri clienti per un breve periodo di tempo.
Abbiamo immediatamente identificato e isolato l’attacco per limitarne efficacemente l’impatto e abbiamo contattato i clienti interessati. I clienti che non hanno ricevuto un’e-mail non sono stati interessati.
Per essere chiari, non è stato possibile accedere o rubare fondi. I soldi dei nostri clienti sono al sicuro, come sempre. Tutti i clienti possono continuare a utilizzare le proprie carte e conti normalmente.
Prendiamo incredibilmente sul serio incidenti come questi e vorremmo scusarci sinceramente con tutti i clienti che sono stati colpiti da questo incidente, poiché la sicurezza dei nostri clienti e dei loro dati è la nostra massima priorità in Revolut.
Alcuni clienti Revolut hanno anche notato che, nel periodo di tempo in cui è avvenuto l’incidente, la chat di supporto mostrava un linguaggio inappropriato ai visitatori.
Sebbene non sia chiaro se questo sproloquio sia correlato alla violazione divulgata da Revolut, mostra che gli hacker potrebbero aver avuto accesso a una gamma più ampia di servizi e a una porzione maggiore della piattaforma rispetto a quanto effettivamente comunicato da Revolut. In ogni caso, per difendersi meglio cambiare le password, i Pin e le informazioni personali che sono coinvolte nell’accesso al proprio conto corrente tramite app.
L’azienda non ha spiegato come o perché gli utenti hanno ricevuto questi messaggi, ma si è scusato per aver segnalato i clienti e ha affermato che stava “affrontando il problema e stanno adottando misure per garantire che ciò non accada di nuovo”.
Revolut perde i dati e i phisher ne approfittano
Questo incidente di sicurezza è una buona opportunità per chi attua phishing al fine di indurre qualsiasi cliente Revolut, anche quelli non interessati, a rivelare i propri dettagli sensibili. Come notato per la prima volta dalla piattaforma “Report Smishing” di UCL, è già in corso una campagna di phishing via Sms che tenta di ingannare i titolari di account Revolut con messaggi che la loro carta esistente è stata congelata per prevenire frodi.
Per richiedere una nuova carta, le vittime devono fare clic sul collegamento “revolut-card-cancel[.]com”, dove potranno perfezionare un preciso e articolato processo di phishing in quattro fasi come mostrato di seguito, che li condurrà a farsi rubare i dati che hanno fornito.
Soprattutto, questi hacker specializzati nel phishing, attuatori dei tentativi che mirano a rubare i dettagli completi della carta di pagamento, raggiungono l’obiettivo di avere in mano dati sufficienti per effettuare acquisti online o inviare denaro a conti sotto il loro controllo. Anche in questo caso c’è un modo per difendersi e lo abbiamo anticipato prima: Revolut non vi chiederà mai nulla sui dati personali in seguito all’aggressione degli hacker. Quindi evitate qualsivoglia procedura richiesta via mail, Sms o sotto altra forma.
