Czym jest naruszenie danych Napoleon Perdis?

Aktor zagrożenia posługujący się pseudonimem „2019” twierdzi, że udostępnił bazę danych zawierającą ponad 339 000 rekordów klientów należących do Napoleon Perdis, jednak firma nie potwierdziła jeszcze niezależnie tego naruszenia.

Jakiego rodzaju dane osobowe zostały rzekomo ujawnione?

Wyciekłe rekordy mają zawierać imiona i nazwiska, adresy e-mail, numery telefonów, adresy zamieszkania i dostawy, dane programu lojalnościowego oraz informacje o sumie wydatków.

Ile osób jest potencjalnie dotkniętych?

Potencjalnie dotkniętych jest około 339 100 osób, głównie australijskich konsumentów, którzy robili zakupy w Napoleon Perdis stacjonarnie lub online.

Dlaczego ujawnienie danych lojalnościowych i sumy wydatków czyni to naruszenie poważniejszym?

Pozwala atakującym profilować i priorytetowo traktować klientów o wysokiej wartości w przypadku przekonujących kampanii phishingowych, fałszywych zwrotów i ukierunkowanych ataków, a informacje te mają długi okres przydatności w porównaniu do haseł czy numerów kart kredytowych.

Jakie zagrożenia stwarzają ujawnione adresy zamieszkania i numery telefonów?

Adresy zamieszkania i numery telefonów mogą zostać wykorzystane do fizycznych kontaktów, ataków typu SIM swapping omijających uwierzytelnianie dwuskładnikowe oparte na SMS-ach oraz oszustw typu vishing (voice phishing).

Naruszenie danych Napoleon Perdis: Wyciek 339 tys. australijskich rekordów

Aktor zagrożenia posługujący się pseudonimem „2019” przyznał się do wycieku bazy danych zawierającej ponad 339 000 rekordów klientów należących do Napoleon Perdis, australijskiej luksusowej marki kosmetycznej. Rzekome naruszenie, które nie zostało jeszcze niezależnie potwierdzone przez firmę, ma obejmować imiona i nazwiska, adresy e-mail, numery telefonów oraz adresy zamieszkania i dostawy. Jeśli informacje te się potwierdzą, incydent ten będzie jednym z poważniejszych wycieków danych detalicznych dotykających australijskich konsumentów w ostatnim czasie, a rodzaj ujawnionych danych czyni go szczególnie niebezpiecznym.

Jakie dane zostały ujawnione i kto jest zagrożony

Rzekomy zestaw danych wykracza daleko poza podstawowe informacje. Oprócz danych kontaktowych wyciekłe rekordy mają zawierać informacje o programie lojalnościowym oraz dane dotyczące sumy wydatków. To połączenie jest znaczące. Pełne imię i nazwisko w połączeniu z adresem zamieszkania, numerem telefonu i adresem e-mail wystarczą, aby przeprowadzić przekonujące ataki podszywające się. Dodając do tego historię zakupów i poziom lojalności, atakujący dysponują szczegółowym profilem zachowań zakupowych i nawyków finansowych każdej osoby.

Około 339 100 dotkniętych osób to przede wszystkim australijscy konsumenci, którzy robili zakupy w Napoleon Perdis, stacjonarnie lub online. Ponieważ dane zawierają adresy dostawy, nawet klienci, którzy używali służbowego lub alternatywnego adresu e-mail, mogą zostać zidentyfikowani i zlokalizowani. Każdy, kto kiedykolwiek założył konto Napoleon Perdis lub zapisał się do programu lojalnościowego, powinien traktować swoje dane osobowe jako potencjalnie naruszone, dopóki firma nie dostarczy jasnego stanowiska.

Dlaczego dane lojalnościowe i dotyczące wydatków zwiększają poziom zagrożenia

Większość dyskusji o naruszeniach w handlu detalicznym koncentruje się na numerach kart płatniczych lub hasłach. Są to poważne dane, ale dane lojalnościowe i dotyczące wydatków wprowadzają inny rodzaj ryzyka, często niedoceniany.

Gdy atakujący wiedzą, ile klient wydał u danego sprzedawcy, mogą priorytetowo określać swoje cele. Klienci o wysokiej wartości są bardziej narażeni na wyrafinowane kampanie phishingowe, oszustwa związane z fałszywymi zwrotami, a nawet fizyczne próby kontaktu. Oszust, który wie, że jesteś członkiem premium programu lojalnościowego, może spreparować bardzo wiarygodny e-mail, twierdzący, że oferuje ekskluzywną nagrodę lub rozwiązuje problem z rozliczeniem, wraz z Twoim prawidłowym imieniem i nazwiskiem oraz adresem.

Ta zdolność profilowania oddziela naruszenie wysokiego ryzyka od rutynowego. Naruszenia obejmujące tego rodzaju dane mają również dłuższy okres przydatności: informacje nie tracą ważności tak, jak hasło czy numer karty kredytowej po ich zresetowaniu.

Jak atakujący wykorzystują naruszone rekordy adresowe i telefoniczne

Adresy zamieszkania i numery telefonów to dwa rodzaje danych, które przenoszą naruszenie ze świata cyfrowego do fizycznego. Atakujący mogą je wykorzystać do przeprowadzania ataków typu SIM swapping, gdzie oszust przekonuje operatora komórkowego do przeniesienia Twojego numeru na urządzenie, które kontroluje, omijając uwierzytelnianie dwuskładnikowe oparte na SMS-ach. Numery telefonów umożliwiają również vishing, czyli phishing głosowy, gdy dzwoniący podszywają się pod banki, agencje rządowe lub sprzedawców, aby wyłudzić dalsze dane osobowe lub finansowe.

Przypadek naruszenia danych ADT, w którym 10 milionów rekordów zostało ujawnionych przez vishing jest wyraźną ilustracją, jak socjotechnika telefoniczna skaluje się, gdy atakujący mają gotowe zapasy zweryfikowanych danych kontaktowych. Adresy zamieszkania dodają kolejny wymiar, umożliwiając oszustwa pocztowe, przechwytywanie przesyłek lub ukierunkowane podejścia, które wykorzystują poczucie znajomości własnego otoczenia.

W oddzielnym, ale strukturalnie podobnym przypadku, naruszenie ADT, które dotknęło 5,5 miliona klientów pokazało, jak imiona i nazwiska, numery telefonów oraz adresy zamieszkania razem tworzą kompletny zestaw narzędzi do oszustw tożsamościowych. Wyciek Napoleon Perdis, jeśli się potwierdzi, ma niemal identyczny profil.

Sprzedawcy detaliczni są atrakcyjnymi celami właśnie dlatego, że ich bazy danych łączą dane tożsamości z danymi behawioralnymi, często przy znacznie mniejszych inwestycjach w bezpieczeństwo niż instytucje finansowe. Twierdzony incydent z Napoleon Perdis wpisuje się w ten wzorzec.

Kroki, które australijscy konsumenci mogą podjąć, aby się chronić już teraz

Jeśli kiedykolwiek założyłeś konto w Napoleon Perdis lub uczestniczyłeś w ich programie lojalnościowym, istnieją praktyczne kroki, które możesz natychmiast podjąć.

Sprawdź pocztę e-mail pod kątem podejrzanych wiadomości. Próby phishingowe zwykle nasilają się w tygodniach po ogłoszeniu naruszenia, często podszywając się pod samą markę, której naruszenie dotyczy. Bądź sceptyczny wobec każdego e-maila, który twierdzi, że dotyczy naruszenia, oferuje odszkodowanie lub prosi o weryfikację konta.

Włącz uwierzytelnianie dwuskładnikowe na wszystkich kontach finansowych. Biorąc pod uwagę, że numery telefonów są częścią rzekomego wycieku, traktuj aplikacje autoryzujące priorytetowo nad kody SMS-owe, gdzie to możliwe.

Monitoruj swój plik kredytowy. Australijscy konsumenci mogą zażądać raportu kredytowego od głównych biur kredytowych i, jeśli są zaniepokojeni, nałożyć tymczasowy zakaz na nowe wnioski kredytowe. Usługi takie jak IDCARE, australijska krajowa usługa wsparcia tożsamości i cyberbezpieczeństwa, mogą pomóc osobom, które uważają, że ich dane zostały niewłaściwie wykorzystane.

Bądź czujny na oszustwa związane z pocztą fizyczną. Ponieważ w twierdzonych danych znajdują się adresy dostawy, uważaj na nieoczekiwane paczki, powiadomienia o przekierowaniu lub prośby o potwierdzenie szczegółów dostawy.

Przejrzyj szeroko swój ślad danych. To naruszenie jest dobrą okazją do przeprowadzenia audytu, które sklepy i usługi przechowują Twoje dane osobowe. Gdy to możliwe, usuń konta, z których już nie korzystasz, i zrezygnuj z programów lojalnościowych, które wymagają więcej danych, niż jesteś skłonny udostępnić.

Twierdzenie o naruszeniu danych Napoleon Perdis jest nadal badane, a firma nie wydała jeszcze kompleksowego publicznego oświadczenia. Niezależnie jednak od tego, czy naruszenie ostatecznie potwierdzi się w takiej skali, jak twierdzono, incydent ten jest przypomnieniem, że bazy danych lojalnościowych handlu detalicznego zawierają o wiele więcej wrażliwych informacji, niż większość klientów zdaje sobie sprawę. Bycie proaktywnym już teraz to najskuteczniejszy sposób na ograniczenie swojego narażenia, jeśli dane faktycznie rozprzestrzenią się dalej.