Az elmúlt időszakban számos jelentős kibertámadás és biztonsági incidens rázta meg a digitális világot. 2024. közepétől 2025 elejéig nemcsak a nemzetközi színtéren, hanem közvetetten a magyar felhasználók és szakmai közösség szempontjából is fontos esetek történtek, amelyek tanulságai és részletei minden informatikai érdeklődő számára érdekesek lehetnek.

AT&T adatszivárgás: Több tízmillió ügyfél metaadata veszélyben

2024 júliusában az amerikai AT&T szolgáltatónál olyan biztonsági incidensről érkeztek hírek, amelyben a támadók hozzáfértek az AT&T Snowflake felhőplatformján tárolt mobilhálózati metaadatokhoz. Ez mintegy 73-88 millió rekordot érintett, leginkább hívás- és SMS-előzményeket az 2022 május 1. és október 31. közötti időszakból.

Fontos kiemelni, hogy a tartalmak – azaz a hívás- vagy üzenetszövegek – nem kerültek nyilvánosságra, továbbá érzékeny személyes azonosítók, mint például születési dátum vagy társadalombiztosítási szám (SSN) eredetileg nem szerepeltek az adathalmazban. Ugyanakkor egyes fórumokon 44 millió SSN nyilvánosságra került, ami korábbi, 2021-es és 2024-es incidensek adathalmazának újrakiadására utalhat.

Az AT&T gyorsan reagált: 7,6 millió felhasználó fiókja visszaállításra került, az érintetteket értesítették, és a vállalat együttműködik a hatóságokkal a föderális vizsgálatban. Az eset különösen intő jel: a szolgáltató ügyfeleinek érdemes fokozottan óvatosnak lenniük a gyanús hívásokkal, SMS-ekkel szemben, és fontolóra venniük a hitelmegfigyelési szolgáltatások igénybevételét a személyes adatok védelmében.

Chaos ransomware támadás az Optima Tax Relief ellen

A 2025 márciusában indult Chaos ransomware csoport újabb nagy port kavart azzal, hogy megcélzott egy vezető amerikai adósságkezelő céget, az Optima Tax Relief-et. A double-extortion módszerrel dolgozó kiberbűnözők 69 GB korporát és ügyféladatot, köztük személyes információkat (SSN-ek, telefonszámok, lakcímek) hoztak nyilvánosságra, miközben a vállalat szervereit is titkosították. Ez a komplex támadási módszer komoly veszélyt jelent az érintettek számára, hiszen az ellopott adatokat további csalásokhoz és identitáslopáshoz használhatják fel.

Az ilyen incidensek rávilágítanak a rendszeres mentések, a hálózati szegmentáció, a pentestek és a ransomware-szimulációs gyakorlatok fontosságára.

Interlock zsarolóprogram a Kettering Health hálózatában

2024 májusában az Ohio állambeli Kettering Health egészségügyi hálózat 14 kórházát és 120 járóbeteg-központját érte támadás, amelyet az Interlock csoport követett el: közel 1 TB adatot – közöttük betegadatokat, gyógyszer- és vérbanki jelentéseket, valamint belső biztonsági dokumentumokat – loptak el, és emellett a szervereket is titkosították. Így a call centerek és az elektronikus egészségügyi rendszerek csak ideiglenesen voltak elérhetetlenek, papíralapú dokumentációra kényszerültek.

A támadás technikai módszerei között szerepelt például a ClickFix-impersonáció és egy távoli hozzáférést biztosító RAT, a NodeSnake. A Kettering Health válaszaként hálózati szegmentációt és szigorúbb hozzáférés-szabályozást vezetett be.

PathWiper: destruktív malware Ukrajnában

Ukrajnában egy orosz APT-hez köthető csoport újabb destruktív malware-rel, a PathWiperrel támadott kritikus infrastruktúrát. Ez a kártevő nem ransomware: nem követel váltságdíjat, hanem szándékosan rongálja az adatokat, a fizikai és hálózati NTFS köteteken kritikus fájlrendszer-struktúrákat (pl. MBR, $MFT) ír felül, ezzel működésképtelenné téve a rendszereket.

A védekezés részeként érdemes naprakész Cisco Talos kriptográfiai jeleket és hálózati szabályokat alkalmazni, valamint rendszeres drive-integritás-ellenőrzést és sandboxed recovery teszteket végezni.

BADBOX 2.0 IoT botnet – több mint egymillió fertőzött eszköz világszerte

Az FBI figyelmeztetése szerint a BADBOX 2.0 egy Android-alapú IoT eszközöket – okostelevíziókat, streaming boxokat, táblagépeket – támadó botnet, amely rootkitekkel és backdoorokkal fertőzi meg a készülékeket. A bűnözők proxy-hálózatként használják a fertőzött eszközöket, akár értékesítve is hozzáférésüket. A hálózat automatikusan kattint hirdetésekre (ad fraud), és az ellopott hitelesítőkkel további bűncselekményekre használható fel.

Hogy megóvjuk eszközeinket, mindig megbízható forrásból vásároljunk, kerüljük a Google Play nélküli áruházakat, és frissítsük rendszeresen firmware-ünket és szoftverünket.

iMessage nulla-kattintásos sebezhetőség és a „Nickname” incidens

Az iVerify szakértői az iOS 18.3 javítás kapcsán jelentették be a „Nickname” néven elhíresült nulla-kattintásos sebezhetőséget, amely az Apple Messages app Share Name and Photo funkciójában volt jelen. A hibás névfrissítés időzítés összeomlást okozhatott, akár fájltörlés történhetett 20 másodperc után.

Bár az Apple nem talált bizonyítékot kémprogram telepítésére, az érintettek között főként újságírók, kormányzati vezetők és tech-cégek vezetői voltak. A felhasználóknak ajánlott az azonnali iOS-frissítés telepítése, az automatikus frissítések engedélyezése és szükség esetén a Lockdown Mode bekapcsolása.

Windows „inetpub” mappa és a CVE-2025-21204 jelentősége

2025 áprilisában a Windows frissítések automatikusan létrehoztak egy „C:\inetpub” mappát, ami újonnan vált a rendszer egyik biztonsági komponensévé. A mappa törlése a felhasználói oldalon viszont védtelenebbé teheti a rendszert a CVE-2025-21204 sebezhetőséggel szemben, amely szimbolikus linkek révén támadók számára jogosultságemelést tesz lehetővé.

Ezért a Microsoft kifejezetten azt javasolja, hogy a mappát ne töröljük, és ha valaki mégis megtette, földolgozó eszközökkel vagy a Set-InetpubFolderAcl PowerShell-szkripttel állítsa helyre annak jogosultságait. Ez kiemelten fontos mindenkinek Windows 10 vagy 11 alatt.

Összegzés

A fenti események jól megmutatják, hogy a kiberveszélyek egyre komplexebbé válnak, az incidensek mögött álló támadók pedig egyre kifinomultabb módszereket alkalmaznak.

Magyar szervezetek számára és minden IT-biztonság iránt érdeklődőnek ezért érdemes folyamatosan ellenőrizni a felhőszolgáltatók és harmadik felek biztonsági beállításait, rendszeresen tesztelni mentési és helyreállítási gyakorlatokat, mindig naprakészen tartani a szoftvereket, valamint hangsúlyt fektetni a felhasználók képzésére, különösen a szociál­mérnöki trükkök felismerésében.

Ha szeretnél mélyebben elmerülni a témában, további részletek és szakértői elemzések az IT Biztonság Hírportálon találhatóak.