ABD'li evcil hayvan ürünleri ve hizmetleri perakendecisi Petco, yanlış yapılandırılmış bir yazılım ayarı nedeniyle son derece hassas kişisel bilgilerin çevrimiçi olarak erişilebilir olmasını sağlayan müşteri verilerinin açığa çıktığını açıkladı.
Şirket, Teksas, Kaliforniya, Massachusetts ve Montana da dahil olmak üzere ABD'nin birçok eyaletindeki düzenleyicileri bilgilendirdi ve etkilenen bireyleri bilgilendirmeye başladı. Müşterilere gönderilen ve eyalet başsavcılığına gönderilen mektuplar, yetkisiz bir tarafın kişisel bilgilerine erişebileceğini doğruladı.
Düzenleyici bildirimler kişisel verilerin yüksek risk altında açığa çıktığını ortaya koyuyor
Petco toplam kaç müşterinin etkilendiğini söylemedi, ancak Kaliforniya eyalet yasaları şirketlerin 500'den fazla müşteriyi etkileyen ihlalleri açıklamasını gerektiriyor. Perakendeci yaklaşık 24 milyon müşteriye hizmet veriyor.
Müşterilerin Sosyal Güvenlik numaraları (SSN'ler), ehliyet numaraları, doğum tarihleri ve mali hesap bilgileri dahil olmak üzere söz konusu verilerin hassasiyeti, olayın büyüklüğü ne olursa olsun önemli olmasını sağladı.
Bu bilgiler, dolandırıcıların kimlik hırsızlığı, hesap ele geçirme, vergi dolandırıcılığı ve diğer suçlarda en sık kullandığı tanımlayıcıları sağlar. Az sayıda mağdur bile kalıcı mali ve duygusal sonuçlara neden olmak için yeterlidir.
Sosyal Güvenlik numaraları ve banka hesap bilgileri, şifre sıfırlamak kadar kolay bir şekilde yeniden düzenlenemez ve güvenlik riskleri yıllarca devam edebilir. Bu durum müşterilerde uzun vadeli kaygıya neden oluyor ve markaların ilişkileri yeniden inşa etmek için kapsamlı onarım çalışmalarına yatırım yapmalarını gerektiriyor.
Müşteri deneyimini etkileyen dahili bir sistem hatası
Petco, olayı dahili bir yazılım yapılandırma hatasına bağladı. Kaliforniya başsavcılığına sunulan bildirimde şirket, “yazılım uygulamalarımızdan birinde, yanlışlıkla belirli dosyalara çevrimiçi olarak erişilmesine izin veren bir ayar keşfettiğini” yazdı.
“Sorunu rutin bir güvenlik kontrolü sırasında kendimiz keşfettik. Sorunu keşfettikten sonra, sorunu düzeltmek ve dosyaları daha fazla çevrimiçi erişimden kaldırmak için hemen gerekli adımları attık.”
Şirket, “uygulamalarımızın güvenliğini artırmak için ek güvenlik önlemleri ve teknik kontroller uyguladığını” da sözlerine ekledi.
Petco ayrıca etkilenen müşterilere ücretsiz kredi ve kimlik izleme hizmetlerine erişim olanağı sunuyor. Kaliforniya'da şirket, Epiq'e sınırlı bir süre için ücretsiz erişim sunarken, Massachusetts'te Notice, bir TransUnion şirketi olan Cyberscout aracılığıyla ücretsiz Tek Büro Kredi İzleme ve proaktif dolandırıcılık yardımı sunuyor.
Kaliforniya, Pensilvanya ve Illinois'de ofisleri bulunan Lynch Carpenter ile Texas ve Oklahoma'da ofisleri bulunan Federman & Sherwood'un da aralarında bulunduğu hukuk firmaları, Petco veri ihlalinin önlenip önlenemeyeceğini ve etkilenen bireylerin hangi haklara sahip olabileceğini araştırıyor. Etkilenen müşterileri olası toplu dava davalarıyla ilgili olarak kendileriyle iletişime geçmeye davet ediyorlar.
Olay, Petco'nun bu yıl karşılaştığı tek güvenlik ihlali değil. Şirket, TechCrunch'ın Vetco müşterileri ve evcil hayvanları hakkındaki verileri kamuya açıkladığı konusunda uyarmasının ardından bu hafta veteriner hizmetleri sağlayıcısı Vetco Clinics'in web sitesinin bir kısmını kapattı.
Ve bu yılın başlarında Petco, Scattered Lapsus$ Hunters kolektifiyle bağlantılı bilgisayar korsanlarının Salesforce ihlalinin bir parçasıydı; iddiaya göre müşteri bilgilerinin yer aldığı bir veritabanından çalarak Google dahil birden fazla markayı etkiliyordu.
Bu yıl diğer perakendecilerde yaşanan bir dizi yüksek profilli siber güvenlik ihlaliyle birlikte Petco'da veri ifşasının tekrarlanması, veri yönetiminin artık sadece bir gizlilik veya güvenlik sorunu olmadığı gerçeğini güçlendiriyor; giderek bir müşteri deneyimi işlevi haline geliyor. Kuruluşların müşteri verilerini koruma, toplama, saklama ve kontrol etme şekli, marka bütünlüğüyle ayrılmaz bir şekilde bağlantılıdır.
Bir yanıt yazın