나폴레옹 퍼디스 데이터 유출이란 무엇인가요?

'2019'라는 가명을 사용하는 위협 행위자가 나폴레옹 퍼디스의 고객 기록 33만 9천 건 이상이 포함된 데이터베이스를 유출했다고 주장하지만, 회사는 아직 이 유출을 독립적으로 확인하지 않았습니다.

어떤 종류의 개인 데이터가 노출되었다고 알려졌나요?

유출된 기록에는 이름, 이메일 주소, 전화번호, 집 주소 및 배송지 주소, 로열티 프로그램 데이터, 총 지출 정보가 포함되어 있다고 합니다.

잠재적으로 영향을 받은 사람은 몇 명인가요?

약 33만 9,100명이 잠재적 영향을 받았으며, 대부분 나폴레옹 퍼디스에서 매장 또는 온라인으로 쇼핑한 호주 소비자들입니다.

로열티 및 지출 데이터 노출이 이번 유출을 더 심각하게 만드는 이유는 무엇인가요?

공격자들이 고액 고객을 프로파일링하고 우선순위를 정해 설득력 있는 피싱 캠페인, 사기 환불 사기, 표적 공격에 활용할 수 있으며, 이 정보는 비밀번호나 신용카드 번호보다 수명이 깁니다.

노출된 집 주소와 전화번호는 어떤 위험을 초래하나요?

집 주소와 전화번호는 물리적 접근, SMS 기반 2단계 인증을 우회하는 SIM 스와핑 공격, 보이스 피싱 사기에 사용될 수 있습니다.

나폴레옹 퍼디스 데이터 유출: 호주인 33만 9천 건의 기록 유출

'2019'라는 가명을 사용하는 위협 행위자가 호주 럭셔리 화장품 브랜드 나폴레옹 퍼디스(Napoleon Perdis)의 고객 기록 33만 9천여 건이 포함된 데이터베이스를 유출했다고 주장했습니다. 이 주장된 유출 사건은 회사 측에서 아직 독립적으로 확인하지 않았으며, 유출된 정보에는 이름, 이메일 주소, 전화번호, 집 주소 및 배송지 주소가 포함되어 있다고 합니다. 만약 사실로 확인된다면, 이번 사건은 최근 기억에 남는 호주 소비자들에게 영향을 미친 주요 소매 데이터 노출 사건 중 하나가 될 것이며, 관련된 데이터의 종류로 인해 특히 위험합니다.

유출된 데이터와 위험에 처한 대상

주장된 데이터셋은 기본적인 정보를 훨씬 넘어섭니다. 연락처 정보 외에도 유출된 기록에는 로열티 프로그램 데이터와 총 지출 정보가 포함되어 있다고 합니다. 이 조합은 심각한 의미를 갖습니다. 전체 이름에 집 주소, 전화번호, 이메일을 조합하면 설득력 있는 사칭 공격을 실행할 수 있습니다. 여기에 구매 이력과 로열티 등급을 더하면 공격자는 각 개인의 구매 행동과 재정 습관에 대한 상세한 프로필을 갖게 됩니다.

약 33만 9,100명의 영향을 받은 개인은 주로 나폴레옹 퍼디스에서 매장 또는 온라인으로 쇼핑한 호주 소비자들입니다. 배송지 주소가 포함되어 있기 때문에 업무용이나 대체 이메일을 사용한 고객도 여전히 식별되고 위치가 추적될 수 있습니다. 나폴레옹 퍼디스 계정을 만들었거나 로열티 프로그램에 가입한 적이 있는 사람은 회사가 명확한 입장을 밝힐 때까지 자신의 개인 정보가 유출된 것으로 간주하고 대처해야 합니다.

로열티 및 지출 데이터가 위협 수준을 높이는 이유

대부분의 소매 유출 논의는 결제 카드 번호나 비밀번호에 초점을 맞춥니다. 이들도 심각하지만, 로열티 및 지출 데이터는 종종 과소평가되는 다른 종류의 위험을 초래합니다.

공격자가 고객이 소매업체에서 지출한 금액을 알게 되면, 표적의 우선순위를 정할 수 있습니다. 고액 소비 고객은 정교한 피싱 캠페인, 사기성 환불 사기, 심지어 물리적 접근의 표적이 될 가능성이 더 높습니다. 피해자가 프리미엄 로열티 회원이라는 사실을 아는 사기꾼은 피해자의 정확한 이름과 주소를 포함한 독점 보상을 제공하거나 청구 문제를 해결한다고 주장하는 매우 그럴듯한 이메일을 작성할 수 있습니다.

이러한 프로파일링 능력이 바로 고위험 유출과 일상적인 유출을 구분하는 요소입니다. 이러한 종류의 데이터가 포함된 유출은 수명도 더 깁니다. 비밀번호나 신용카드 번호처럼 재설정 후 만료되지 않기 때문입니다.

공격자들이 유출된 주소와 전화번호를 악용하는 방법

집 주소와 전화번호는 유출을 디지털 세계에서 물리적 세계로 옮기는 두 가지 데이터 포인트입니다. 공격자는 이를 사용해 사기꾼이 이동통신사에 전화번호를 자신이 제어하는 기기로 전환하도록 설득하여 SMS 기반 2단계 인증을 우회하는 SIM 스와핑 공격을 수행할 수 있습니다. 전화번호는 또한 보이스 피싱(음성 피싱)을 가능하게 하여, 발신자가 은행, 정부 기관 또는 소매업체를 사칭해 추가 개인 정보나 금융 정보를 빼내려고 합니다.

ADT 데이터 유출 사건, 1천만 건의 기록이 보이스 피싱으로 노출되다는 공격자가 검증된 연락처 목록을 확보했을 때 전화 기반 사회 공학이 얼마나 대규모로 확대될 수 있는지 보여주는 명확한 사례입니다. 집 주소는 우편 사기, 소포 가로채기, 또는 피해자가 자신의 위치에 대해 갖는 친숙함을 악용하는 표적 접근을 가능하게 하는 추가적인 차원을 더합니다.

별개이지만 구조적으로 유사한 사례인 ADT 유출로 550만 명의 고객이 노출된 사건은 이름, 전화번호, 집 주소가 결합되어 신원 사기를 위한 완전한 도구 키트를 형성한다는 것을 보여주었습니다. 만약 확인된다면, 나폴레옹 퍼디스 유출은 이 프로필과 거의 일치합니다.

소매업체는 정체성 데이터와 행동 데이터를 결합하고 금융 기관보다 보안 투자가 훨씬 적은 경우가 많기 때문에 매력적인 표적이 됩니다. 주장된 나폴레옹 퍼디스 사건은 이러한 패턴에 부합합니다.

호주 소비자들이 지금 당장 자신을 보호하기 위해 취할 수 있는 조치

나폴레옹 퍼디스에서 계정을 만들었거나 로열티 프로그램에 참여한 적이 있다면, 즉시 취할 수 있는 실질적인 조치가 있습니다.

의심스러운 메시지가 있는지 이메일을 확인하세요. 피싱 시도는 유출 발표 후 몇 주간 급증하는 경향이 있으며, 종종 유출된 브랜드 자체를 사칭합니다. 유출 문제를 해결하거나 보상을 제공하거나 계정 확인을 요청한다고 주장하는 이메일을 의심하십시오.

모든 금융 계정에 2단계 인증을 활성화하세요. 전화번호가 유출 주장에 포함되어 있으므로 가능한 경우 SMS 기반 코드보다 인증 앱을 우선시하십시오.

신용 파일을 모니터링하세요. 호주 소비자는 주요 신용 평가 기관에서 신용 보고서를 요청할 수 있으며, 우려되는 경우 새로운 신용 신청에 대한 일시적 금지를 설정할 수 있습니다. 호주의 국가 신원 및 사이버 지원 서비스인 IDCARE와 같은 서비스는 데이터가 오용되었다고 생각하는 개인을 도울 수 있습니다.

물리적 우편 사기에 주의하세요. 배송지 주소가 주장된 데이터에 포함되어 있으므로, 예상치 못한 소포, 배송 전환 통지 또는 배송 세부 정보 확인 요청에 주의하십시오.

데이터 발자국을 광범위하게 검토하세요. 이번 유출은 어떤 소매업체와 서비스가 개인 정보를 보유하고 있는지 점검하는 좋은 계기가 됩니다. 가능한 경우 더 이상 사용하지 않는 계정을 삭제하고, 공유하는 것이 불편한 데이터를 요구하는 로열티 프로그램을 선택 해제하십시오.

나폴레옹 퍼디스 데이터 유출 주장은 아직 조사 중이며, 회사는 아직 포괄적인 공식 성명을 발표하지 않았습니다. 그러나 이번 사건은 유출이 궁극적으로 주장된 규모로 확인되든 그렇지 않든, 소매 로열티 데이터베이스가 대부분의 고객이 인식하는 것보다 훨씬 더 민감한 정보를 보유하고 있다는 사실을 상기시켜 줍니다. 데이터가 더 유포될 경우 노출을 제한하는 가장 효과적인 방법은 지금 당장 적극적으로 대처하는 것입니다.