A Zara április 14-i, harmadik fél általi adatsértése böngészési és vásárlási adatokat tárt fel

A Zara április 14-i, harmadik fél általi adatsértése böngészési és vásárlási adatokat tárt fel

1. május 30-án a Zara értesítette vásárlóit, hogy egy harmadik fél szolgáltató rendszereihez történt illetéktelen hozzáférés veszélyeztette személyes adataikat. Maga az adatsértés április 14-én történt, vagyis a vásárlók nagyjából hat héten át nem tudták, hogy adataik kiszivárogtak. Bár a Zara megerősítette, hogy jelszavak és fizetési adatok nem érintettek, a nyilvánosságra került információk árnyaltabb képet festenek arról, mit is tudnak valójában a kereskedők rólunk, és kivel osztják meg ezeket az adatokat.

Ez az eset egy növekvő tendencia része. A Zara harmadik fél általi adatsértésével kapcsolatos adatvédelmi történet nem kezdődik és nem is ér véget ezzel az értesítéssel. Ez csak egy fejezete annak a tágabb képnek, amely bemutatja, hogyan kezelik a divatkereskedők és beszállítói hálózataik a fogyasztói adatokat, meglepően csekély átláthatóság mellett.

Milyen adatok kerültek nyilvánosságra, és hogyan történt az adatsértés

A Zara értesítése szerint a kompromittálódott adatok között böngészési tevékenység, vásárlási előzmények és elérhetőségi adatok szerepeltek. A jogosulatlan hozzáférés nem a Zara saját infrastruktúrájában, hanem egy olyan külső szolgáltatónál történt, amely ezeket az adatokat a vállalat nevében tárolta.

Ennek a különbségtételnek jelentősége van. Amikor egy cég az Ön adatait egy beszállítónál tárolja, az a beszállító válik célponttá. A kereskedők rendszeresen szerződnek elemzési platformokkal, marketingeszközökkel, ajánlórendszerekkel és logisztikai szolgáltatókkal, melyek mindegyike az Ön viselkedési profiljának töredékeit tarthatja nyilván. Ebben az esetben úgy tűnik, hogy a kiszivárgott adatokat egy ilyen közvetítő gyűjtötte és tárolta – egy olyan rendszer, amellyel a legtöbb vásárló közvetlenül soha nem érintkezik, és valószínűleg a létezéséről sem tudott.

Ez a jogsértés egyébként nem egyedi eset a márka életében. Ahogy korábbi cikkünkben is részleteztük, a ShinyHunters 197 ezer Zara vásárlói e-mailt lopott el egy harmadik fél adatsértésén keresztül, a Zara mostanra több olyan incidenssel is szembesült, amelyek kompromittálódott beszállítói kapcsolatokra vezethetők vissza. A mintázat rendszerszintű sérülékenységre utal, nem pedig egyszeri mulasztásra.

Miért érzékenyebbek a böngészési tevékenység és a vásárlási előzmények a jelszavaknál?

Csábító lehet megnyugtatónak érezni, amikor egy cég közli, hogy jelszavakat és fizetési adatokat nem loptak el. A böngészési szokások és a vásárlási előzmények azonban a gyakorlatban jóval mélyebben behatolhatnak a magánéletbe.

Az, hogy milyen termékeket nézett meg, milyen gyakran látogatott bizonyos oldalakat, és végül mit vásárolt meg, részletes profilt épít az Ön preferenciáiról, szokásairól, jövedelmi sávjáról, egészségügyi érdeklődési területeiről, sőt akár párkapcsolati státuszáról is. Ez a fajta viselkedési adat a célzott hirdetések, az árdifferenciálás és a közösségi manipulációs támadások alapanyaga.

Egy ellopott jelszóval szemben, amelyet azonnal meg lehet változtatni, a viselkedési adatokat nem lehet visszagyűjteni. Miután nyilvánosságra kerültek, bekerülhetnek az adatbróker-rendszerekbe, összekapcsolhatók más kiszivárgott adatállományokkal, és kifejezetten az Ön dokumentált érdeklődési területeire szabott, rendkívül meggyőző adathalász üzenetek készítésére használhatók fel. Az a csaló, aki tudja, hogy Ön nemrég kismamaruhákat, futófelszerelést vagy luxusórákat böngészett, kész forgatókönyvvel rendelkezik az Ön becsapására.

Hogyan teremtenek a kiskereskedelmi ellátási lánc beszállítói láthatatlan adatvédelmi kockázatokat a vásárlók számára?

A legtöbb vásárló azt feltételezi, hogy adatai annál a márkánál maradnak, amelyiktől vásárolt. A valóságban egyetlen kiskereskedelmi tranzakció akár tucatnyi külső rendszert is érinthet: fizetési feldolgozókat, csalásfelismerő platformokat, e-mail marketing szolgáltatásokat, személyre szabó motorokat, ügyféladat-platformokat és szállítási szolgáltatókat. E beszállítók mindegyike saját biztonsági szabályzata szerint tárolhat viselkedési vagy tranzakciós adatokat, amelyekbe a vásárlónak nincs betekintése, és amelyekkel kapcsolatban semmilyen szerződéses viszonyban nem áll.

Az adatőrzés ilyen széttöredezettsége az egyik fő oka annak, hogy a harmadik fél általi adatsértések ennyire gyakoriak, és a fogyasztó szemszögéből oly nehezen megelőzhetők. Vásárolhat kizárólag neves márkáktól, tarthatja fiókjait erős jelszavakkal biztonságban, a viselkedési profilja mégis kiszivároghat egy olyan beszállító sérülékenysége miatt, amelyről soha nem is hallott.

A különböző joghatóságok szabályozási keretei már kezdik kezelni ezt a beszállítói kockázati követelményeken keresztül, de a végrehajtás továbbra is következetlen. A felelősség jelenleg nagyrészt az egyes vásárlókra hárul: csökkenteniük kell azt az adatmennyiséget, amit eleve kitermelnek.

Mit jelent ez Önre nézve: Lépések a nyomon követés és az adatkiszivárgás korlátozására

Bár egyetlen egyéni intézkedés sem szünteti meg teljesen a harmadik féltől származó beszállítói kockázatot, néhány gyakorlati lépéssel csökkentheti a kitettségét online vásárláskor.

Gondosan olvassa el az adatsértésről szóló értesítéseket. Ha egy vállalat adatsértési értesítést küld, olvassa el teljes egészében. A kiszivárgott adatok konkrét kategóriái fontosabbak, mint a megnyugtatások arról, hogy mit nem vettek el. Az elérhetőségi adatok és a viselkedési adatok kombinációja fizetési információk nélkül is veszélyes lehet.

Használjon külön e-mail címet a kiskereskedelmi fiókokhoz. Egy külön e-mail alias létrehozása a vásárláshoz csökkenti a kárterjedés mértékét, ha az a cím kiszivárog. Számos e-mail szolgáltató és adatvédelemre fókuszáló szolgáltatás kínál olyan alias funkciókat, amelyek a fő postaládájába továbbítják a leveleket.

Ha lehetséges, kerülje a fiók létrehozását. A vendégként történő fizetés megakadályozza, hogy a kereskedők és beszállítóik egy tartós, az Ön személyazonosságához kötött profilt hozzanak létre. Ha nincs szüksége hűségpontokra vagy rendelési előzmények elérésére, a vendégként való fizetés fontos adatvédelmi lépés.

Használjon VPN-t, amikor kiskereskedelmi oldalakat böngész. A VPN titkosítja a kapcsolatot, és elrejti az IP-címét, ami az egyik olyan adatpont, amelyet a beszállítók a böngészési munkamenetek látogatások és eszközök közötti nyomon követésére használnak. Bár a VPN nem akadályozza meg a kereskedőt abban, hogy naplózza a tevékenységét, miután bejelentkezik egy fiókba, korlátozza a kiskereskedelmi oldalakba ágyazott harmadik fél nyomkövetői számára elérhető metaadatokat.

Kapcsolja be a böngésző adatvédelmi beállításait, és fontolja meg a nyomkövető-blokkoló bővítmények használatát. A kiskereskedelmi oldalakba ágyazott elemzési és hirdetési szolgáltatók közül sok böngésző szintű nyomon követésen keresztül gyűjt adatokat. Ezeknek a szkripteknek a blokkolása korlátozza, hogy a harmadik felek mit rögzíthetnek, mielőtt az adatok elérnék a szervereiket.

A Zara harmadik fél általi adatsértése hasznos emlékeztető arra, hogy a legtöbb kereskedő által gyűjtött adatok messze túlmutatnak azon, ami egy tranzakció lebonyolításához szükséges. Amíg a beszállítói elszámoltathatósági normák meg nem erősödnek, a leghatékonyabb védelem az, ha csökkentjük a termelt viselkedési adatok mennyiségét. Kezdje a fenti lépésekkel, és kezeljen minden kiskereskedelmi böngészési munkamenetet úgy, mint ami valójában: egy adatgyűjtési eseményként.