การรั่วไหลของข้อมูล Napoleon Perdis: ข้อมูลลูกค้าชาวออสเตรเลีย 339,000 รายการรั่วไหล
ผู้ไม่หวังดีที่ใช้นามแฝงว่า "2019" อ้างความรับผิดชอบในการรั่วไหลฐานข้อมูลที่มีบันทึกลูกค้ามากกว่า 339,000 รายการของ Napoleon Perdis แบรนด์เครื่องสำอางหรูสัญชาติออสเตรเลีย การละเมิดที่ถูกกล่าวอ้างซึ่งยังไม่ได้รับการยืนยันอย่างอิสระจากบริษัท รายงานว่ารวมถึงชื่อ ที่อยู่อีเมล หมายเลขโทรศัพท์ และทั้งที่อยู่บ้านและที่อยู่จัดส่ง หากได้รับการตรวจสอบว่าเป็นจริง เหตุการณ์นี้จะเป็นหนึ่งในการเปิดเผยข้อมูลลูกค้ารายย่อยที่สำคัญซึ่งส่งผลกระทบต่อผู้บริโภคชาวออสเตรเลียในช่วงที่ผ่านมา และประเภทของข้อมูลที่เกี่ยวข้องทำให้เป็นอันตรายอย่างยิ่ง
ข้อมูลใดที่ถูกเปิดเผยและใครคือผู้ที่เสี่ยง
ชุดข้อมูลที่อ้างว่าถูกละเมิดมีมากกว่าแค่ข้อมูลพื้นฐาน นอกจากรายละเอียดการติดต่อแล้ว บันทึกที่รั่วไหลยังมีรายงานว่ารวมถึงข้อมูลโปรแกรมสะสมแต้มและยอดใช้จ่ายทั้งหมด การรวมกันนั้นมีความสำคัญ ชื่อเต็มที่จับคู่กับที่อยู่บ้าน หมายเลขโทรศัพท์ และอีเมลเพียงพอที่จะใช้ในการโจมตีแบบแอบอ้างตัวตนได้อย่างน่าเชื่อถือ เมื่อเพิ่มประวัติการซื้อและระดับสมาชิกสะสมแต้มเข้าไป ผู้โจมตีก็จะมีโปรไฟล์โดยละเอียดเกี่ยวกับพฤติกรรมการซื้อและพฤติกรรมทางการเงินของแต่ละบุคคล
ผู้ที่ได้รับผลกระทบประมาณ 339,100 คนส่วนใหญ่เป็นผู้บริโภคชาวออสเตรเลียที่เคยซื้อสินค้ากับ Napoleon Perdis ทั้งจากหน้าร้านหรือออนไลน์ เนื่องจากข้อมูลรวมถึงที่อยู่จัดส่ง แม้แต่ลูกค้าที่ใช้อีเมลที่ทำงานหรืออีเมลอื่นก็ยังสามารถถูกระบุตัวตนและระบุตำแหน่งได้ ใครก็ตามที่เคยสร้างบัญชีกับ Napoleon Perdis หรือลงทะเบียนในโปรแกรมสะสมแต้มของพวกเขา ควรถือว่าข้อมูลส่วนตัวของตนอาจถูกบุกรุกจนกว่าบริษัทจะให้ความชัดเจน
ทำไมข้อมูลโปรแกรมสะสมแต้มและยอดใช้จ่ายจึงยกระดับภัยคุกคาม
การสนทนาเกี่ยวกับการละเมิดข้อมูลร้านค้าปลีกส่วนใหญ่มักมุ่งเน้นไปที่หมายเลขบัตรชำระเงินหรือรหัสผ่าน สิ่งเหล่านั้นร้ายแรง แต่ข้อมูลโปรแกรมสะสมแต้มและยอดใช้จ่ายก่อให้เกิดความเสี่ยงที่แตกต่างออกไปซึ่งมักถูกมองข้าม
เมื่อผู้โจมตีรู้ว่าลูกค้าใช้จ่ายกับร้านค้าปลีกไปเท่าใด พวกเขาสามารถจัดลำดับความสำคัญของเป้าหมายได้ ลูกค้าที่มีมูลค่าสูงมีแนวโน้มที่จะถูกพุ่งเป้าด้วยแคมเปญฟิชชิงที่ซับซ้อน กลโกงการคืนเงินปลอม หรือแม้แต่การเข้าหาทางกายภาพ นักต้มตุ๋นที่รู้ว่าคุณเป็นสมาชิกสะสมแต้มระดับพรีเมียมสามารถสร้างอีเมลที่น่าเชื่อถืออย่างยิ่ง โดยอ้างว่าเสนอรางวัลสุดพิเศษหรือการแก้ไขปัญหาด้านบิล พร้อมด้วยชื่อและที่อยู่ที่ถูกต้องของคุณ
ความสามารถในการจัดทำโปรไฟล์นี่เองที่แยกการละเมิดที่มีความเสี่ยงสูงออกจากการละเมิดทั่วไป การละเมิดที่เกี่ยวข้องกับข้อมูลประเภทนี้มีอายุการใช้งานยาวนานขึ้นด้วย: ข้อมูลไม่หมดอายุเหมือนรหัสผ่านหรือหมายเลขบัตรเครดิตที่อาจถูกรีเซ็ต
ผู้โจมตีใช้ประโยชน์จากบันทึกที่อยู่และหมายเลขโทรศัพท์ที่ถูกละเมิดอย่างไร
ที่อยู่บ้านและหมายเลขโทรศัพท์คือจุดข้อมูลสองจุดที่ย้ายการละเมิดจากโลกดิจิทัลไปยังโลกกายภาพ ผู้โจมตีสามารถใช้ข้อมูลเหล่านี้เพื่อดำเนินการโจมตีแบบสลับซิม โดยที่ผู้ฉ้อโกงโน้มน้าวผู้ให้บริการมือถือให้โอนหมายเลขของคุณไปยังอุปกรณ์ที่พวกเขาควบคุม โดยเลี่ยงการยืนยันตัวตนแบบสองปัจจัยผ่าน SMS หมายเลขโทรศัพท์ยังเปิดช่องให้เกิด vishing หรือฟิชชิงทางเสียง ซึ่งผู้โทรปลอมเป็นธนาคาร หน่วยงานรัฐ หรือร้านค้าเพื่อดึงข้อมูลส่วนตัวหรือข้อมูลทางการเงินเพิ่มเติม
การละเมิดข้อมูล ADT ที่เปิดเผย 10 ล้านบันทึกผ่าน vishing เป็นภาพประกอบที่ชัดเจนว่าวิศวกรรมสังคมที่ใช้โทรศัพท์เพิ่มขนาดขึ้นอย่างไรเมื่อผู้โจมตีมีรายชื่อผู้ติดต่อที่ผ่านการตรวจสอบแล้วพร้อมใช้ ที่อยู่บ้านเพิ่มมิติให้มากขึ้นอีก ทำให้เกิดการฉ้อโกงทางไปรษณีย์ การสกัดกั้นพัสดุ หรือการเข้าหาแบบพุ่งเป้าที่ใช้ประโยชน์จากความคุ้นเคยของเหยื่อกับตำแหน่งของตนเอง
ในอีกกรณีที่แยกต่างหากแต่มีโครงสร้างคล้ายกัน การละเมิด ADT ที่ส่งผลกระทบต่อลูกค้า 5.5 ล้านคน แสดงให้เห็นว่าชื่อ หมายเลขโทรศัพท์ และที่อยู่บ้านรวมกันเป็นชุดเครื่องมือที่สมบูรณ์สำหรับการฉ้อโกงตัวตนได้อย่างไร การรั่วไหลของ Napoleon Perdis หากได้รับการยืนยัน มีรูปแบบนี้แทบจะตรงทั้งหมด
ผู้ค้าปลีกเป็นเป้าหมายที่น่าสนใจเพราะฐานข้อมูลของพวกเขารวมข้อมูลตัวตนเข้ากับข้อมูลพฤติกรรม และมักมีการลงทุนด้านความปลอดภัยน้อยกว่าสถาบันการเงินมาก เหตุการณ์ Napoleon Perdis ที่ถูกอ้างว่าอ้างว่ามีรูปแบบนี้
ขั้นตอนที่ผู้บริโภคชาวออสเตรเลียสามารถดำเนินการเพื่อป้องกันตัวเองในตอนนี้
หากคุณเคยสร้างบัญชีกับ Napoleon Perdis หรือเข้าร่วมโปรแกรมสะสมแต้มของพวกเขา มีขั้นตอนปฏิบัติที่คุณสามารถดำเนินการได้ทันที
ตรวจสอบอีเมลของคุณเพื่อหาข้อความที่น่าสงสัย ความพยายามฟิชชิงมักจะเพิ่มสูงขึ้นในหลายสัปดาห์หลังจากการประกาศการละเมิด โดยมักจะปลอมเป็นแบรนด์ที่ถูกละเมิดเอง จงสงสัยในอีเมลใดๆ ที่อ้างว่าเกี่ยวกับการละเมิด เสนอค่าชดเชย หรือขอให้ยืนยันบัญชี
เปิดใช้งานการยืนยันตัวตนแบบสองปัจจัยในบัญชีการเงินทั้งหมด เนื่องจากหมายเลขโทรศัพท์เป็นส่วนหนึ่งของการรั่วไหลที่ถูกกล่าวอ้าง ให้จัดลำดับความสำคัญแอปยืนยันตัวตนมากกว่ารหัสผ่านแบบ SMS หากเป็นไปได้
ตรวจสอบเครดิตไฟล์ของคุณ ผู้บริโภคชาวออสเตรเลียสามารถขอรายงานเครดิตจากสำนักงานข้อมูลเครดิตหลัก และหากกังวล สามารถสั่งห้ามการขอสินเชื่อใหม่เป็นการชั่วคราว บริการเช่น IDCARE ซึ่งเป็นบริการสนับสนุนด้านอัตลักษณ์และไซเบอร์แห่งชาติของออสเตรเลีย สามารถช่วยเหลือบุคคลที่เชื่อว่าข้อมูลของตนถูกนำไปใช้ในทางที่ผิด
ระวังการฉ้อโกงทางไปรษณีย์ เนื่องจากที่อยู่จัดส่งรวมอยู่ในข้อมูลที่อ้าง ให้เฝ้าระวังพัสดุที่ไม่ได้คาดคิด หนังสือแจ้งเปลี่ยนเส้นทาง หรือการร้องขอให้ยืนยันรายละเอียดการจัดส่ง
ตรวจสอบรอยเท้าข้อมูลของคุณในวงกว้าง การละเมิดครั้งนี้เป็นตัวกระตุ้นที่มีประโยชน์ในการตรวจสอบว่าผู้ค้าปลีกและบริการใดบ้างที่เก็บข้อมูลส่วนบุคคลของคุณ หากเป็นไปได้ ลบบัญชีที่คุณไม่ได้ใช้งานอีกต่อไป และเลือกไม่รับโปรแกรมสะสมแต้มที่ต้องการข้อมูลมากกว่าที่คุณยินดีแชร์
การกล่าวอ้างการละเมิดข้อมูล Napoleon Perdis ยังคงอยู่ระหว่างการตรวจสอบ และบริษัทยังไม่ได้ออกแถลงการณ์สาธารณะที่ครอบคลุม แต่ไม่ว่าการละเมิดจะได้รับการยืนยันในขนาดที่อ้างในที่สุดหรือไม่ เหตุการณ์นี้ก็เป็นเครื่องเตือนใจว่าฐานข้อมูลโปรแกรมสะสมแต้มของร้านค้าปลีกเก็บข้อมูลที่ละเอียดอ่อนมากกว่าที่ลูกค้าส่วนใหญ่ตระหนัก การตื่นตัวเชิงรุกในตอนนี้เป็นวิธีที่มีประสิทธิภาพที่สุดในการจำกัดการเปิดเผยของคุณหากข้อมูลแพร่กระจายต่อไป
