拿破仑·佩尔迪斯数据泄露：33.9万澳大利亚用户记录外泄

拿破仑·佩尔迪斯数据泄露：33.9万条澳大利亚记录外泄

一位使用别名“2019”的威胁行为者声称对泄露了澳大利亚奢侈化妆品品牌拿破仑·佩尔迪斯（Napoleon Perdis）超过339,000条客户记录的数据库负责。该声称的泄露事件尚未得到该公司的独立证实，据称包含姓名、电子邮件地址、电话号码以及家庭和配送地址。如果得到核实，这将是近期记忆中影响澳大利亚消费者的较重大零售数据泄露事件之一，且所涉及的数据类型使其尤为危险。

哪些数据被泄露，谁面临风险

所声称的数据集远不止基本信息。据称泄露的记录还包含忠诚度计划数据和总消费信息。这一组合非同小可。完整的姓名加上家庭地址、电话号码和电子邮件地址，足以发起令人信服的假冒攻击。再加上购买历史和忠诚度等级，攻击者就掌握了每个个人的购买行为和财务习惯的详细档案。

受影响的约339,100人主要是曾在拿破仑·佩尔迪斯实体店或线上购物的澳大利亚消费者。由于数据包含配送地址，即使使用了工作邮箱或备用邮箱的客户仍可能被识别和定位。任何曾创建过拿破仑·佩尔迪斯账户或加入其忠诚度计划的人，在公司澄清之前，都应将其个人信息视为可能已被泄露。

为何忠诚度和消费数据会提高威胁等级

大多数零售数据泄露讨论都聚焦于支付卡号或密码。这些问题固然严重，但忠诚度和消费数据引入了一种不同类型的风险，且往往被低估。

当攻击者知道客户在某零售商处的消费金额时，他们就能确定目标的优先级。高价值客户更有可能成为复杂网络钓鱼活动、欺诈性退款骗局甚至物理接触的目标。知道你是高级忠诚度会员的诈骗者，可以编造一封非常可信的电子邮件，声称提供独家奖励或解决账单问题，并附上你的正确姓名和地址。

这种画像能力正是高风险泄露与一般泄露的区别所在。涉及此类数据的泄露还具有更长的时效性：这些信息不会像密码或信用卡号在重置后那样失效。

攻击者如何利用泄露的地址和电话记录

家庭地址和电话号码是将泄露从数字世界带入物理世界的两个数据点。攻击者可以利用它们实施SIM卡交换攻击，即诈骗者说服移动运营商将你的号码转移到他们控制的设备上，从而绕过基于短信的双因素认证。电话号码还能支持语音钓鱼，即攻击者冒充银行、政府机构或零售商，套取更多个人或财务详细信息。

ADT数据泄露事件通过语音钓鱼暴露1000万条记录 清晰地展示了当攻击者拥有充足的已验证联系方式时，基于电话的社会工程攻击如何大规模扩散。家庭地址则增加了另一层面，助长邮件欺诈、包裹拦截或利用受害者对自身位置的熟悉感进行的定向攻击。

在另一起独立但结构相似的案件中，影响550万客户的ADT数据泄露 展示了姓名、电话号码和家庭地址如何共同构成身份欺诈的完整工具包。如果得到证实，拿破仑·佩尔迪斯的这起泄露事件几乎完全符合这一特征。

零售商之所以成为颇具吸引力的目标，正是因为它们的数据库将身份数据与行为数据相结合，而且安全投入通常远低于金融机构。此次声称的拿破仑·佩尔迪斯事件正符合这一模式。

澳大利亚消费者当前可采取的保护措施

如果你曾在拿破仑·佩尔迪斯创建过账户或参与过其忠诚度计划，可以立即采取一些实用步骤。

检查电子邮件中是否有可疑消息。 在数据泄露公告后的几周内，网络钓鱼尝试往往会激增，且常常冒充被泄露的品牌本身。对任何声称处理此次泄露、提供赔偿或要求账户验证的邮件保持怀疑。

在所有金融账户上启用双因素认证。 鉴于此次声称的泄露中包含电话号码，在可能的情况下，请优先使用身份验证器应用而非基于短信的验证码。

监控你的信用档案。 澳大利亚消费者可以向主要信用机构索取信用报告，如有疑虑，可暂时禁止新的信用申请。澳大利亚国家身份与网络支持服务机构IDCARE等可以帮助认为自己的数据被滥用的个人。

警惕实体邮件欺诈。 因为声称的数据中包含配送地址，需注意意外收到的包裹、地址改寄通知或要求确认配送详情的请求。

全面审查你的数据足迹。 此次泄露事件是一个有益的提醒，促使你审查哪些零售商和服务提供商持有你的个人信息。在可能的情况下，删除不再使用的账户，并退出要求提供超出你愿意分享范围数据的忠诚度计划。

拿破仑·佩尔迪斯数据泄露事件仍在调查中，该公司尚未发布全面的公开声明。但无论该泄露事件最终是否以所声称的规模得到证实，此次事件都提醒我们，零售忠诚度数据库中存储的敏感信息远超大多数客户的认知。如果数据进一步传播，现在保持主动是限制个人风险的最有效方式。