Breșa de date Napoleon Perdis: 339.000 de înregistrări australiene au fost divulgate

Breșa de date Napoleon Perdis: 339.000 de înregistrări australiene au fost divulgate

Un actor al amenințărilor care folosește aliasul „2019” a revendicat responsabilitatea pentru divulgarea unei baze de date care conține peste 339.000 de înregistrări ale clienților Napoleon Perdis, brandul australian de produse cosmetice de lux. Presupusa breșă, care nu a fost încă confirmată independent de companie, ar include nume, adrese de e-mail, numere de telefon și atât adresele de domiciliu, cât și cele de livrare. Dacă se confirmă, acest incident ar reprezenta una dintre cele mai semnificative expuneri de date din comerțul cu amănuntul care afectează consumatorii australieni din memoria recentă, iar tipul de date implicate îl face deosebit de periculos.

Ce date au fost expuse și cine este în pericol

Setul de date revendicat depășește cu mult elementele de bază. Pe lângă detaliile de contact, înregistrările divulgate ar conține date din programul de loialitate și informații despre suma totală cheltuită. Această combinație este semnificativă. Un nume complet asociat cu o adresă de domiciliu, un număr de telefon și o adresă de e-mail este suficient pentru a lansa atacuri de impersonare convingătoare. Adăugați istoricul achizițiilor și nivelul din programul de loialitate, iar atacatorii obțin un profil detaliat al comportamentului de cumpărare și al obiceiurilor financiare ale fiecărei persoane.

Cei aproximativ 339.100 de persoane afectate sunt în principal consumatori australieni care au cumpărat de la Napoleon Perdis, fie în magazine, fie online. Deoarece datele includ adresele de livrare, chiar și clienții care au folosit o adresă de e-mail profesională sau alternativă ar putea fi tot identificați și localizați. Oricine și-a creat vreodată un cont Napoleon Perdis sau s-a înscris în programul lor de loialitate ar trebui să trateze informațiile personale ca fiind potențial compromise până când compania oferă clarificări.

De ce datele din programul de loialitate și cele despre cheltuieli ridică nivelul de risc

Majoritatea discuțiilor despre breșele din comerțul cu amănuntul se concentrează pe numerele de card de plată sau parole. Acestea sunt grave, dar datele din programele de loialitate și cele despre cheltuieli introduc un alt tip de risc, adesea subestimat.

Atunci când atacatorii știu cât a cheltuit un client la un comerciant, își pot prioritiza țintele. Clienții de valoare mare sunt mai susceptibili să fie vizați de campanii de phishing sofisticate, escrocherii frauduloase de rambursare sau chiar abordări fizice. Un escroc care știe că ești membru premium al unui program de loialitate poate crea un e-mail extrem de credibil, pretinzând că oferă o recompensă exclusivă sau că rezolvă o problemă de facturare, complet cu numele și adresa tale corecte.

Această capacitate de profilare este ceea ce separă o breșă cu risc ridicat de una obișnuită. Breșele care implică acest tip de date au, de asemenea, o durată mai lungă de viață: informațiile nu expiră așa cum s-ar întâmpla cu o parolă sau cu un număr de card de credit după o resetare.

Cum exploatează atacatorii datele divulgate cu adrese și numere de telefon

Adresele de domiciliu și numerele de telefon sunt cele două elemente de date care mută o breșă din lumea digitală în cea fizică. Atacatorii le pot folosi pentru a efectua atacuri de tip SIM-swapping, în care un fraudator convinge un operator de telefonie mobilă să transfere numărul tău pe un dispozitiv pe care îl controlează, ocolind astfel autentificarea cu doi factori bazată pe SMS. Numerele de telefon permit, de asemenea, vishing-ul, sau phishing-ul vocal, în care apelanții se dau drept bănci, agenții guvernamentale sau comercianți pentru a extrage detalii personale sau financiare suplimentare.

Breșa de date ADT care a expus 10 milioane de înregistrări prin vishing ilustrează clar modul în care ingineria socială bazată pe telefon se amplifică atunci când atacatorii au o rezervă gata de date de contact verificate. Adresele de domiciliu adaugă o dimensiune suplimentară, permițând frauda prin corespondență, interceptarea coletelor sau abordări țintite care exploatează sentimentul de familiaritate al victimei cu propriul domiciliu.

Într-un caz separat, dar similar structural, breșa ADT care a afectat 5,5 milioane de clienți a demonstrat cum numele, numerele de telefon și adresele de domiciliu formează împreună un set complet de instrumente pentru frauda de identitate. Scurgerea de date Napoleon Perdis, dacă se confirmă, împărtășește aproape exact acest profil.

Comercianții sunt ținte atractive tocmai pentru că bazele lor de date combină datele de identitate cu datele comportamentale, și adesea cu investiții mult mai mici în securitate decât instituțiile financiare. Incidentul revendicat Napoleon Perdis se încadrează în acest tipar.

Pași pe care consumatorii australieni îi pot face acum pentru a se proteja

Dacă v-ați creat vreodată un cont la Napoleon Perdis sau ați participat la programul lor de loialitate, există măsuri practice pe care le puteți lua imediat.

Verificați-vă e-mailul pentru mesaje suspecte. Tentativele de phishing tind să crească în săptămânile următoare anunțării unei breșe, deseori imitând marca însăși. Fiți sceptici față de orice e-mail care pretinde că abordează breșa, oferă compensații sau solicită verificarea contului.

Activați autentificarea cu doi factori pentru toate conturile financiare. Având în vedere că numerele de telefon fac parte din presupusa scurgere de date, prioritizați aplicațiile de autentificare în locul codurilor bazate pe SMS, acolo unde este posibil.

Monitorizați-vă dosarul de credit. Consumatorii australieni pot solicita un raport de credit de la principalele birouri de credit și, dacă sunt îngrijorați, pot impune o interdicție temporară pentru noile cereri de credit. Servicii precum IDCARE, serviciul național australian de sprijin pentru identitate și securitate cibernetică, pot ajuta persoanele care cred că datele lor au fost utilizate abuziv.

Fiți atenți la frauda prin corespondență fizică. Deoarece adresele de livrare sunt incluse în datele revendicate, urmăriți coletele neașteptate, notificările de redirecționare sau cererile de confirmare a detaliilor de livrare.

Revizuiți-vă amprenta digitală în sens larg. Această breșă este un prilej util de a audita ce comercianți și servicii dețin informațiile dumneavoastră personale. Acolo unde este posibil, ștergeți conturile pe care nu le mai folosiți și renunțați la programele de loialitate care solicită mai multe date decât sunteți dispuși să împărtășiți.

Afirmația privind breșa de date Napoleon Perdis este încă în curs de investigare, iar compania nu a emis încă o declarație publică cuprinzătoare. Dar, indiferent dacă breșa este confirmată în cele din urmă la scara revendicată sau nu, incidentul este un memento că bazele de date ale programelor de loialitate din comerțul cu amănuntul conțin informații mult mai sensibile decât realizează majoritatea clienților. Să rămâneți proactiv acum este cea mai eficientă modalitate de a vă limita expunerea, dacă datele ajung să circule mai departe.