Инцидент с данни на Napoleon Perdis: изтекли 339 000 записа на австралийски клиенти

Инцидент с данни на Napoleon Perdis: изтекли 339 000 записа на австралийски клиенти

Заплаха с псевдоним „2019“ пое отговорност за изтичането на база данни, съдържаща над 339 000 клиентски записа, принадлежащи на Napoleon Perdis, австралийската марка за луксозна козметика. Предполагаемият пробив, който все още не е потвърден независимо от компанията, по данни включва имена, имейл адреси, телефонни номера, както и домашни адреси и адреси за доставка. Ако бъде потвърден, този инцидент би бил едно от по-значимите излагания на данни в търговията на дребно, засягащи австралийски потребители в близкото минало, а видът на засегнатите данни го прави особено опасен.

Какви данни са изтекли и кой е застрашен

Твърденият набор от данни надхвърля значително основната информация. Освен контактни подробности, изтеклите записи по данни съдържат информация за програмата за лоялност и общи разходи. Тази комбинация е съществена. Пълно име, съчетано с домашен адрес, телефонен номер и имейл, е достатъчно за стартиране на убедителни атаки с имитация. Добавете история на покупките и ниво в програмата за лоялност, и нападателите разполагат с подробен профил на покупателното поведение и финансовите навици на всеки индивид.

Приблизително 339 100 засегнати лица са предимно австралийски потребители, пазарували от Napoleon Perdis – в магазин или онлайн. Тъй като данните включват адреси за доставка, дори клиенти, използвали служебен или алтернативен имейл, могат да бъдат идентифицирани и локализирани. Всеки, който някога е създавал акаунт в Napoleon Perdis или се е записал в тяхната програма за лоялност, трябва да третира личната си информация като потенциално компрометирана, докато компанията не предостави яснота.

Защо данните за лоялност и разходи повишават нивото на заплаха

Повечето дискусии за пробиви в търговията на дребно се фокусират върху номера на платежни карти или пароли. Те са сериозни, но данните за лоялност и разходи въвеждат различен вид риск, който често остава подценяван.

Когато нападателите знаят колко е похарчил даден клиент при даден търговец, те могат да приоритизират целите си. Клиентите с висока стойност е по-вероятно да бъдат атакувани със сложни фишинг кампании, измамни схеми за възстановяване на суми или дори физически подходи. Измамник, който знае, че сте премиум член на програма за лоялност, може да състави изключително достоверен имейл, претендиращ за изключителна награда или решаващ проблем с фактура, допълнен с вашето точно име и адрес.

Тази способност за профилиране е това, което отличава високорисков пробив от рутинен. Пробивите, включващи този вид данни, имат и по-дълъг срок на годност: информацията не изтича така, както парола или номер на кредитна карта могат да бъдат анулирани.

Как нападателите използват изтекли адреси и телефонни записи

Домашните адреси и телефонните номера са двете точки от данни, които пренасят пробива от дигиталния свят във физическия. Нападателите могат да ги използват за SIM-суапинг атаки, при които измамник убеждава мобилен оператор да прехвърли вашия номер към устройство, което те контролират, заобикаляйки двуфакторното удостоверяване чрез SMS. Телефонните номера позволяват също вишинг – гласов фишинг, при който обаждащите се представят за банки, правителствени агенции или търговци, за да извлекат допълнителни лични или финансови данни.

Пробивът в данните на ADT, който изложи 10 милиона записа чрез вишинг е ясна илюстрация за това как телефонно-базираната социална инженерия се разраства, когато нападателите разполагат с готов запас от проверени контактни данни. Домашните адреси добавят допълнително измерение, позволявайки измами по пощата, прихващане на пратки или целеви подходи, които експлоатират чувството на жертвата за познатост със собственото ѝ местоположение.

В отделен, но структурно подобен случай, пробивът в ADT, засягащ 5,5 милиона клиенти демонстрира как имената, телефонните номера и домашните адреси заедно формират пълен инструментариум за измама с идентичност. Изтичането на данни от Napoleon Perdis, ако бъде потвърдено, споделя почти дословно този профил.

Търговците на дребно са привлекателни цели именно защото техните бази данни комбинират идентификационни данни с поведенчески, и често с много по-малки инвестиции в сигурност от финансовите институции. Твърденият инцидент с Napoleon Perdis се вписва в този модел.

Стъпки, които австралийските потребители могат да предприемат сега, за да се защитят

Ако някога сте създавали акаунт в Napoleon Perdis или сте участвали в тяхната програма за лоялност, има практически стъпки, които можете да предприемете незабавно.

Проверете имейла си за подозрителни съобщения. Опитите за фишинг обикновено зачестяват в седмиците след обявяване на пробив, често имитирайки самата засегната марка. Бъдете скептични към всеки имейл, който твърди, че разглежда пробива, предлага обезщетение или изисква потвърждение на акаунта.

Активирайте двуфакторно удостоверяване на всички финансови акаунти. Предвид, че телефонните номера са част от предполагаемото изтичане, дайте приоритет на удостоверяващи приложения пред SMS-базирани кодове, когато е възможно.

Наблюдавайте кредитното си досие. Австралийските потребители могат да поискат кредитен доклад от основните кредитни бюра и, ако имат притеснения, да поставят временна забрана върху нови кредитни заявления. Услуги като IDCARE, националната австралийска служба за подкрепа при кражба на идентичност и киберподкрепа, могат да помогнат на хора, които смятат, че данните им са злоупотребени.

Бъдете бдителни за измами чрез физическа поща. Тъй като адресите за доставка са включени в твърдените данни, следете за неочаквани пратки, известия за пренасочване или искания за потвърждаване на детайли за доставка.

Прегледайте широко своя отпечатък от данни. Този пробив е полезен повод да проверите кои търговци и услуги съхраняват вашата лична информация. Където е възможно, изтрийте акаунти, които вече не използвате, и се откажете от програми за лоялност, които изискват повече данни, отколкото ви е удобно да споделяте.

Твърдението за пробив в данните на Napoleon Perdis все още се разследва, а компанията все още не е издала цялостно публично изявление. Но независимо дали пробивът в крайна сметка бъде потвърден в заявения мащаб, инцидентът е напомняне, че базите данни за лоялност в търговията на дребно съдържат много по-чувствителна информация, отколкото повечето клиенти осъзнават. Да останете проактивни сега е най-ефективният начин да ограничите излагането си, ако данните продължат да циркулират.