Luxury mağaza Harrods, siber saldırganların, verileri perakendecinin teknik yığınının kırılmasında çaldıkları müşterilerle temasa geçtiğini doğruladı.
30 Eylül'deki yaptığı açıklamada, şirket bugün CX'e şunları söyledi:
Bazı e-ticaret müşterilerinin doğrudan dış sağlayıcılarımızın sistemlerinden birinden bazı kişisel bilgiler aldığını iddia eden biri tarafından iletişime geçildiğinin farkındayız.
Harrods, 26 Eylül'de dış sağlayıcılarından biri tarafından verilerin çalındığını ve 28 Eylül'de siber suçlularla temasa geçildiğini belirtti.
Perakendeci bugün CX'e 430.000 müşteri verisinin alındığını doğruladı.
26 Eylül'de Harrods, müşterilere, bilgilerin sunulduğu, ancak hiçbir hesap şifresi veya önemli ödeme verileri içermediğini bilgilendirdi.
Bununla birlikte, veriler hala birkaç gün içinde müşterilerle iletişim kuran suçlulardan olduğu gibi, hedeflenen kimlik avı veya sosyal mühendislik saldırıları için kullanılabilir. Üst düzey perakendecinin müşterileri de kimlik hırsızlığının potansiyel hedefleridir.
Bilgisayar korsanları genellikle bir fidye ödenmedikçe, genellikle hassas bilgileri sızdırmak veya faaliyetleri rahatsız etmekle tehdit eden para şantaj veya para sıkmak için veri çaldıkları şirketlerle temasa geçer.
Harrods, hasarı araştırmak ve azaltmak için Ulusal Siber Güvenlik Merkezi ve Büyükşehir Polis Siber Suç Birimi de dahil olmak üzere yetkililerle faillere dahil olmayacağını veya müzakere etmeyeceğini ve işbirliği yapacağını belirtti.
30 Eylül Bildirgesi, “Siber suçlularla müzakere etmek, erişilebilir oldukları bilgilerle neler yapabilecekleri konusunda garantilere yol açmıyor.” Dedi.
Saldırgan bir şirket bir fidye ödese bile, saldırganlar hala karanlık ağda, kamu sızıntıları veya daha fazla hedeflenen saldırılar başlatmak için kullanabilir.
Dış sağlayıcı, perakendeciye ihlalin “dahil edilen izole bir olay” olduğunu açıkladı, dedi Harrods, iki şirketin “tüm uygun eylemlerin alınmasını sağlamak için” yakın çalıştığını ekledi.
Meydan okulu müşteri kayıtları, Harrods ve Hizmet Tekliflerinin pazarlama faaliyetleriyle ilgili etiketler de içerebilir.
Perakendeci, “Bu etiketler, ortak markalı bir Harrods haritasının seviyesi veya bağlantısı içerebilir, ancak bu bilgilerin yetkisiz bir üçüncü taraf tarafından doğru bir şekilde yorumlanması pek olası değildir.” Dedi.
Harrods müşterileri, e-ticaret platformu yerine mağazada alışveriş yapma eğilimindedir, böylece alışveriş yapanlarının çoğu etkilenmez.
Web sitesine göre, 60 milyondan fazla yerli ve uluslararası ziyaretçi Şirket ile Knightsbridge, Heathrow ve Gatwick havaalanlarındaki mağazalarıyla alışveriş yapıyor ve çevrimiçi.
Şirket, iç sistemlerinin hiçbirinin ihlalden etkilenmediğini vurguladı ve bu da “bu yılın başlarında bazı Harrods sistemlerine yetkisiz erişim sağlama girişimlerine bağlı olmadığını” belirtti.
Bu saldırı, ABD ve İngiltere'de kurulduğu varsayılan dağınık örümcek tehdidi grubuna bağlandı ve şirketin Mayıs ayında ihtiyati tedbir olarak internet erişimini ortadan kaldırmaya yol açtı.
Üçüncü tarafların riskleri: Müşteri güveni için artan bir zorluk
En son ihlal Harrods'un kendi sistemlerini etkilemese de, saldırganların harici bir sağlayıcı aracılığıyla verilere erişime sahip olması, müşteri hizmetleri için modern ekosistemlerde önemli ve artan bir risk: üçüncü tarafların güvenlik açıkları.
Şirketler genellikle ödeme işleme ve müşteri desteğinden pazarlama ve lojistiğe kadar her şeyi yönlendiren yazılımlar için dış tedarikçilere güvenir. AI uygulamalarının ve temsilcilerinin çoğalmasıyla bu bağımlılıklar büyür.
Bu ortaklıklar şirketlerin özel uzmanlığı daha hızlı hareket ettirmelerine ve kullanmasına yardımcı olsa da, siber suçluların kayması için, özellikle de üçüncü taraflı sistemler olması gerektiği kadar güvenli olmadığında daha fazla erişim noktası açarlar.
Tedarik zincirindeki zayıf bir bağlantı binlerce ve bazen milyonlarca müşteri verisini tehlikeye atabilir.
Mayıs ayında, NCSC CEO'su Dr. Richard Horne Co-op ve M & S de dahil olmak üzere İngiliz perakendecilere yönelik bir saldırı dalgasının, şirketlerin proaktif güvenlik politikası alma ihtiyacını vurguladığı konusunda uyardı. Dedi ki:
Bu olaylar tüm kuruluşlar için bir uyandırma çağrısı olarak hareket etmelidir. Liderlerle, NCSC web sitesinde tavsiyeyi, saldırıları önlemek ve tepki vermek ve etkili bir şekilde onarmak için uygun önlemlere sahip olmalarını sağlamak için çağırıyorum.
Harrods olayı, isimler ve iletişim bilgileri gibi 'temel' müşteri verilerinin bile siber suçlular için çok değerli olabileceğini göstermektedir.
Şeffaflık ve zamanında iletişim çok önemlidir. Şirketin etkilenen müşterileri proaktif olarak bilgilendirme ve kamu beyanları verme kararı, potansiyel hasarı sınırlamaya ve güveni korumaya yardımcı olur.
Siber suçlularla yapılan müzakereler hiçbir garanti sunmadığı ve sonuçta daha fazla saldırıyı teşvik edebileceği için, Harrod'ların saldırganlarla temasa geçmeyi reddetmesi de önemlidir.
Saldırı, birbirine bağlı bir teknik yığınta bir şirketin güvenliğinin sadece en zayıf bağlantısı kadar güçlü olduğu bir anıdır. Müşteri verilerinin korunması, özellikle üçüncü tarafların tedarikçileri tarafından ele alındığında, sadece dokunmak için bir teknik meslek değildir. Güveni korumanın ve bir markanın itibarını korumanın nükleer bir parçasıdır.
Bir yanıt yazın