Den 25. mars 2024 ble 34.532.941 brukerkontoer fra det latinamerikanske fintech-selskapet Addi (addi.com) kompromittert i et datainnbrudd. Lekkasjen ble registrert i Have I Been Pwned 18. mai, og inneholder langt mer enn e-postadresser.
Dette er den største enkeltstående lekkasjen i 2024 så langt, målt i antall berørte kontoer. Til sammenligning rammet andre store lekkasjer samme periode Charter (4,8 millioner), Abrigo (711.000), Ameriprise (502.000) og portugisiske CTT (468.000).
Alvorlighetsgraden ligger ikke bare i volumet. Dataklassene som er kompromittert fra Addi utgjør et komplett identitetsprofilbilde.
Hva inneholder Addi-lekkasjen?
Angriperne fikk tilgang til 13 forskjellige datakategorier fra Addi sitt system. Her er hva som er ute:
- Kredittopplysninger: Kredittscores, inntektsnivå og sosioøkonomisk klassifisering
- Personidentifikasjon: Fullt navn, telefonnummer, fysisk adresse, e-postadresser, offentlig utstedte ID-dokumenter
- Teknisk informasjon: IP-adresser, enhetsinformasjon, GPS-koordinater (bredde- og lengdegrad)
- Forbrukeratferd: Kjøpshistorikk og aldersgrupper
Kombinasjonen av økonomiske data og presis geografisk lokasjon skaper ekstraordinær risiko. En angriper kan med disse opplysningene konstruere svært overbevisende phishing-angrep eller identitetstyverier rettet mot spesifikke individer.
Hvorfor Addi-lekkasjen skiller seg ut
De fleste datalekkasjer inneholder e-postadresser og navn. Addi-innbruddet går langt utover dette. GPS-koordinater i kombinasjon med kredittopplysninger gir angripere mulighet til både fysisk og økonomisk kartlegging av ofre.
Kredittscores og inntektsnivå gjør det mulig å identifisere høyverdige mål for svindel. Kjøpshistorikk lar kriminelle lage skreddersydde phishing-e-poster som ser ut som legitime leverandører kunden faktisk har handlet hos.
Offentlig utstedte ID-dokumenter, sannsynligvis pass- eller førerkort-numre, er særlig problematiske. Disse kan ikke enkelt byttes ut som passord, og gir tilgang til banktjenester, kredittopptak og offentlige systemer.
De andre store lekkasjene i mai 2024
Addi-lekkasjen kom ikke alene. Bare i mai registrerte HIBP fire andre betydelige innbrudd:
Charter (4.851.517 kontoer, kompromittert 23. mai): E-postadresser, navn, telefonnummer, fysisk adresse og jobbtitler fra det amerikanske telekom-selskapet.
Abrigo (711.099 kontoer, kompromittert 14. april): Tilsvarende dataklasser som Charter, pluss arbeidsgivere. Abrigo leverer programvare til finanssektoren, noe som gjør kundelisten særlig verdifull for angripere.
Ameriprise (502.597 kontoer, kompromittert 2. mars): I tillegg til standarddata inkluderer denne lekkasjen finansielle transaksjoner, noe som gir angripere innsikt i kunders investeringsmønstre.
CTT (468.124 kontoer, kompromittert 26. april): Det portugisiske postverket. Relativt begrenset datasett (kun e-post, navn, telefon), men høy troverdighet som phishing-avsender.
Til sammen utgjør disse fem lekkasjene over 41 millioner kompromitterte kontoer på to måneder.
Hva du bør gjøre nå
Sjekk om din e-postadresse er involvert. Besøk Sentinels e-post-skanner eller gå direkte til haveibeenpwned.com.
Hvis du er rammet av Addi-lekkasjen eller én av de andre:
- Bytt passord umiddelbart på alle kontoer som bruker samme e-postadresse
- Aktiver tofaktor-autentisering (2FA) overalt hvor det er mulig
- Vær ekstremt skeptisk til e-poster eller SMS-er som refererer til dine kjøp eller din bank, selv om de ser legitime ut
- Hvis du vet du hadde konto hos Addi: overvåk kredittscoren din månedlig gjennom lovlige tjenester, og vurder kredittfrys hos norske kredittopplysningsbyråer
- Aldri oppgi sensitiv informasjon via e-post eller telefon, selv om avsender virker troverdig
For bedrifter med ansatte som kan være berørt: send ut en intern varsel nå, ikke om tre uker. En ansatt som klikker på en skreddersydd phishing-lenke basert på lekket kjøpshistorikk kan koste deg hele nettverket.
Kontinuerlig overvåkning reduserer risikoen
Lekkasjer som Addi oppdages ofte måneder etter innbruddet skjedde. Addi ble kompromittert 25. mars, men HIBP registrerte dataene først 18. mai. I mellomtiden kunne angriperne forberede målrettede angrep.
Sentinel PLUSS-abonnenter får daglig sjekk av sine registrerte e-postadresser mot HIBPs database, og varsles samme dag en ny lekkasje publiseres. Det gir deg handlingsrom før kriminelle utnytter dataene.