A közelmúlt egyik legnagyobb adatvesztési botránya a Citibank amerikai rendszeréhez kötődik: a pénzintézet a múlt héten jelentette be, hogy hekkertámadás érte őket, és a bűnözők körülbelül 200 ezer ügyfél adatait szerezték meg (neveket, kártyaszámokat, emailcímeket és a számlatörténetet). A bank igyekezett megnyugtatni mindenkit, hogy kódok és jelszavak nem kerültek ki, és ügyfeleik alig egy százaléka érintett.

A helyzet most még sokkal kínosabbá vált a New York Times cikke nyomán, ahol arról számoltak be, hogy a támadóknak egyáltalán nem volt szükségük kifinomult trükkökre az információk megszerzéséhez.

A támadás egy olyan sebezhetőséget használt ki, amelyet biztonsági szakértők egy banki rendszer esetében semmiképp nem feltételeztek volna. A hekkerek egyszerűen egy saját kártya adataival bejelentkeztek a banki portál hitelkártya-tulajdonosok számára kialakított részére, ahol szükséges megadni ezeket az adatokat. Innen pedig könnyű dolguk volt, ugyanis a Citibank rendszere a böngésző címsorában kiírta a felhasználó azonosító számsorát, így csak annyit kellett tenniük, hogy egy szoftverrel elkezdtek számsorokat generálni, majd ezeket illesztették be a saját szám helyére, és már benn is voltak az adott személy fiókjában.

Bár sem PIN-kódokat, sem egyéb, azonnali visszaélésre alkalmas adatot nem szereztek meg a támadók, a felhasználhatóság szempontjából fontos lejárati dátumhoz sem jutottak hozzá, az információk így is könnyen értékesíthetőek a feketepiacon. Még nem tudni, mekkora anyagi kár keletkezhetett az adatvesztés miatt, a bank szóvivője a még folyó vizsgálatra hivatkozva egyelőre nem kívánt részletekről beszámolni, csak annyit mondott el, hogy a behatolást egy rutinellenőrzés során fedezték fel május elején, és azonnali lépéseket tettek a kihasznált biztonsági rés megszüntetésére.