Den 10. maj blev den amerikanske Citibank ramt af et hacker-indbrud, hvor gerningsmændene fik fat i navne, kontonumre og mailadresser for 2 procent af de omkring 21 millioner kunder i Nordamerika.
Der var tale om et meget simpelt angreb, og det eneste som hackerne behøvede at gøre var at ændre i websidens URL-adresse for at få adgang til de fortrolige oplysninger.
Hackerne har udnyttet et sikkerhedshul på serveren. Først har de logget sig på med en legitim kundekonto. Herefter kunne de skifte til en anden konto blot ved at ændre et enkelt tal i URL'en. De har så skrevet et script, der har automatiseret denne proces og samlet data om næsten 400.000 kunder.
Ifølge Citibank har hackerne hverken fået fat i sikkerhedskoderne fra kortets bagside, fødselsdatoer eller udløbsdatoer. Men alligevel er der allerede stjålet et stort beløb fra de ramte konti.
Det ser ud til at hackerne har plyndret 3.400 konti og trukket mere end 13 mio. kr. indtil videre. Det er næsten 4.000 kr. i gennemsnit per konto, skriver Wall Street Journal.
Citibank lover at dække alle tab og samtidig skal banken betale for at få udstedt mere end 200.000 nye kreditkort.
Tyveriet blev først offentliggjort den 8. juni – altså næsten en måned efter angrebet. Siden har Citibank haft travlt med at informere de berørte kunder.