Mi az a Napoleon Perdis adatszivárgás?

Egy '2019' álnéven fellépő fenyegető szereplő azt állítja, hogy kiszivárogtatott egy több mint 339 000 ügyfélrekordot tartalmazó adatbázist, amely a Napoleon Perdis tulajdonát képezi, de a vállalat még nem erősítette meg függetlenül az incidenst.

Milyen típusú személyes adatok kerültek állítólag nyilvánosságra?

A kiszivárgott rekordok állítólag neveket, e-mail-címeket, telefonszámokat, otthoni és szállítási címeket, hűségprogram-adatokat és teljes költési összegeket tartalmaznak.

Hány személyt érinthet potenciálisan az eset?

Körülbelül 339 100 személyt, elsősorban ausztrál fogyasztókat, akik a Napoleon Perdisnél vásároltak üzletben vagy online.

Miért teszi súlyosabbá ezt az adatszivárgást a hűség- és költési adatok nyilvánosságra kerülése?

Lehetővé teszi a támadók számára, hogy profilozzák és priorizálják a magas értékű ügyfeleket, hogy meggyőző adathalász kampányokat, csalárd visszatérítési átveréseket és célzott támadásokat indítsanak, és az információnak hosszú az eltarthatósági ideje a jelszavakhoz vagy hitelkártyaszámokhoz képest.

Milyen kockázatokat jelentenek a nyilvánosságra került otthoni címek és telefonszámok?

Az otthoni címek és telefonszámok felhasználhatók fizikai megkeresésekhez, SIM-csere támadásokhoz, amelyek megkerülik az SMS-alapú kétfaktoros hitelesítést, és vishing (hanghívásos adathalász) csalásokhoz.

Napoleon Perdis adatszivárgás: 339 ezer ausztrál ügyfél adata került nyilvánosságra

A "2019" álnéven tevékenykedő fenyegető szereplő magára vállalta a felelősséget egy több mint 339 ezer ügyfélrekordot tartalmazó adatbázis kiszivárogtatásáért, amely az ausztrál luxuskozmetikai márka, a Napoleon Perdis tulajdonát képezi. Az állítólagos incidens, amelyet a vállalat még nem erősített meg független forrásokból, a hírek szerint neveket, e-mail-címeket, telefonszámokat, valamint otthoni és szállítási címeket tartalmaz. Ha bebizonyosodik, ez az eset az utóbbi idők egyik legsúlyosabb kiskereskedelmi adatszivárgása lesz az ausztrál fogyasztókat érintően, és az adatok jellege különösen veszélyessé teszi.

Milyen adatok kerültek nyilvánosságra, és ki van veszélyben?

Az állítólagos adatkészlet messze túlmutat az alapvető információkon. A kapcsolati adatokon túl a kiszivárgott rekordok állítólag hűségprogram-adatokat és teljes költési összegeket is tartalmaznak. Ez a kombináció sokatmondó. A teljes név, otthoni cím, telefonszám és e-mail-cím elegendő a meggyőző személyiséglopási támadások elindításához. Ha ehhez hozzávesszük a vásárlási előzményeket és a hűségprogram-szintet, a támadók részletes profilalkotást végezhetnek az egyes személyek vásárlási szokásairól és pénzügyi szokásairól.

A nagyjából 339 100 érintett személy túlnyomórészt ausztrál fogyasztó, akik a Napoleon Perdisnél vásároltak, akár üzletben, akár online. Mivel az adatok szállítási címeket is tartalmaznak, még azok az ügyfelek is azonosíthatók és megtalálhatók, akik munkahelyi vagy alternatív e-mail-címet használtak. Mindazoknak, akik valaha is létrehoztak Napoleon Perdis-fiókot, vagy regisztráltak a hűségprogramjukba, úgy kell kezelniük személyes adataikat, mint amelyek potenciálisan veszélybe kerültek, amíg a vállalat nem ad egyértelmű tájékoztatást.

Miért növeli a veszély szintjét a hűség- és költési adatok jelenléte?

A legtöbb kiskereskedelmi adatszivárgásról szóló vita a fizetési kártyák számaira vagy a jelszavakra összpontosít. Ezek súlyosak, de a hűség- és költési adatok másfajta kockázatot jelentenek, amelyet gyakran alábecsülnek.

Amikor a támadók tudják, hogy egy ügyfél mennyit költött egy kiskereskedőnél, priorizálhatják célpontjaikat. A magas értékű ügyfelek nagyobb valószínűséggel válnak kifinomult adathalász kampányok, csalárd visszatérítési átverések vagy akár fizikai megkeresések célpontjaivá. Az a csaló, aki tudja, hogy Ön prémium hűségtag, rendkívül hihető e-mailt állíthat össze, amelyben exkluzív jutalmat kínál vagy számlázási problémát old meg, a helyes nevével és címével kiegészítve.

Ez a profilalkotási képesség az, ami megkülönbözteti a magas kockázatú adatszivárgást a rutinszerűtől. Az ilyen típusú adatokat tartalmazó incidenseknek hosszabb az eltarthatósági ideje is: az információ nem jár le úgy, ahogy egy jelszó vagy hitelkártyaszám a visszaállítás után.

Hogyan használják ki a támadók a kiszivárgott lakcím- és telefonrekordokat?

Az otthoni címek és telefonszámok az a két adatpont, amelyek az adatszivárgást a digitális világból a fizikai világba terelik. A támadók SIM-csere támadások végrehajtására használhatják őket, amikor egy csaló meggyőz egy mobilszolgáltatót, hogy az Ön számát egy általa ellenőrzött eszközre vigye át, megkerülve ezzel az SMS-alapú kétfaktoros hitelesítést. A telefonszámok lehetővé teszik a vishinget, azaz a hanghívással történő adathalászatot is, amikor a hívók bankoknak, kormányzati szerveknek vagy kiskereskedőknek adják ki magukat, hogy további személyes vagy pénzügyi adatokat csaljanak ki.

Az ADT adatszivárgás, amely 10 millió rekordot tárt fel vishing révén jól szemlélteti, hogyan skálázódik a telefonos szociális tervezés, amikor a támadók készleten lévő, ellenőrzött elérhetőségi adatokkal rendelkeznek. Az otthoni címek további dimenziót adnak hozzá, lehetővé téve a postai csalást, a csomaglopást vagy olyan célzott megkereséseket, amelyek az áldozat saját környezetéhez fűződő ismerősségérzetét használják ki.

Egy különálló, de szerkezetileg hasonló esetben az 5,5 millió ügyfelet érintő ADT adatszivárgás megmutatta, hogy a nevek, telefonszámok és otthoni címek együtt alkotják a személyazonosság-lopás teljes eszköztárát. A Napoleon Perdis kiszivárgása, ha megerősítik, szinte pontosan ugyanezt a profilt mutatja.

A kiskereskedők éppen azért vonzó célpontok, mert adatbázisaik az azonosító adatokat viselkedési adatokkal kombinálják, és gyakran sokkal kevesebb biztonsági befektetéssel bírnak, mint a pénzintézetek. Az állítólagos Napoleon Perdis incidens illik ebbe a mintázatba.

Lépések, amelyeket az ausztrál fogyasztók most megtehetnek védelmük érdekében

Ha valaha is létrehozott egy fiókot a Napoleon Perdisnél, vagy részt vett a hűségprogramjukban, vannak azonnal megtehető gyakorlati lépések.

Ellenőrizze e-mailjeit gyanús üzenetek után. Az adathalász kísérletek száma általában megugrik az adatszivárgás bejelentését követő hetekben, és gyakran magát az érintett márkát utánozzák. Legyen szkeptikus minden olyan e-maillel szemben, amely azt állítja, hogy az adatszivárgással foglalkozik, kártérítést kínál, vagy fiókellenőrzést kér.

Engedélyezze a kétfaktoros hitelesítést minden pénzügyi fiókján. Mivel a telefonszámok az állítólagos kiszivárgás részét képezik, lehetőség szerint részesítse előnyben a hitelesítő alkalmazásokat az SMS-alapú kódokkal szemben.

Kísérje figyelemmel hitelkintéseit. Az ausztrál fogyasztók igényelhetnek hiteljelentést a nagyobb hitelinformációs cégektől, és ha aggódnak, ideiglenes tilalmat kérhetnek az új hitelkérelmekre. Az olyan szolgáltatások, mint az IDCARE, Ausztrália nemzeti személyazonossági és kibertámogatási szolgálata, segíthetnek azoknak, akik úgy vélik, hogy adataikat visszaélték.

Legyen résen a fizikai postai csalással szemben. Mivel a szállítási címek szerepelnek az állítólagos adatok között, figyeljen a váratlan csomagokra, átirányítási értesítésekre vagy a szállítási adatok megerősítésére irányuló kérésekre.

Vizsgálja felül adatlábnyomát szélesebb körben. Ez az adatszivárgás hasznos alkalmat kínál arra, hogy átvizsgálja, mely kiskereskedők és szolgáltatások tárolják személyes adatait. Ahol lehetséges, törölje a már nem használt fiókokat, és iratkozzon le azokról a hűségprogramokról, amelyek több adatot kérnek, mint amennyit hajlandó megosztani.

A Napoleon Perdis adatszivárgásának bejelentését még vizsgálják, és a vállalat még nem adott ki átfogó nyilvános nyilatkozatot. De akár megerősítik az adatszivárgást a bejelentett mértékben, akár nem, az eset emlékeztet arra, hogy a kiskereskedelmi hűségprogramok adatbázisai sokkal érzékenyebb információkat tartalmaznak, mint azt a legtöbb vásárló gondolná. A proaktív hozzáállás most a leghatékonyabb módja annak, hogy korlátozza kockázatát, ha az adatok továbbterjednek.