Kellemetlen incidensre hívták fel olvasóink a figyelmünket, amelyek a One szolgáltatót és azok ügyfeleit érinti. A beszámolók alapján az elmúlt időszakban többször előfordult, hogy ismeretlenek feltörték az előfizetésekhez tartozó online fiókokat, a kétlépcsős azonosítás hiányát kihasználva magasabb díjú csomagra váltottak, vagy előfizettek valamilyen kiegészítő szolgáltatásra a mit sem sejtő felhasználük nevében. Az egyik érintett részletesen elmesélte tapasztalatait a 24.hu-nak, melynek hatására felkerestük a szolgáltatót és a rendőrséget is.

A One-ügyfél lapunknak elmondta: a fiókját még 2025 végén törték fel, ám erre nem figyelt fel, csak amikor januárban befutott az első, emelt összegű számla. A megszokott 6300 helyett 15 000 forint szerepelt a levélben.

Dr. Németh Ádám infokommunikációs jogász lapunknak elmondta: már itt furcsává válik a történet, ugyanis az új előfizetésekről vagy azok módosításáról általában e-mailes jelzés szokott érkezni, ami azt is szolgálja, hogy kiszúrjuk a csalásokat.

A lapunknak megszólaló károsult az említett számla érekzését követően személyesen egyeztetett a szolgáltatóval, az ügyfélszolgálaton pedig elmondása szerint egyből sejtették is, mi lehet a probléma, hiszen a megkeresés során az ügyintéző arról beszélt, hogy „az utóbbi időben sokan jelentkeznek náluk hasonló panasszal”. Az ügyfélszolgálaton azt mondták: felhasználói hiba történt – véleményük szerint nem adott meg elég erős jelszót –, ezért nem tudják csak úgy visszacsinálni a szerződésmódosítást. Olvasónk az ügyintézőtől olyan tájékoztatást kapott, hogy amennyiben eredményt szeretne, tegyen feljelentést a rendőrségen ismeretlen tettes ellen, majd az itt készült jegyzőkönyvvel fáradjon be az egyik One-fiókba.

A felkeresett kapitányságon elmondása szerint már meg sem lepődtek a történeten: azt mondja, csak aznap több tucat hasonló feljelentést tettek. Az Országos Rendőr-Főkapitányság kérdésünkre megerősítette, hogy több eljárást is folytatnak, ám ezek pontos számáról, valamint ezek állásáról bővebb információt nem áll módjukban elárulni.

Viszont jelen állás szerintt a károsult ügyfél hiába áldozta idejét a feljelentésre, a jegyzőkönyvet bemutatva ismételten azt a választ kapta a szolgáltatónál: nem tudják visszaváltoztatni az előfizetését a régire, csupán annyit tehet, hogy befizeti az emelt díjat, és ha bebizonyosodik, hogy feltörték a fiókját, kreditként jóvá írják számára a plusz összeget.

Az eset érthető módon bosszúságot szült a megszólalóban, aki azonban a friss szerződésmódosítás miatt szolgáltatót sem tud váltani, ugyanis köti a hűségidő. A megemelt számlát azonban továbbra sem akarja befizetni, és emiatt a One már büntetőkamatot is kiszabott rá, amit szintén nem kíván rendezni. Emiatt már olyan hívást is kapott a One-tól, hogy lekapcsolják a szolgáltatását, amennyiben nem fizet. Ennek kapcsán okkal vetődik fel a kérdés: mit tehetnek az érintettek, és egyáltalán megfelel-e a jogszabályoknak a szolgáltató eljárásrendje? Ennek jártunk utána.

Szakértő a ONE eljárásáról

Dr. Dósa Imre adatbiztonsági szakértő szerint elég bürokratikus, nem túl felhasználóbarát, de érthető a One eljárásrendje.

Elmondása szerint míg a pénzintézmények esetében ma már kötelező a kétlépcsős azonosítás használata, a telekommunikációs cégek esetében más a helyzet. A mobilszolgáltatóval ugyanis a szerződő fél egy polgári jogi szerződést köt, aminek a szolgáltatói oldala nem a pénzintézeti törvény, hanem a hírközlésről szóló törvény hatálya alatt áll. A hírközlési törvényben persze szintén vannak információbiztonsági vagy IT biztonsági rendelkezések, de elsősorban a szolgáltatókra vonatkoznak és nem az ügyfelekre.

Kockázati megfontolás szemszögéből nézve a szakértő szerint érthető a különbség: a bankokban tárolt pénz és a havi előfizetési díj ugyanis nagyságrendileg eltér. „A banknál, ahol akár az ingatlanvásárlásra szánt összes pénzem is ott lehet, több mindent elvárnak az ügyféltől is, mint egy olyan szerződés esetében, ahol havi 5-10-20 ezer forintról van szó” – mondta. Az azonban még mindig felvet kérdéseket, miért nem kell semmilyen azonosításra szolgáló okmányt bemutatni egy díjcsomag módosításához.

Amikor valaki új ügyfélkapcsolatot létesít, tehát egy új szerződést köt, akkor kötelező a pénzmosási törvény szerint az okmány alapján történő azonosítás. Viszont ha már ezen a szerződésen belül egy módosítást kezdeményez, ott már sokkal lazábbak a feltételek

– mondta Dósa Imre.

Ez persze nem csak a Vodafone utódjaként működő One-ra igaz: a lapunknak megszólaló mindkét szakértő azt mondta, nincs olyan jogszabály, ami alapján ilyen, kötelező erejű megerősítő intézkedéseket kellene bevezetnie a szolgáltatónak szerződésmódosítás esetén. Az más kérdés, hogy ha ezt nem lépi meg, azzal a saját helyzetét is rontja.

Tételezzük fel, hogy sikerül egy rendőrségi nyomozás után bebizonyítani a feltörés tényét. Akkor a szolgáltatónak érvénytelenítenie kell a szerződésmódosítást, tehát fel kell bontania a szerződést, vissza kell fizetni a plusz előfizetési díjakat, ami rengeteg plusz munka. Viszont a tekintetben lehet szerencséjük is: ugyanis mindig lesznek, akik feladják, nem mennek el emiatt a rendőrségre, inkább kifizetik a magasabb csomag díját

– mondta Dósa.

Elmondása szerint amennyiben a szolgáltató nagyon szeretné, meg tudná állapítani a betörést, ha mással nem, például azzal, hogy megvizsgálja, milyen IP-címről érkezett a szerződésmódosítási kezdeményezés. „Ha eddig rendre egy IP-címről érkezett a bejelentkezés számlafizetésnél, most meg egy másik IP-cím tartományból módosították a szerződést, akkor elég valószínű, hogy feltörték a fiókot” – mondta. Hozzátette: szerinte a One-nak is érdeke, hogy rövid úton rendezze ezt a kérdést, mert „minél tovább próbálja lerázni magáról, annál többe fog kerülni visszaalakítani ezeket a szerződéseket, visszafizetni a pénzeket.”

Reagált a One

Kérdéseinkkel felkerestük a One mobilszolgáltatót, és hivatalos válasz is érekezett kérdéseinkre, miszerint tudtak-e a problémáról, illetve, hogy mit ajánlanak a károsultaknak, és terveznek-e technológiai fejlesztéseket ennek hatására.

A 4iG sajtóosztályának elmondása szerint az említett esetekben a One Magyarországtól független csalássorozatról van szó. A szolgáltató „rendőrségi feljelentést tett az ügyben, valamint megtette a szükséges hatósági bejelentéseket is és erre kéri minden érintett ügyfelét is. A rendőrségi feljelentés nem csupán az egyedi esetek kivizsgálását segíti, hanem hozzájárul ahhoz is, hogy a hasonló visszaélések megelőzhetők legyenek a jövőben”.

A cég állítása szerint a csalássorozat során az érintett előfizetők nevében olyan megrendelések születtek, amelyek fizetési kötelezettséget keletkeztettek. A One Magyarország azonban azt ígéri: a csalássorozatból eredő, az előfizetőre kirótt költségeket jóváírja az érintettek számára. Jelezték: a jóváírások könyvelése folyamatos, de előfordulhat, hogy a streaming-előfizetés díja megjelenik az aktuális számlán, amelyet az ügyfélnek rendeznie szükséges. Ez esetben a jogosulatlanul kötött streaming-előfizetés díját a következő havi számlán írja jóvá a szolgáltató.

Kiemelték: az első esetek felmerülését követően a One lezárta az összes aktív bejelentkezést, kötelezővé tette a jelszóváltoztatást, megszigorította a jelszókövetelményeket, valamint a teljes ügyfélbázist érintő további korlátozásokat vezetett be a bűncselekmények elkerülése érdekében.

A szolgáltató emellett a következő időszakban bevezeti a kétfaktoros azonosítást az online ügyfélkiszolgáló felületeken.

Arra a kérdésünkre nem kaptunk választ, hogy becsléseik szerint hány felhasználói fiókot törhettek fel. Ehelyett mindössze annyit javasoltak ügyfeleiknek, hogy erős jelszót válasszanak és gondoskodjanak a megfelelő tárolásáról, valamint soha, semmilyen körülmények között ne adják ki jelszavaikat harmadik félnek.

Így teheti védetté a fiókjait

Amennyiben egy platformon nem érhető el kétfaktoros hitelesítés, különösen fontos, hogy maga a jelszó minél nagyobb védelmet biztosítson. De mégis hogyan lehet ezt elérni? Kezdjük az alapoktól. Habár ezt talán már mondani sem kellene, de kerülni kell a személyes adatok (név, születési dátum, háziállat neve) használatát a jelszóban. Emellett azt is fontos, hogy minimalizáljuk a kiszámítható minták, például a tényleges szavak vagy a billentyűzeten egymás mellett lévő betűk gyakori használatát. Tartalom tekintetében pedig próbáljunk meg speciális karaktereket, nagybetűket is használni.

Ezen felül szintén fontos lépes a hossz növelése: a rövid, akár bonyolultnak tűnő jelszavaknál sokkal ellenállóbb egy hosszú, legalább 14–16 karakteres jelszó. A támadók gyakran automatizált eszközökkel, úgynevezett brute force vagy szótáras támadásokkal próbálkoznak, ezek ellen pedig kifejezetten hatásos eszköz lehet a jelszó hosszának növelése, ezáltal ugyanis a feltörés is több időt vehet igénybe.

Azt sem lehet elégszer elmondani, hogy minden szolgáltatáshoz egyedi jelszót használjunk.

A jelszó-újrahasználat a szakértők szerint az egyik legnagyobb kockázat: amennyiben ugyanis egy kevésbé védett oldal adatbázisa kiszivárog, a támadók az ott megszerzett e-mail/jelszó párost más, értékesebb platformokon is kihasználhatják az úgynevezett credential stuffing technológiával. Jogos felvetés lehet, hogy nem egyszerű észben tartani a sok különböző jelszót: ez esetben egy megbízható jelszókezelő tud segíthet abban, hogy mindenhol külön, erős jelszavunk legyen. Itt arra érdemes figyelni, hogy ne a böngészőbe mentsük a kódokat, hanem válasszunk inkább letölthető jelszószéf alkalmazásokat, ugyanis ezek nagyságrendekkel nagyobb védelmet biztosítanak.

Emellett az is lényeges, hogy a fiókhoz tartozó email-cím biztonságos legyen, ugyanis a jelszó-visszaállítási kérések ide futnak be. Amennyiben ezen a címen gyenge a védelem, az egész lánc sérülékennyé válik. Végül pedig azt is érdemes tudni, hogy ellenőrizhető, milyen szivárgások voltak a közelmúltban, ahoyg azi, érintettek vagyunk-e: az egyik legismertebb erre szolgáló oldal a haveibeenpwned, amelynek adatbázisa viszonylag sűrűn frissül.

The post Csalássorozat a One-nál: több rendőrségi feljelentés született, a szolgáltató hárít, de már dolgozik a megoldáson first appeared on 24.hu.

Tovább az erdeti cikkre:: 24.hu