Утечка данных Napoleon Perdis: 339 тысяч записей австралийцев попали в сеть

Утечка данных Napoleon Perdis: 339 тысяч записей австралийцев попали в сеть

Злоумышленник под псевдонимом «2019» взял на себя ответственность за слив базы данных, содержащей более 339 000 клиентских записей, принадлежащих Napoleon Perdis, австралийскому бренду люксовой косметики. Предполагаемая утечка, пока не подтверждённая компанией независимо, по сообщениям, включает имена, адреса электронной почты, номера телефонов, домашние адреса и адреса доставки. Если информация подтвердится, этот инцидент станет одной из самых значительных утечек розничных данных, затронувших австралийских потребителей за последнее время, а характер данных делает его особенно опасным.

Какие данные были раскрыты и кто находится в зоне риска

Заявленный набор данных выходит далеко за рамки базовой информации. Помимо контактных данных, слитые записи, как утверждается, содержат сведения о программе лояльности и общей сумме расходов. Такое сочетание крайне значимо. Полные имя и фамилия в паре с домашним адресом, номером телефона и email достаточно для организации убедительных атак с использованием подмены личности. Добавьте к этому историю покупок и уровень в программе лояльности — и злоумышленники получают детальный профиль покупательского поведения и финансовых привычек каждого человека.

Примерно 339 100 пострадавших — это в основном австралийские потребители, совершавшие покупки у Napoleon Perdis в магазинах или онлайн. Поскольку данные включают адреса доставки, даже клиенты, использовавшие рабочий или альтернативный email, всё равно могут быть идентифицированы и локализованы. Каждому, кто когда-либо создавал учётную запись Napoleon Perdis или участвовал в программе лояльности, следует считать свои личные данные потенциально скомпрометированными до получения ясности от компании.

Почему данные о лояльности и расходах повышают уровень угрозы

Большинство обсуждений утечек в розничной торговле сосредоточено на номерах платёжных карт или паролях. Это серьёзно, но данные о лояльности и расходах создают иной тип риска, который часто недооценивают.

Когда злоумышленники знают, сколько клиент потратил у ритейлера, они могут расставлять приоритеты для целей. Клиенты с высокой ценностью с большей вероятностью станут мишенями изощрённых фишинговых кампаний, мошеннических схем с возвратом средств или даже физических контактов. Мошенник, знающий, что вы являетесь премиум-участником программы лояльности, может создать очень правдоподобное письмо с предложением эксклюзивного вознаграждения или решения вопроса с оплатой, используя ваши настоящие имя и адрес.

Эта способность к профилированию и отличает утечку высокого риска от рядовой. У утечек с таким типом данных к тому же более долгий срок жизни: информация не устаревает так, как пароль или номер кредитной карты после сброса.

Как злоумышленники используют слитые адреса и телефонные номера

Домашние адреса и номера телефонов — это два типа данных, которые переводят утечку из цифрового мира в физический. Злоумышленники могут использовать их для атак с подменой SIM-карты, когда мошенник убеждает мобильного оператора перенести ваш номер на устройство под своим контролем, обходя двухфакторную аутентификацию по SMS. Номера телефонов также способствуют вишингу — голосовому фишингу, при котором звонящие выдают себя за банки, государственные органы или ритейлеров, чтобы выманить дополнительные личные или финансовые данные.

Утечка данных ADT, которая раскрыла 10 миллионов записей через вишинг, наглядно показывает, как масштабируется телефонная социальная инженерия, когда у злоумышленников есть готовый запас подтверждённых контактных данных. Домашние адреса добавляют ещё одно измерение, открывая возможности для почтового мошенничества, перехвата посылок или целенаправленных контактов, эксплуатирующих чувство привычности жертвы к собственному местонахождению.

В отдельном, но структурно схожем случае утечка данных ADT, затронувшая 5,5 миллиона клиентов, продемонстрировала, как имена, номера телефонов и домашние адреса в совокупности образуют полный набор инструментов для мошенничества с идентификацией. Утечка Napoleon Perdis, если подтвердится, почти точно повторяет этот профиль.

Ритейлеры являются привлекательными целями именно потому, что их базы данных объединяют идентификационные и поведенческие данные, причём зачастую с гораздо меньшими вложениями в безопасность, чем в финансовых организациях. Предполагаемый инцидент с Napoleon Perdis укладывается в эту схему.

Меры, которые австралийские потребители могут предпринять уже сейчас для защиты

Если вы когда-либо создавали учётную запись Napoleon Perdis или участвовали в программе лояльности, вы можете немедленно предпринять практические шаги.

Проверяйте электронную почту на подозрительные сообщения. Фишинговые атаки обычно учащаются в недели после объявления об утечке, часто имитируя сам пострадавший бренд. Относитесь скептически к любым письмам, которые якобы касаются утечки, предлагают компенсацию или требуют верификации учётной записи.

Включите двухфакторную аутентификацию на всех финансовых аккаунтах. Учитывая, что номера телефонов входят в предполагаемую утечку, отдавайте предпочтение приложениям-аутентификаторам вместо кодов из SMS, где это возможно.

Контролируйте свою кредитную историю. Австралийские потребители могут запросить кредитный отчёт в крупных кредитных бюро и, при необходимости, установить временный запрет на новые кредитные заявки. Службы вроде IDCARE, национальной службы поддержки идентификации и кибербезопасности Австралии, могут помочь людям, полагающим, что их данные были использованы не по назначению.

Будьте внимательны к физическому почтовому мошенничеству. Поскольку в заявленных данных содержатся адреса доставки, следите за неожиданными посылками, уведомлениями о перенаправлении или запросами на подтверждение данных доставки.

Проведите общий аудит своего цифрового следа. Эта утечка служит хорошим поводом проверить, какие ритейлеры и сервисы хранят вашу личную информацию. Где возможно, удаляйте неиспользуемые учётные записи и отказывайтесь от программ лояльности, требующих больше данных, чем вы готовы предоставить.

Заявление об утечке данных Napoleon Perdis всё ещё расследуется, и компания пока не выпустила всеобъемлющего публичного заявления. Однако независимо от того, подтвердится ли утечка в конце концов в заявленном объёме, инцидент напоминает: базы данных программ лояльности розничных сетей хранят гораздо больше чувствительной информации, чем полагает большинство клиентов. Проактивная защита уже сейчас — самый эффективный способ ограничить ваши риски, если данные продолжат распространяться.