Mely edzőteremláncok érintettek?
A HelloGym számos ismert fitneszláncnak nyújt híváskezelési és marketingmegoldásokat, így például az Anytime Fitness, Snap Fitness és UFC Edzőterem (UFC Gym) franchise-okat is érinti az adatgyűjtés. Az incidens során több mint ezer helyszín hívásai kerültek napvilágra az Egyesült Államokban és Kanadában. Az adatokat 2020 és 2025 között rögzítették, és MP3 formátumban, könnyen elérhető módon tárolták az adatbázisban.
Milyen adatok szivárogtak ki?
A hangfelvételeken ügyfelek és munkatársak neve, telefonszáma, a hívás oka (például bérletmegújítás vagy lemondás), valamint gyakran pénzügyi információk is elhangzottak. Noha hitelkártyaszámokat nem találtak a hanganyagokban, az ügyfelek rendszeresen megbeszélték telefonon fizetési és számlázási ügyeket, ami jelentősen növeli a visszaélések kockázatát.
Ami igazán veszélyes: sok hívás során a dolgozók is bemondták nevüket, jelszavukat és azonosítójukat, amikor tagsági ügyeket intéztek, így a visszaélők könnyedén megszerezhették ezeket az érzékeny adatokat. A hangfájlokat bármilyen böngészővel le lehetett játszani, külön program sem kellett hozzá.
ÚJ FENYEGETÉS: MI és deepfake hangok
Mindezt figyelembe véve a helyzet még aggasztóbbá válik, ha az MI-t is bevonjuk a képbe. Ma már akár egyetlen rövid hangmintából is le lehet másolni bárki hangját, például a VALL-E nevű eszközzel (amit a Microsoft is csak óvatosan tett közzé, éppen a visszaélések veszélye miatt). Egy digitalizált hanggal már valósághű deepfake hangfelvétel is készíthető, amelyben egy bűnöző akár vállalati vezetőként adhat át utasításokat pénzügyi alkalmazottaknak, hogy utaljanak pénzt.
Ha egy csaló hozzájut valakinek a hangjához, és ehhez társítja a nyilvánosan vagy más korábbi adatszivárgásból megszerzett információkat, hitelesen tudja magát kiadni az illetőnek telefonbeszélgetésben. A társadalmi manipulációs (social engineering) támadások során sokszor már egy ismerős hang is elegendő a bizalom megingatásához.
Szakértői tanácsok a jövőre nézve
A történet intő jel mindenki számára: soha ne ossz meg érzékeny, különösen pénzügyi adatokat hangüzenetben vagy telefonon. Szervezeti szinten elengedhetetlen a titkosítás alkalmazása, a rendszeres tesztelés, valamint a régi, feleslegessé vált adatok törlése. Az adatok ilyen mértékű gyűjtése és elhanyagolt védelme komoly veszélyt jelent; ahogy a fittséghez, úgy az adatbiztonsághoz is folyamatos odafigyelés szükséges.
