What is the Napoleon Perdis data breach?

A threat actor using the alias '2019' claims to have leaked a database containing more than 339,000 customer records belonging to Napoleon Perdis, but the company has not yet independently confirmed the breach.

What types of personal data were reportedly exposed?

The leaked records allegedly include names, email addresses, phone numbers, home and delivery addresses, loyalty program data, and total spend information.

How many individuals are potentially affected?

Approximately 339,100 individuals, mostly Australian consumers who shopped with Napoleon Perdis in-store or online, are potentially impacted.

Why does the exposure of loyalty and spend data make this breach more serious?

It allows attackers to profile and prioritize high-value customers for convincing phishing campaigns, fraudulent refund scams, and targeted attacks, and the information has a long shelf life compared to passwords or credit card numbers.

What risks do the exposed home addresses and phone numbers pose?

Home addresses and phone numbers can be used for physical approaches, SIM-swapping attacks that bypass SMS-based two-factor authentication, and vishing (voice phishing) scams.

اختراق بيانات نابليون بيرديس: تسريب 339 ألف سجل أسترالي

أعلن ممثل تهديد يستخدم الاسم المستعار "2019" مسؤوليته عن تسريب قاعدة بيانات تحتوي على أكثر من 339,000 سجل عميل تابع لنابليون بيرديس، العلامة التجارية الفاخرة لمستحضرات التجميل الأسترالية. الاختراق المزعوم، الذي لم تؤكده الشركة بشكل مستقل بعد، يُقال إنه يشمل الأسماء وعناوين البريد الإلكتروني وأرقام الهواتف وعناوين المنزل والتوصيل. وإن تم التحقق منه، فسيمثل هذا الحادث أحد أهم حالات تعرض بيانات التجزئة التي تؤثر على المستهلكين الأستراليين في الذاكرة الحديثة، ونوع البيانات المتضمنة يجعله خطيرًا بشكل خاص.

ما البيانات التي تم كشفها ومن هم المعرضون للخطر

مجموعة البيانات المزعومة تتجاوز الأساسيات بكثير. فبالإضافة إلى تفاصيل الاتصال، تحتوي السجلات المسربة، بحسب التقارير، على بيانات برنامج الولاء ومعلومات إجمالي الإنفاق. هذا المزيج هام. فالاسم الكامل المقترن بعنوان المنزل ورقم الهاتف والبريد الإلكتروني يكفي لشن هجمات انتحال شخصية مقنعة. أضف إلى ذلك تاريخ المشتريات وطبقة الولاء، وسيكون للمهاجمين ملف تعريف تفصيلي لسلوك الشراء والعادات المالية لكل فرد.

الأفراد المتأثرون البالغ عددهم حوالي 339,100 هم في الغالب مستهلكون أستراليون تسوقوا من نابليون بيرديس، سواء داخل المتجر أو عبر الإنترنت. ولأن البيانات تتضمن عناوين التوصيل، فحتى العملاء الذين استخدموا بريدًا إلكترونيًا للعمل أو بديلاً يمكن التعرف عليهم وتحديد مواقعهم. أي شخص سبق له إنشاء حساب لدى نابليون بيرديس أو الاشتراك في برنامج الولاء الخاص بهم يجب أن يتعامل مع معلوماته الشخصية على أنها مخترقة حتى تقدم الشركة توضيحًا.

لماذا ترفع بيانات الولاء والإنفاق مستوى التهديد

تركز معظم النقاشات حول اختراقات التجزئة على أرقام بطاقات الدفع أو كلمات المرور. هذه الأمور خطيرة، لكن بيانات الولاء والإنفاق تُدخل نوعًا مختلفًا من المخاطر غالبًا ما لا يُقدر حق قدره.

عندما يعرف المهاجمون مقدار ما أنفقه العميل مع تاجر تجزئة، يمكنهم ترتيب أهدافهم حسب الأولوية. العملاء ذوو القيمة العالية هم أكثر عرضة للاستهداف بحملات تصيد احتيالي متطورة، أو عمليات احتيال برد أموال مزيفة، أو حتى نهج مادي. المحتال الذي يعرف أنك عضو متميز في برنامج الولاء يمكنه صياغة بريد إلكتروني مقنع للغاية يدعي تقديم مكافأة حصرية أو حل مشكلة في الفواتير، مكتملاً باسمك وعنوانك الصحيحين.

هذه القدرة على التنميط هي ما يفصل الاختراق عالي الخطورة عن الاختراق الروتيني. كما أن الاختراقات التي تتضمن هذا النوع من البيانات تتمتع بفترة صلاحية أطول: فالمعلومات لا تنتهي صلاحيتها كما قد تنتهي صلاحية كلمة المرور أو رقم بطاقة الائتمان بعد إعادة التعيين.

كيف يستغل المهاجمون سجلات العناوين والهواتف المخترقة

عناوين المنازل وأرقام الهواتف هما نقطتا البيانات اللتان تنقلان الاختراق من العالم الرقمي إلى العالم المادي. يمكن للمهاجمين استخدامها لشن هجمات تبديل شريحة SIM، حيث يقنع محتال مزود خدمة الهاتف المحمول بنقل رقمك إلى جهاز يسيطر عليه، متجاوزًا بذلك المصادقة الثنائية القائمة على الرسائل النصية القصيرة. تتيح أرقام الهواتف أيضًا التصيد الصوتي، حيث ينتحل المتصلون صفة البنوك أو الوكالات الحكومية أو تجار التجزئة لاستخلاص المزيد من التفاصيل الشخصية أو المالية.

اختراق بيانات ADT الذي كشف 10 ملايين سجل عبر التصيد الصوتي هو مثال واضح على كيفية توسع الهندسة الاجتماعية القائمة على الهاتف عندما يكون لدى المهاجمين إمدادات جاهزة من تفاصيل الاتصال الموثقة. تضيف عناوين المنازل بُعدًا إضافيًا، مما يتيح الاحتيال البريدي أو اعتراض الطرود أو النهج المستهدفة التي تستغل شعور الضحية بالألفة بمكان إقامتها.

في حالة منفصلة لكنها متشابهة هيكليًا، أظهر اختراق ADT الذي أثر على 5.5 مليون عميل كيف تشكل الأسماء وأرقام الهواتف وعناوين المنازل معًا مجموعة أدوات كاملة للاحتيال الهوياتي. تسريب نابليون بيرديس، إن تأكد، يتطابق مع هذا الملف تقريبًا تمامًا.

تجار التجزئة أهداف جذابة على وجه التحديد لأن قواعد بياناتهم تجمع بين بيانات الهوية والبيانات السلوكية، وغالبًا باستثمار أمني أقل بكثير من المؤسسات المالية. حادثة نابليون بيرديس المزعومة تنطبق عليها هذه الصيغة.

خطوات يمكن للمستهلكين الأستراليين اتخاذها لحماية أنفسهم الآن

إذا سبق لك إنشاء حساب لدى نابليون بيرديس أو المشاركة في برنامج الولاء الخاص بهم، فهناك خطوات عملية يمكنك اتخاذها فورًا.

تحقق من بريدك الإلكتروني بحثًا عن رسائل مريبة. عادةً ما تزداد محاولات التصيد الاحتيالي في الأسابيع التالية للإعلان عن الاختراق، وغالبًا ما تنتحل صفة العلامة التجارية المخترقة نفسها. كن متشككًا تجاه أي بريد إلكتروني يدعي معالجة الاختراق أو تقديم تعويض أو طلب التحقق من الحساب.

مكّن المصادقة الثنائية على جميع الحسابات المالية. نظرًا لأن أرقام الهواتف جزء من التسريب المزعوم، فضّل تطبيقات المصادقة على الرموز القائمة على الرسائل النصية القصيرة حيثما أمكن.

راقب ملفك الائتماني. يمكن للمستهلكين الأستراليين طلب تقرير ائتماني من مكاتب الائتمان الرئيسية، وإذا كانوا قلقين، وضع حظر مؤقت على طلبات الائتمان الجديدة. خدمات مثل IDCARE، خدمة الهوية والدعم السيبراني الوطنية الأسترالية، يمكنها مساعدة الأفراد الذين يعتقدون أن بياناتهم قد أسيء استخدامها.

انتبه للاحتيال البريدي المادي. لأن عناوين التوصيل مشمولة في البيانات المزعومة، انتبه للطرود غير المتوقعة أو إشعارات إعادة التوجيه أو طلبات تأكيد تفاصيل التوصيل.

راجع بصمة بياناتك على نطاق واسع. هذا الاختراق حافز مفيد لتدقيق تجار التجزئة والخدمات التي تحتفظ بمعلوماتك الشخصية. حيثما أمكن، احذف الحسابات التي لم تعد تستخدمها وألغِ الاشتراك من برامج الولاء التي تتطلب بيانات أكثر مما ترتاح لمشاركته.

لا يزال ادعاء اختراق بيانات نابليون بيرديس قيد التحقيق، ولم تصدر الشركة بعد بيانًا عامًا شاملاً. لكن سواء تأكد الاختراق في النهاية بالمقياس المزعوم أم لا، فإن الحادث تذكير بأن قواعد بيانات ولاء التجزئة تحتفظ بمعلومات أكثر حساسية بكثير مما يدركه معظم العملاء. البقاء استباقيًا الآن هو الطريقة الأكثر فعالية للحد من تعرضك للخطر إذا ما تم تداول البيانات بشكل أكبر.