USAs tredje største bank, Citigroup, oppdaterte i går kveld kundeinformasjonen om omfanget av et datainnbrudd som ble avslørt 10. mai, og som først ble oppgitt å ha rammet rundt 1 prosent av bankens kortkontoer, det vil si 200.000 kontoer.
I den oppdaterte meldingen heter det at over 360.000 kontoer ble rammet.
Det var kjent tidlig i april at Citigroup-kunder var i en faresone, etter et datainnbrudd mot Epsilon et selskap som driver andre store selskapers kundedatabaser, blant dem Citigroup, Disney-gruppens hoteller og JP Morgan Chase, og som årlig sender ut over 40 milliarder e-postmeldinger.
I dette innbruddet fikk uvedkommende tak i e-postadresser og kundenavn.
Ifølge Citigroup avdekket deres sikkerhetssystemer 10. mai at uvedkommende hadde vært på ferde i deler av nettbankløsningen. Det ble tatt tiltak for å skjerpe overvåkningen og analysere hva slags informasjon hackerne kunne ha fått tak i. I løpet av et par uker kunne man fastslå at 360.069 kontoer var kompromittert. I etterkant steg tallet til 360.084 kontoer.
– Kundenes kontoinformasjon (navn, kontonummer og kontaktinformasjon, også e-postadresse) ble sett [av hackerne], skriver Citigroup. – Men data som er kritisk for å begå svindel ble ikke kompromittert: kundens trygdenummer [tilsvarende fødselsnummer i Norge], fødselsdag, kortets gyldighetsdato og kortets sikkerhetskode (CVV).
Kundene ble kontaktet fra 3. juni. 217.657 kontoer ble tildelt nye kort. Andre ble vurdert ikke å trenge nye kort. De er fortsatt gjenstand for skjerpede sikkerhetstiltak. Citigroup innrømmet datainnbruddet offentlig 9. juni.
Alle de berørte kontoene er i USA.
