Rossz kezekbe kerülhetett a Carge adatbázisa

Ma hajnalban 2:00 körül a Carge szolgáltató-független elektromos autó töltésre létrehozott applikációban tárolt bankkártyájára számos ügyfél kapott 100, 200, 1000, illetve 2000 dolláros terhelést.

A terhelések mögött valós szolgáltatás (töltés) nem volt, azonban e-mailben számla is érkezett a sikeres terhelésekről.

Mindenki ellenőrizze a Carge alkalmazásban megadott kártya mögött levő bankszámláját és tiltsa le a bankkártyát. Akinél sikeres terhelés történt minél előbb hívja a bank ügyfélszolgálatát.
Amint további információval rendelkezünk az ügyről, frissítjük a cikket.

Frissítés: 2021. augusztus 21. 6:14

A Carge ügyvezetőjétől kapott tájékoztatás szerint a technikai csapatuk már vizsgálja a történteket, és a lehető leghamarabb visszatérítik az ügyfelek számlájára jogtalanul beterhelt összegeket.

Frissítés: 2021. augusztus 21. 8:14

Az elmúlt egy órában a Carge sorra küldi a visszatérítési értesítőket a kárt szenvedett ügyfeleknek az alábbi szöveggel:

„This email is to confirm that your refund has been issued by CARGE P.C.. It can take 10+ days to appear on your statement, if it takes longer please contact your bank for assistance.”

(Nagyjából: Ez az e-mail igazolja, hogy a CARGE P.C. visszatérítést adott ki az Ön számára. A számlán való megjelenés akár 10+ napot is igénybe vehet, ha tovább tartana, akkor további segítségért keresse fel a bankját.)

Frissítés: 2021. augusztus 21. 8:58

A cég vezetése minden regisztrált felhasználót értesített az incidensről az alábbi körlevélben.

A levél szerint a fizetéseket kezelő partnerükön (Stripe) keresztül intézkedtek minden zárolt összeg visszatérítéséről. A zárolás feloldásának ideje az ügyfelek bankjától függően néhány napot igényelhet. Állításuk szerint bankkártya adatokat nem loptak el. Az alkalmazásban biztonsági okokból lekapcsolták a fizetéssel kapcsolatos funkciókat. A cég vezetése elnézést kér a kellemetlenségekért és további tájékoztatást ígérnek arról, hogy miért történhetet meg az eset, valamint hogyan kezelték azt.

Frissítés: 2021. augusztus 21. 20:45

A Carge újabb körlevelet küldött az ügyfeleknek.

Az esti levélben megköszönik az ügyfelek türelmét és megerősítik, hogy a visszatérítést kezdeményezték. Tájékoztatnak, hogy technikailag ez a típusú visszatérítés nem úgy történik, hogy a számlaegyenlegen a terhelés után meg fog jelenni egy jóváíró tétel, helyette el fog tűnni a terhelés. A levél második része a gyakran felmerülő kérdeseket válaszolja meg.

1. Biztonságban vannak a bankkártyám adatai?
   Igen, a betörésnél nem történt adatszivárgás. A kártyaszámokat biztonságos titkosítással tárolja a Carge fizetési szolgáltató partnere, a Stripe, valamint ennek technikai részleteit ismerteti röviden. (Ennek ellenére, mi – a villanyautosok.hu szerkesztősége – továbbra is azt javasoljuk olvasóinknak, hogy tiltsák le a bankkártyát, ha eddig még esetleg nem tették meg, valamint jelentsék a bank ügyfélszolgálatán az esetet és kövessék az ott kapott utasításokat.)
2. Ha már letiltottam (letiltotta a bankom) a kártyát, azért meg fogom kapni a visszatérítést?
   Igen, a jóváírás nem a bankkártyán, hanem a mögötte lévő bankszámlán kerül végrehajtásra.
3. Mennyi idő múlva fog megjelenni a jóváírás a bankszámlámon?
   Banktól függően kb. 2-5 munkanappal kell számolni.
4. Miért nem látom a bankkártya adataimat az applikációban?
   Biztonsági okokból ideiglenesen minden fizetéssel kapcsolatos funkciót kikapcsoltak az alkalmazásban és bontották a kapcsolatot a Stripe fizetési szolgáltatóval, ezért vannak rejtve a bankkártya számok jelenleg.
5. Elvesztek a kuponkódjaim és egyenlegeim?
   Nem, a fizetési rendszer visszakapcsolásakor ezek újra meg fognak jelenni. Ezen kívül hamarosan egy új kompenzációs csomag jelenik majd meg.

Tájékoztatnak, hogy a vizsgálat továbbra is folyamatban van, melynek során értesítettek minden illetékes hatóságot. 24 órán belül egy újabb e-mailt ígérnek további részletekkel.

A levél végén ismét elnézést kérnek az ügyfelektől és megerősítik, hogy a csevegő és e-mail támogatás továbbra is elérhető, bár a megkeresések megnövekedett száma miatt 3-5 perces várakozással érdemes számolni, mielőtt választ kapunk a kérdéseinkre.

Frissítés: 2021. augusztus 23. 7:45

A Carge vezetői által 24 órán belül ígért harmadik e-mail további részletekkel egyelőre nem érkezett meg (pedig már 36 óra telt el az előző levél után). Jó hír viszont, hogy egyre több érintett felhasználó számol be arról, hogy a bankszámlájára megérkezett a visszatérítés.

Frissítés: 2021. augusztus 23. 14:45

Megérkezett a Carge harmadik levele, amelyből megtudhattuk, hogy a hackerek a cég éles környezetébe szerettek volna bejutni, ami nem sikerült, viszont a teszt környezetbe sikeresen betörtek. A teszt környezetben nem voltak felhasználói adatok, azonban a hackerek találtak egy lehetőséget fizetés indítására. A levont pénz a Carge Stripe fiókjába került, ahonnan valós szolgáltatás hiányában nem is tudták volna tovább utalni.

A biztonsági rést azóta befoltozták. A Carge megtéríti a felhasználók esetlegesen felmerülő költségeit (pl. tranzakciós díjak, új bankkártya gyártásának költsége). Akinek ilyen költsége merült fel, keresse a Carge ügyfélszolgálatát. Ezen kívül fájdalomdíjként augusztus végéig jóváírnak 20 eurót az ügyfelek számláin, ami töltésre használható fel.

Bár a Carge többször is hangsúlyozta, hogy nem szivárogtak ki adatok, mi mégis azt javasoljuk olvasóinknak, hogy amennyiben a Carge alkalmazásban használt jelszót máshol is használták, a biztonság kedvéért cseréljék le ezt a jelszót az egyéb alkalmazásokban.