A SimplePay az OTP Mobil Kft. által fejlesztett és üzemeltetett online bankkártya-elfogadást és azonnali fizetési megoldást kínál a webshopok, internetes áruházak és szolgáltatók számára. Mindebből az átlagos felhasználó annyit tapasztal a gyakorlatban, hogy az SimplePay platformjára beregisztrálva megadja az alap személyes adatait, bankkártyájánank a számát, valamint egy felhasználónevet és egy hozzá tartozó jelszót, amivel beléphet a SimplePay felületére.

 A közelmúltban, 2023 december 5-én és 8-án a SimplePay rendszerét olyan kibertámadás érte, amiben létező SimplePay felhasználók fiókjaiba jelentkeztek be sikeresen a támadók. 

Az OTP Simple 2023. december 06-i közleménye:

”December 5-én este, más felület(ek)en eltulajdonított felhasználónév/jelszó kombinációkkal digitális adattolvajok több ezer Simple-felhasználó fiókjához fértek hozzá. Az illetéktelenek fizetési tranzakciót nem tudtak indítani, anyagi kár így nem történt. Az érintett fiókokat haladéktalanul blokkoltuk, a helyreállításról és a szükséges tájékoztatásról gondoskodtunk. A fiókok védelme érdekében a szükséges lépéseket megtettük. A bűnözők ellen hatósági intézkedést kezdeményezünk.”

Ezt követően az OTP Simple 2023. december 9-én kiadott közleménye újabb kibertámadásról tájékoztatott:

 ”A Simple rendszereit december 8-án este kibertámadás érte egy ismert csoport részéről, akik más felület(ek)en eltulajdonított felhasználónév/jelszó kombinációkkal férhettek hozzá a felhasználói fiókokhoz. Ezért biztonsági okokból, átmenetileg az OTP Mobil felfüggesztette a Simple applikáció működését. A felhasználókat anyagi kár nem érte, a fiókban tárolt bankkártyaadatokhoz nem tudnak hozzáférni, mivel azokat titkosítva és egy nagyon szigorú szabvány (PCI DSS) szerint tárolja a Simple rendszere.”

 A jogellenes belépési kísérletek megakadályozására és a Simple-fiókok valamint az ott tárolt személyes adatok további védelmére az OTP Mobil bekapcsolta a kétfaktoros azonosítást valamennyi, már meglévő felhasználói fiók esetében. Ehhez kapcsolódóan biztonsági okokból, a veszélyeztetett Simple felhasználók jelszavát érvénytelenítette a vállalat. 

 A Simple rendszerét december 9-én az esti órákban indította újra az OTP Mobil csapata, miután számos intézkedést foganatosítottak a további támadások megakadályozására. 

 A támadás elkövetőinek felelősségre vonása érdekében az OTP Mobil együttműködik a hatóságokkal. 

 A SimplePay rendszerét tehát nem törték fel, annyi történt, hogy más feltört platformokról ellopott felhasználónév és jelszó párosokat felhasználva próbáltak meg belépni a SimplePay fiókokba. 

Az, hogy többféle fiókhoz ugyanazt a felhasználónév-jelszó párost használják sokan sok éve - gyakorlatilag amióta számítógépet és azon különböző felhasználói fiókokat használunk - fennálló jelenség. Ez pedig az elmúlt években jelentős biztonsági problémává nőtte ki magát, köszönhetően a gombamód szaporodó online szolgáltatásoknak, amikhez általában regisztráció is szükséges. 

Ezt pedig a bűnőzök is jól tudják és nem véletlenül gyűjtik a feltört szolgáltatásokból vagy az egyéb módon ellopott felhasználóneveket és jelszavakat, amikből mára több milliárdnyi gyűlt össze, az elmúlt években már mindennapossá és megszokottá vált online adatlopások révén, amikbe beletartoznak a széles körben használt kompromittált szolgáltatások is.

Ilyen ellopott felhasználónév-jelszó párosokat tartalmazó adatbázisokat használtak fel a SimplePay fiókjainkba való illegális bejelentkezésekhez is. Ha pedig valaki jó felhasználónevet és jelszót ír be, azt a rendszernek el kell fogadnia, hiszen ez a sikeres bejelentkezés lényege.

Az ilyen jellegű támadásokat, amennyiben nincs legalább többfaktoros autentikáció, csak a felhasználó biztonságtudatosságával lehet kivédeni. Aminek egyik alappillére, hogy UGYANAZT a felhasználó-jelszó párost több helyen NEM használjuk. 

Az egyik fő kifogás ilyenkor, hogy ennyi adatot márpedig lehetetlenség megjegyezni. De hát nem is kell, hogy megjegyezzük, erre vannak például a kifejezetten ehhez tervezett jelszókezelő alkalmazások, amik közül nemcsak felhőbe szinkronizálók érhetők el, hanem léteznek offline módban és telepítés nélkül is használhatók is.