Avery Products Corporation, müşterilerin kredi kartlarını ve kişisel bilgilerini çalmak amacıyla web sitesinin saldırıya uğramasının ardından veri ihlali yaşadığı konusunda uyarıyor.
Avery, kendinden yapışkanlı etiketler, giyim markalama öğeleri ve baskı hizmetleri üreten ve satan bir Amerikan şirketidir.
Etkilenen müşterilere gönderilen bir veri ihlali bildiriminde Avery, 9 Aralık 2024’te saldırıya uğradıklarını keşfetti.
Dijital adli tıp uzmanlarının yaptığı dahili soruşturmanın ardından, tehdit aktörlerinin 18 Temmuz 2024’te şirketin çevrimiçi mağaza alanı olan ‘avery.com’a bir kart skimmer yerleştirdiği ortaya çıktı.
Sonuç olarak, müşterilerin Avery’nin web sitesine 18 Temmuz 2024 ile 9 Aralık 2024 arasında girdiği hassas ödeme bilgileri, tehdit aktörlerinin eline geçti.
Bildirimde “9 Aralık 2024’te Avery, belirli sistemlere yönelik bir fidye yazılımı saldırısından haberdar oldu” ifadesi yer alıyor.
“Avery, faaliyetin niteliğini ve kapsamını belirlemek için adli tıp uzmanlarının yardımıyla derhal bir soruşturma başlattı.”
“Araştırmamız, 18 Temmuz 2024 ile 9 Aralık 2024 tarihleri arasında avery.com web sitemizde kullanılan kredi kartı bilgilerini “kazımak” için kullanılan kötü amaçlı yazılımın yetkisiz bir kişi tarafından yerleştirildiğini belirledi.”
Bu ihlal sonucunda ele geçirilen veriler şunları içerir:
- Ad ve soyadlar
- Fatura ve gönderim adresi
- E-posta adresi
- Telefon numarası
- Ödeme kartı numarası, CVV kodu ve son kullanma tarihi
- Satın alma tutarı
Bu bilgiler Sosyal Güvenlik numaralarını, sürücü belgesi numaralarını, devlet tarafından verilen kimlik numaralarını ve doğum tarihlerini içermiyor.
Yine de açığa çıkan veriler, mağdurların isimleri üzerinde dolandırıcılık işlemleri gerçekleştirmek ve hesaplarını yetkisiz satın almalarla doldurmak için yeterli.
“Dolandırıcılık suçlamalarının web sitemizdeki olayla ilgili olup olmadığını bilmiyoruz, ancak müşterilerimizden dolandırıcılık suçlaması yaptıklarını belirten iki e-posta aldığımız için ödeme kartı (ve diğer) bilgilerinin ele geçirilmiş olabileceği artık mümkün görünüyor ve/veya veya kimlik avı e-postası” veri ihlali bildirimine devam etti.
“Bu ay çok sayıda benzer rapor aldık. Bu nedenle, kendinizi korumaya yönelik adımlar atabilmeniz için size bu bildirimi sunuyoruz.”
Maine Başsavcısı portalındaki veri ihlali kaydına göre olay 61.193 Avery müşterisini etkiledi.
Bu riski azaltmak için Avery, Cyberscout aracılığıyla 12 aylık ücretsiz kredi izleme hizmeti sunuyor.
Bildirim alıcılarının ayrıca istenmeyen iletişimlere karşı dikkatli olmaları ve hesaplarındaki şüpheli etkinlikleri derhal bankalarına ve yetkililere bildirmeleri tavsiye edilir.
Avery müşterilerinin bu olayla ilgili soru ve endişelerini gidermek için özel bir yardım hattı da kuruldu.