A közelmúlt egyik legnagyobb adatvesztési botránya a Citibank amerikai rendszeréhez kötődik, ugyanis a pénzintézet a múlt héten jelentette be, hogy néhány hete sikeres crackertámadás érte őket, és a bűnözők körülbelül 200 ezer ügyfél adatait szerezték meg (neveket, kártyaszámokat, e-mailcímeket és a számlatörténetet). Habár a bank igyekezett megnyugtatni mindenkit, hogy kódok és jelszavak nem kerültek ki, emellett ügyfeleik alig egy százaléka érintett, a mosakodás nyilván nem győzte meg a károsultakat.
Ám a helyzet még sokkal kínosabbá vált a The New York Times tegnapelőtti cikke nyomán, ahol arról számoltak be, hogy a támadóknak egyáltalán nem volt szükségük kifinomult trükkökre az információk megszerzéséhez: nem kerestek hátsó ajtót, besétáltak a rosszul záró főbejáraton.
A módszer olyan sebezhetőséget használt ki, melyet biztonsági szakértők egy banki rendszer esetében semmiképp nem feltételeztek volna (ennek felfedezéséért némi – csöndben elmormogott – elismeréssel is adóztak néhányan közülük a betörőknek). A crackerek egyszerűen egy saját kártya adataival bejelentkeztek a banki portálnak a hitelkártya-tulajdonosok számára kialakított részére, ahol szükséges megadni ezeket az adatokat. Innen már könnyű dolguk volt, ugyanis a Citibank rendszere a böngésző címsorában kiírta a felhasználó azonosító számsorát, így ezek után csak annyit kellett tenniük, hogy egy szoftverrel elkezdtek tízezer számra számsorokat generálni, majd ezeket illesztették be a saját szám helyére, és már benn is voltak az adott személy fiókjában.
Habár sem PIN-kódokat, sem egyéb, azonnali visszaélésre alkalmas adatot nem szereztek meg a crackerek, a felhasználhatóság szempontjából fontos lejárati dátumhoz sem jutottak hozzá, de az információk így is könnyen értékesíthetőek a feketepiacon. Azt még nem tudni, hogy mekkora anyagi kár keletkezhetett az adatvesztés miatt, és a bank szóvivője a még folyó vizsgálatra hivatkozva egyelőre nem kívánt részletekről beszámolni, csak annyit mondott el, hogy a behatolást egy rutinellenőrzés során fedezték fel május elején, és azonnali lépéseket tettek a kihasznált biztonsági rés megszüntetésére.
