4 dni temu
W nocy z 19 na 20 kwietnia 2025 r. koreański operator SK Telecom wykrył złośliwy kod działający na jednym z urządzeń sieciowych. Analiza wykazała, iż mogło dojść do wycieku technicznych danych z kart USIM – przede wszystkim numerów IMSI oraz kluczy uwierzytelniających. Do 9 maja nie stwierdzono, by informacje te pojawiły się w darknecie lub zostały wykorzystane do przestępstw, a spółka nie zarejestrowała dotąd wtórnych szkód po stronie abonentów.
Zaraz po zauważeniu nieprawidłowości SKT natychmiast odizolował zainfekowany sprzęt, rozpoczął pełne skanowanie infrastruktury i podniósł do najwyższego poziomu czułość systemu Fraud Detection System, który blokuje nietypowe próby klonowania kart. 20 kwietnia incydent został formalnie zgłoszony do Koreańskiej Agencji Internetu i Bezpieczeństwa (KISA), a następnie do urzędu ochrony danych osobowych PIPC, z którymi operator współpracuje w ramach wspólnego zespołu śledczego.
Rządowa komisja oraz eksperci sektora prywatnego prowadzą w tej chwili dochodzenie, którego wyniki mają zostać upublicznione do końca czerwca. Ministerstwo Nauki i ICT zapowiedziało, iż od rezultatów śledztwa zależeć będą ewentualne sankcje finansowe wobec spółki, a także decyzja, czy SKT będzie musiał zwolnić klientów z opłat za wcześniejsze rozwiązanie umów. Już 250 tys. użytkowników przeniosło numery do konkurencji, a według prognoz liczba ta może sięgnąć 2,5 mln.
Kluczowym elementem obrony stała się bezpłatna usługa „USIM Protection”, która blokuje działanie karty w nieautoryzowanym urządzeniu.
Równolegle SK Telecom od 28 kwietnia prowadzi ogólnokrajową, darmową wymianę kart SIM i eSIM. Usługę realizują wszystkie punkty T World oraz centra roamingowe na lotniskach, a wcześniej poniesione koszty zwracane są klientom. Te same przywileje otrzymali użytkownicy operatorów MVNO działających w sieci SKT. Ze względu na skalę – do wymiany jest choćby 23 mln kart – spółka mierzy się z przejściowymi niedoborami USIM-ów i zamówiła dodatkowe partie, prosząc klientów o wcześniejszą rejestrację wizyt online.
Aby nie pozostawiać przestrzeni spekulacjom, firma publikuje codzienne raporty z liczbą wymienionych kart i aktualnym poziomem aktywacji USIM Protection.
W kolejnych tygodniach utrzymany zostanie najwyższy poziom monitoringu FDS, a nadzór nad siecią zostanie rozszerzony na dodatkowe klastry serwerów, w których specjaliści wykryli kolejne próbki złośliwego oprogramowania. SKT deklaruje, iż dopiero zakończenie rządowego audytu przesądzi o pełnym zakresie modernizacji infrastruktury, ale już teraz wprowadza poprawki konfiguracyjne – m.in. wymianę urządzeń VPN marki Ivanti, które według ekspertów mogły zostać wykorzystane przez atakujących.
Mimo iż wyciek ograniczył się do parametrów technicznych kart SIM i nie objął bezpośrednio danych osobowych, całe zdarzenie stało się największym testem zaufania do SK Telecom od lat. Ostateczna ocena skutków – zarówno dla bezpieczeństwa użytkowników, jak i kondycji finansowej operatora – zależeć będzie od wyników dochodzenia, skali rezygnacji klientów i powodzenia szeroko zakrojonych programów ochronnych, które firma zamierza rozwijać jeszcze długo po formalnym zamknięciu śledztwa.
