Витік даних Napoleon Perdis: злито 339 тис. записів австралійців

Витік даних Napoleon Perdis: злито 339 тис. записів австралійців

Зловмисник із псевдонімом «2019» взяв на себе відповідальність за злив бази даних, що містить понад 339 000 записів клієнтів Napoleon Perdis, австралійського бренду люксової косметики. Імовірний витік, який компанія наразі незалежно не підтвердила, за повідомленнями, містить імена, електронні адреси, номери телефонів, а також домашні адреси та адреси доставки. Якщо цю інформацію підтвердять, цей інцидент стане одним із найбільш значних витоків роздрібних даних, що зачіпають австралійських споживачів за останній час, а тип даних робить його особливо небезпечним.

Які дані було викрито та хто під загрозою

Заявлений набір даних виходить далеко за межі базового. Окрім контактної інформації, злиті записи, як повідомляється, містять дані про програму лояльності та загальну суму витрат. Таке поєднання є показовим. Повне ім’я разом із домашньою адресою, номером телефону та електронною поштою достатньо для здійснення переконливих атак з видаванням себе за іншу особу. Додайте до цього історію покупок і рівень лояльності — і зловмисники отримають детальний профіль купівельної поведінки та фінансових звичок кожної особи.

Близько 339 100 постраждалих — це переважно австралійські споживачі, які робили покупки в Napoleon Perdis у магазинах або онлайн. Оскільки дані містять адреси доставки, навіть клієнтів, які використовували робочу або альтернативну електронну пошту, усе ще можна ідентифікувати та знайти. Кожен, хто коли-небудь створював обліковий запис Napoleon Perdis або приєднувався до їхньої програми лояльності, повинен вважати свою особисту інформацію потенційно скомпрометованою, доки компанія не надасть чітких роз’яснень.

Чому дані про лояльність і витрати підвищують рівень загрози

Більшість обговорень витоків роздрібних даних зосереджені на номерах платіжних карток або паролях. Це серйозно, але дані про лояльність і витрати створюють інший вид ризику, який часто недооцінюють.

Коли зловмисники знають, скільки клієнт витратив у роздрібного продавця, вони можуть визначати пріоритетні цілі. Найбільш цінні клієнти з більшою ймовірністю стануть мішенню для складних фішингових кампаній, шахрайських схем із поверненням коштів або навіть фізичних контактів. Шахрай, який знає, що ви є учасником преміум-програми лояльності, може створити дуже правдоподібний електронний лист із пропозицією ексклюзивної винагороди або вирішення проблеми з виставленням рахунку, зазначивши ваші справжні ім’я та адресу.

Саме ця здатність до профілювання відрізняє витік високого ризику від звичайного. Витоки такого типу також мають довший термін придатності: інформація не застаріває так, як пароль або номер кредитної картки після зміни.

Як зловмисники використовують викриті адреси та номери телефонів

Домашні адреси та номери телефонів — це ті дві точки даних, які переносять витік із цифрового світу у фізичний. Зловмисники можуть використовувати їх для проведення атак із заміною SIM-картки, коли шахрай переконує мобільного оператора перенести ваш номер на пристрій, який він контролює, обходячи двофакторну автентифікацію на основі SMS. Номери телефонів також уможливлюють вішинг, або голосовий фішинг, коли абоненти видають себе за банки, державні установи чи роздрібних продавців, щоб виманити додаткові особисті чи фінансові дані.

Витік даних ADT, який викрив 10 мільйонів записів через вішинг, є яскравою ілюстрацією того, як телефонна соціальна інженерія масштабується, коли зловмисники мають готовий запас перевірених контактних даних. Домашні адреси додають ще один вимір, уможливлюючи поштове шахрайство, перехоплення посилок або цілеспрямовані підходи, які використовують відчуття знайомства жертви з власним місцем проживання.

В окремому, але структурно подібному випадку витік даних ADT, який зачепив 5,5 мільйона клієнтів, продемонстрував, як імена, номери телефонів і домашні адреси разом утворюють повний інструментарій для крадіжки особистих даних. Імовірний витік Napoleon Perdis майже точно повторює цей профіль.

Роздрібні продавці є привабливими цілями саме тому, що їхні бази даних поєднують ідентифікаційні дані з поведінковими, і часто з набагато меншими інвестиціями в безпеку, ніж фінансові установи. Заявлений інцидент із Napoleon Perdis вписується в цю схему.

Кроки, які австралійські споживачі можуть зробити просто зараз, щоб захистити себе

Якщо ви коли-небудь створювали обліковий запис Napoleon Perdis або брали участь у їхній програмі лояльності, ви можете негайно вжити практичних заходів.

Перевіряйте електронну пошту на наявність підозрілих повідомлень. Спроби фішингу зазвичай зростають протягом тижнів після оголошення про витік, часто з використанням імені самого бренду, що зазнав зламу. Скептично ставтеся до будь-яких електронних листів, які стверджують, що стосуються цього витоку, пропонують компенсацію або вимагають підтвердження облікового запису.

Увімкніть двофакторну автентифікацію для всіх фінансових облікових записів. Оскільки номери телефонів є частиною імовірного витоку, віддавайте перевагу програмам-автентифікаторам замість кодів, надісланих через SMS, де це можливо.

Відстежуйте свою кредитну історію. Австралійські споживачі можуть замовити кредитний звіт у головних кредитних бюро та, якщо є занепокоєння, встановити тимчасову заборону на нові кредитні заявки. Такі служби, як IDCARE, національна австралійська служба підтримки ідентифікації та кібербезпеки, можуть допомогти особам, які вважають, що їхні дані були використані неправомірно.

Будьте уважні до фізичного поштового шахрайства. Оскільки в заявлених даних містяться адреси доставки, слідкуйте за неочікуваними посилками, повідомленнями про зміну адреси або запитами на підтвердження деталей доставки.

Перегляньте свій цифровий слід загалом. Цей витік є доброю нагодою перевірити, які роздрібні продавці та сервіси зберігають вашу особисту інформацію. За можливості видаліть облікові записи, які ви більше не використовуєте, і відмовтеся від програм лояльності, які вимагають більше даних, ніж ви готові надати.

Заява про витік даних Napoleon Perdis все ще розслідується, і компанія поки не оприлюднила вичерпної публічної заяви. Але незалежно від того, чи буде витік остаточно підтверджено в заявленому масштабі, цей інцидент нагадує, що бази даних програм лояльності роздрібних мереж містять набагато більше конфіденційної інформації, ніж усвідомлює більшість клієнтів. Проактивні дії зараз є найефективнішим способом обмежити ваші ризики, якщо дані все ж поширяться далі.