Wat is het Napoleon Perdis-datalek?

Een dreigingsactor met het alias '2019' beweert een database te hebben gelekt met meer dan 339.000 klantgegevens van Napoleon Perdis, maar het bedrijf heeft het lek nog niet onafhankelijk bevestigd.

Welke soorten persoonlijke gegevens zijn naar verluidt blootgesteld?

De gelekte records bevatten volgens de beweringen namen, e-mailadressen, telefoonnummers, thuis- en bezorgadressen, loyaliteitsprogrammagegevens en informatie over totale uitgaven.

Hoeveel personen zijn mogelijk getroffen?

Ongeveer 339.100 personen, voornamelijk Australische consumenten die in de winkel of online bij Napoleon Perdis hebben gewinkeld, zijn mogelijk getroffen.

Waarom maakt de blootstelling van loyaliteits- en uitgavegegevens dit lek ernstiger?

Het stelt aanvallers in staat hoogwaardige klanten te profileren en te prioriteren voor overtuigende phishingcampagnes, frauduleuze terugbetalingsscams en gerichte aanvallen, en de informatie heeft een lange houdbaarheid in vergelijking met wachtwoorden of creditcardnummers.

Welke risico's vormen de blootgestelde thuisadressen en telefoonnummers?

Thuisadressen en telefoonnummers kunnen worden gebruikt voor fysieke benaderingen, SIM-swapping-aanvallen die sms-gebaseerde tweefactorauthenticatie omzeilen, en vishing (voice phishing)-scams.

Napoleon Perdis datalek: 339.000 Australische klantgegevens gelekt

Een dreigingsactor met het alias "2019" heeft de verantwoordelijkheid opgeëist voor het lekken van een database met meer dan 339.000 klantgegevens van Napoleon Perdis, het Australische luxe cosmeticamerk. Het vermeende lek, dat nog niet onafhankelijk door het bedrijf is bevestigd, zou namen, e-mailadressen, telefoonnummers en zowel thuis- als bezorgadressen bevatten. Als dit wordt geverifieerd, zou dit incident een van de grotere blootstellingen van klantgegevens in de retail zijn die Australische consumenten in recente herinnering treft, en het type gegevens maakt het bijzonder gevaarlijk.

Welke gegevens zijn blootgesteld en wie loopt risico

De geclaimde dataset gaat veel verder dan de basis. Naast contactgegevens bevatten de gelekte records naar verluidt ook loyaliteitsprogrammagegevens en informatie over totale uitgaven. Die combinatie is veelzeggend. Een volledige naam in combinatie met een thuisadres, telefoonnummer en e-mailadres is genoeg om overtuigende imitatieaanvallen uit te voeren. Voeg daar aankoopgeschiedenis en loyaliteitsniveau aan toe, en aanvallers hebben een gedetailleerd profiel van ieders koopgedrag en financiële gewoonten.

De ongeveer 339.100 getroffen personen zijn voornamelijk Australische consumenten die bij Napoleon Perdis hebben gewinkeld, in de winkel of online. Omdat de gegevens bezorgadressen bevatten, kunnen zelfs klanten die een werk- of alternatief e-mailadres gebruikten nog steeds worden geïdentificeerd en gelokaliseerd. Iedereen die ooit een Napoleon Perdis-account heeft aangemaakt of zich heeft ingeschreven voor hun loyaliteitsprogramma, moet zijn persoonlijke gegevens als mogelijk gecompromitteerd beschouwen totdat het bedrijf duidelijkheid verschaft.

Waarom loyaliteits- en uitgavegegevens het dreigingsniveau verhogen

De meeste discussies over retaildatalekken richten zich op betaalkaartnummers of wachtwoorden. Die zijn ernstig, maar loyaliteits- en uitgavegegevens introduceren een ander soort risico dat vaak wordt onderschat.

Wanneer aanvallers weten hoeveel een klant bij een retailer heeft uitgegeven, kunnen ze hun doelwitten prioriteren. Hoogwaardige klanten worden vaker het doelwit van geavanceerde phishingcampagnes, frauduleuze terugbetalingsscams of zelfs fysieke benaderingen. Een oplichter die weet dat je een premium loyaliteitslid bent, kan een zeer geloofwaardige e-mail opstellen waarin wordt beweerd dat je een exclusieve beloning krijgt of een betalingsprobleem moet oplossen, compleet met je juiste naam en adres.

Deze profileringsmogelijkheid onderscheidt een hoogrisicolek van een routinematig lek. Datalekken met dit soort gegevens hebben ook een langere houdbaarheid: de informatie verloopt niet zoals een wachtwoord of creditcardnummer na een reset.

Hoe aanvallers gelekte adres- en telefoongegevens misbruiken

Thuisadressen en telefoonnummers zijn de twee gegevenspunten die een lek van de digitale wereld naar de fysieke wereld verplaatsen. Aanvallers kunnen ze gebruiken voor SIM-swapping-aanvallen, waarbij een fraudeur een mobiele provider overtuigt je nummer over te zetten naar een apparaat dat zij beheren, waardoor sms-gebaseerde tweefactorauthenticatie wordt omzeild. Telefoonnummers maken ook vishing, of voice phishing, mogelijk, waarbij bellers zich voordoen als banken, overheidsinstanties of retailers om verdere persoonlijke of financiële gegevens te ontfutselen.

Het ADT-datalek dat 10 miljoen records blootstelde via vishing is een duidelijke illustratie van hoe telefonische social engineering schaalt wanneer aanvallers beschikken over een voorraad geverifieerde contactgegevens. Thuisadressen voegen een extra dimensie toe, waardoor postfraude, pakketonderschepping of gerichte benaderingen mogelijk worden die inspelen op het vertrouwde gevoel van het slachtoffer bij zijn eigen locatie.

In een afzonderlijke maar structureel vergelijkbare zaak liet de ADT-inbreuk die 5,5 miljoen klanten trof zien hoe namen, telefoonnummers en thuisadressen samen een complete gereedschapskist voor identiteitsfraude vormen. Het Napoleon Perdis-lek, indien bevestigd, deelt vrijwel exact dit profiel.

Retailers zijn aantrekkelijke doelwitten juist omdat hun databases identiteitsgegevens combineren met gedragsgegevens, en vaak met veel minder beveiligingsinvesteringen dan financiële instellingen. Het beweerde Napoleon Perdis-incident past in dit patroon.

Stappen die Australische consumenten nu kunnen nemen om zichzelf te beschermen

Als je ooit een account bij Napoleon Perdis hebt aangemaakt of hebt deelgenomen aan hun loyaliteitsprogramma, zijn er praktische stappen die je direct kunt nemen.

Controleer je e-mail op verdachte berichten. Phishingpogingen nemen doorgaans toe in de weken na een lekaankondiging, waarbij vaak het getroffen merk zelf wordt nagebootst. Wees sceptisch over elke e-mail die beweert het lek aan te pakken, compensatie aan te bieden of accountverificatie vraagt.

Schakel tweefactorauthenticatie in op alle financiële accounts. Aangezien telefoonnummers deel uitmaken van het vermeende lek, geef waar mogelijk de voorkeur aan authenticator-apps boven sms-gebaseerde codes.

Houd je kredietdossier in de gaten. Australische consumenten kunnen een kredietrapport opvragen bij de grote kredietbureaus en, indien bezorgd, een tijdelijk verbod op nieuwe kredietaanvragen instellen. Diensten zoals IDCARE, de Australische nationale identiteits- en cyberondersteuningsdienst, kunnen individuen bijstaan die denken dat hun gegevens zijn misbruikt.

Wees alert op fysieke postfraude. Omdat bezorgadressen zijn opgenomen in de geclaimde gegevens, let op onverwachte pakketten, doorstuurbewijzen of verzoeken om bezorggegevens te bevestigen.

Bekijk je algehele datavoetafdruk. Dit lek is een nuttige aanleiding om te controleren welke retailers en diensten jouw persoonlijke gegevens bewaren. Verwijder waar mogelijk accounts die je niet meer gebruikt en schrijf je uit voor loyaliteitsprogramma's die meer gegevens vereisen dan je bereid bent te delen.

De claim van het Napoleon Perdis-datalek wordt nog onderzocht en het bedrijf moet nog een uitgebreide publieke verklaring afgeven. Maar of het lek nu uiteindelijk wordt bevestigd op de geclaimde schaal of niet, het incident herinnert ons eraan dat loyaliteitsdatabases van retailers veel gevoeligere informatie bevatten dan de meeste klanten beseffen. Nu proactief blijven is de meest effectieve manier om je blootstelling te beperken als de gegevens verder circuleren.