Dymocks Kitapçıları, müşterilerini, şirketin veri tabanının hack forumlarında paylaşılmasının ardından kişisel bilgilerinin bir veri ihlali nedeniyle açığa çıktığı konusunda uyarıyor.
Dymocks, Avustralya, Yeni Zelanda ve Hong Kong’da 65 mağaza işleten bir kitapçı zinciridir ve aynı zamanda basılı kitaplar, e-kitaplar, kırtasiye malzemeleri, oyunlar ve dijital medya satan bir çevrimiçi mağazadır.
Şirkete, bir tehdit aktörünün bunu bir bilgisayar korsanlığı forumunda yayınlamasının ardından, 6 Eylül 2023’te veri ihlali bildirim hizmeti ‘Have I Been Pwned’in (HIBP) yaratıcısı Troy Hunt tarafından müşteri verilerinin çalındığı bilgisi verildi.
Dymocks’ın web sitesinde yayınlanan bir bildirimde kitap perakendecisi, bilgisayar sistemlerine herhangi bir sızma kanıtı görmediklerini ve şu anda üçüncü taraf ortaklara yönelik potansiyel bir güvenlik ihlalini araştırdıklarını açıklıyor.
Bu nedenle verilerin nasıl elde edildiği, yetkisiz erişimin süresi, kötü niyetli faaliyetlerin kapsamı ve bu olayın etkisinin tam kapsamı belirsizliğini koruyor.
Dymocks ve sözleşmeli uzmanlar tarafından yürütülen soruşturma şu ana kadar aşağıdaki müşteri bilgilerinin ele geçirildiğini doğruladı:
- Ad Soyad
- Doğum tarihi
- E-posta adresi
- posta adresi
- Cinsiyet
- Üyelik detayları (altının son kullanma tarihi, hesap durumu, hesap oluşturma tarihi, kart sıralaması)
Dymocks, müşterinin finansal bilgilerini saklamadığını, dolayısıyla bu tür ayrıntıların açığa çıkmadığını açıkladı.
Have I Been Pwned, çevrimiçi sızdırılan verilerin 836.120 benzersiz Dymocks hesabına ait 1,2 milyon kullanıcı kaydından oluştuğunu doğruladı.
İlgili tüm yetkililer olayla ilgili bilgilendirildi ve Dymocks şu anda bu tür olayların gelecekte meydana gelmesini önlemek için soruşturmasını tamamlamak ve ek güvenlik önlemleri uygulamak için çalışıyor.
Ayrıca Dymocks, müşterilerine çevrimiçi mağazasından alışveriş yapmanın hâlâ güvenli olduğunu garanti ediyor. Ancak kullanıcıların hesap şifrelerini değiştirmelerini önerir.
Veriler zaten geniş çapta dolaşımda
Troy Hunt, Dymocks’ın müşteri verilerinin en az Haziran 2023’ten bu yana çeşitli Telegram kanallarında ve hack forumlarında dolaştığını bildirdi.
Bununla birlikte, siber suçlular, kitapevinin müşterilerini hedef alan kimlik avı ve dolandırıcılık saldırılarında sızdırılan veri kümesinden yararlanma fırsatına sahip oldu.
BleepingComputer, BreachForums hack forumunun en son yeniden başlatmalarından birinde 3 Eylül 2023’te yayınlanan ve birkaç dolar karşılığında diğer forum üyelerine çalınan veritabanına erişim sunan bir gönderi buldu.
Dymocks müşterilerinin yapması gerekenler
Dymocks veri ihlalinde şifrelerin açığa çıktığı görülmese de, kullanıcıların güvenlik amacıyla sitedeki şifrelerini değiştirmeleri önemle tavsiye edilir.
Ayrıca aynı şifre başka sitelerde de kullanılmışsa orada da değiştirilmesi gerekmektedir.
Şifrelerinizi değiştirirken, herhangi bir veri ihlalinin diğer şirketlerdeki hesabınızı etkilememesi için her sitede benzersiz ve güçlü bir şifre kullanın.
Bir şifre yöneticisi her sitede benzersiz şifrelerin kullanılmasını çok daha kolay hale getirebilir ve şiddetle tavsiye edilir.
Son olarak, bu veriler esasen ücretsiz olarak yayınlandığından, Dymocks müşterilerinin, kredi kartı veya oturum açma bilgileri isteyen e-postalara karşı dikkatli olmaları gerekir; çünkü bu e-postalar, bu veri ihlalinden kaynaklanan kimlik avı dolandırıcılıklarını hedef alabilir.