Hakerzy włamali się domiędzynarodowej wypożyczalni samochodów Europcar Mobility Group i wykradli kod źródłowy aplikacji na Androida i iOS, a także dane osobowe nawet 200 000 klientów. Wśród poszkodowanych znaleźli się również polscy turyści podróżujący na Wyspy Kanaryjskie, gdzie usługi wypożyczania samochodów są popularne.
Próba wymuszenia okupu przez cyberprzestępców
Sprawcy ataku próbowali szantażować firmę, grożąc opublikowaniem 37 GB danych zawierających kopie zapasowe oraz szczegóły dotyczące infrastruktury chmurowej i wewnętrznych aplikacji przedsiębiorstwa. Europcar Mobility Group, będący spółką zależną Green Mobility Holding, zarządza markami Europcar, Goldcar i Ubeeqo, oferując szeroki wybór pojazdów – od kompaktowych samochodów po luksusowe pojazdy, vany i ciężarówki.
Firma posiada rozległą bazę klientów w 140 krajach na terenie Europy, Ameryki Północnej, Azji i Afryki, w tym znaczącą liczbę klientów z Polski korzystających z usług wypożyczalni na popularnych kierunkach turystycznych, takich jak Wyspy Kanaryjskie.
Skradzione kopie zapasowe SQL i pliki konfiguracyjne aplikacji
Pod koniec marca cyberprzestępca, używający nazwy firmy jako pseudonimu, ogłosił, że „z powodzeniem włamał się do systemów Europcar i uzyskał dostęp do wszystkich ich repozytoriów GitLab”. Twierdził, że skopiował z repozytoriów ponad 9000 plików SQL zawierających kopie zapasowe z danymi osobowymi oraz co najmniej 269 plików .ENV – używanych do przechowywania ustawień konfiguracyjnych aplikacji, zmiennych środowiskowych i wrażliwych informacji.
Aby udowodnić, że włamanie nie jest mistyfikacją, haker opublikował zrzuty ekranu z danymi uwierzytelniającymi pracowników, które znalazł w wykradzionym kodzie źródłowym.
Potwierdzenie naruszenia bezpieczeństwa
Serwis BleepingComputer otrzymał potwierdzenie, że włamanie rzeczywiście miało miejsce i że Europcar Mobility Group obecnie ocenia skalę szkód. Twierdzenie hakera, że wykradł wszystkie repozytoria GitLab firmy, nie jest jednak w pełni zgodne z prawdą. Jak ustalono, niewielka część kodu źródłowego pozostała nietknięta.
Chociaż pełny zakres szkód jest nadal oceniany, skradzione dane obejmują jedynie imiona i nazwiska oraz adresy e-mail użytkowników marek Goldcar i Ubeeqo. Na podstawie statystyk internetowych liczba poszkodowanych klientów może wynosić od 50 000 do 200 000, przy czym niektóre dane pochodzą z lat 2017 i 2020.
Bardziej wrażliwe informacje, takie jak dane bankowe, dane kart płatniczych czy hasła, nie zostały ujawnione.
Szczególne zagrożenie dla turystów z Wysp Kanaryjskich
Według naszych informacji, wśród poszkodowanych znajduje się znaczna liczba polskich turystów, którzy wypożyczali samochody na Wyspach Kanaryjskich. Archipelag ten, będący jednym z najpopularniejszych kierunków turystycznych wśród Polaków, charakteryzuje się wysokim popytem na usługi wypożyczania samochodów ze względu na specyfikę wysp i ograniczenia lokalnego transportu publicznego.
Marki należące do Europcar Mobility Group są szczególnie popularne wśród turystów odwiedzających Teneryfę, Gran Canarię, Lanzarote i Fuerteventurę, gdzie wypożyczenie samochodu jest często niezbędne do swobodnego zwiedzania atrakcji rozproszonych po wyspach.
Działania podejmowane przez firmę
Firma jest obecnie w trakcie powiadamiania wszystkich poszkodowanych klientów i zgłosiła naruszenie organowi ochrony danych w kraju. Nie jest jasne, w jaki sposób cyberprzestępca zdołał uzyskać dostęp do repozytoriów kodu Europcar, ale wiele niedawnych włamań było napędzanych przez dane uwierzytelniające skradzione w wyniku kompromitacji tzw. infostealerów – złośliwego oprogramowania wykradającego dane.
W ubiegłym roku Europcar był celem fałszywego włamania, gdy ktoś twierdził na forum hakerskim, że posiada dane osobowe (imiona i nazwiska, adresy, daty urodzenia, numery prawa jazdy) prawie 50 milionów klientów.
W 2022 roku badacz odkrył token administratora w kodzie aplikacji Europcar na urządzenia mobilne (Android i iOS), który mógł być wykorzystany do uzyskania dostępu do danych biometrycznych klientów. Problem był spowodowany błędem programistycznym i dotyczył wielu aplikacji mobilnych różnych dostawców usług.
Zalecenia bezpieczeństwa dla poszkodowanych klientów
Jeśli korzystałeś z usług Europcar, Goldcar lub Ubeeqo, szczególnie podczas podróży na Wyspy Kanaryjskie, warto podjąć następujące środki ostrożności:
- Zwróć szczególną uwagę na podejrzane wiadomości e-mail, które mogą podszywać się pod Europcar lub pokrewne marki – cyberprzestępcy mogą wykorzystać wykradzione dane do przeprowadzenia ataków phishingowych
- Zmień hasła do kont związanych z wypożyczalnią samochodów, a także do innych serwisów, jeśli używałeś podobnych lub identycznych haseł
- Rozważ włączenie dwuskładnikowego uwierzytelniania (2FA) dla swoich kont online, szczególnie tych zawierających dane płatnicze
- Monitoruj wyciągi z kart kredytowych i rachunków bankowych pod kątem nieautoryzowanych transakcji
- Zachowaj szczególną ostrożność wobec połączeń telefonicznych od osób podających się za pracowników Europcar – firma kontaktuje się z klientami głównie za pośrednictwem oficjalnych kanałów komunikacji
Jak zabezpieczyć się podczas przyszłych wypożyczeń samochodów
Aby zminimalizować ryzyko kradzieży danych podczas korzystania z wypożyczalni samochodów w przyszłości, eksperci ds. cyberbezpieczeństwa zalecają:
- Korzystanie z tymczasowych kart płatniczych lub usług maskowania numeru karty oferowanych przez niektóre banki
- Ograniczenie ilości danych osobowych udostępnianych podczas rezerwacji do niezbędnego minimum
- Weryfikację oficjalnych kanałów komunikacji wypożyczalni przed dokonaniem rezerwacji
- Używanie unikalnych, silnych haseł dla każdego serwisu internetowego
- Rozważenie korzystania z menedżera haseł do bezpiecznego przechowywania danych logowania
- Regularne sprawdzanie statusu swoich danych osobowych w serwisach monitorujących wycieki danych
W przypadku podejrzenia, że padłeś ofiarą wycieku danych, niezwłocznie skontaktuj się z wypożyczalnią samochodów oraz zgłoś sprawę odpowiednim organom ochrony danych osobowych. W Polsce jest to Urząd Ochrony Danych Osobowych (UODO).
