Prestijli Londra mağazası Harrods, açıklanmayan bir tedarikçide üçüncü taraf bir veri ihlali’nde 400.000’den fazla müşteri kaydı çalındıktan sonra ciddi bir siber olaydan tekrar etkilendi.
Harrods, olayın alışveriş yapanlarının küçük bir kısmını etkilediğini-müşterilerinin çoğunluğunun çevrimiçi olarak değil, mağazada alışveriş yapmayı tercih ettiğini ve olayın bu yılın başlarında sistemlerine dağılmış örümcek saldırısı girişimiyle ilgisiz olduğunu vurguladı.
İhlali, kimlik doğrulama jetonlarının çalınmasını içeren Salesforce olayı devam eden Salesloft Drift – Salesforce olayı ile ilişkilendirecek herhangi bir kanıt yok.
Bir Harrods Scokesperson, “Üçüncü taraf sağlayıcılarımız tarafından bazı Harrods e-ticaret müşterilerinin kişisel verilerinin sistemlerinden birinden alındığını bildirdik. Etkilenen kişisel verilerin isim ve iletişim bilgileri dahil olmak üzere temel kişisel tanımlayıcılarla sınırlı olduğunu, ancak hesap şifrelerini veya ödeme ayrıntılarını içermediğini bildirdik” dedi.
“Üçüncü taraf, bunun içerilen izole bir olay olduğunu doğruladı ve tüm uygun eylemlerin yapılmasını sağlamak için onlarla yakın çalışıyoruz.”
Harrods ayrıca bazı müşteri kayıtlarının, sadakat katman seviyeleri veya ortak markalı kartlarla bağlantı gibi sunduğu pazarlama veya diğer hizmetlerle ilgili etiketlere sahip olabileceğini doğruladı.
Harrods, “Müşterilerimizi bilgilendirmeye ve desteklemeye odaklanıyor. İlgili tüm yetkilileri bilgilendirdik ve onlarla işbirliği yapmaya devam edeceğiz” dedi.
Hafta sonu boyunca, sorumlu tehdit aktörünün perakendeci ile iletişim kurduğu ortaya çıktı, ancak firma ayrıca saldırganlarıyla ilgilenmediğini belirtti.
Bununla birlikte, Extrahop Kıdemli Teknik Müdürü Jamie Moles, ihlalin hala son derece değerli kişisel bilgileri ortaya çıkardığını söyledi.
Moles, “Bu tür veri kümesi, siber suçlular için bir altın madeni, ikna edici kimlik avı kampanyaları, kimlik bilgisi hasat ve hatta kimlik sahtekarlığı sağlayan bir altın madeni” dedi.
“Üçüncü taraf bir sağlayıcıdan uzlaşmanın, siber güvenliğin en kalıcı zorluklarından birinin altını çizmesi: tedarik zinciri riskinde. Perakendeciler kendi savunmalarına büyük yatırım yapabilirler, ancak bir partnerin sistemlerindeki zayıf bir bağlantı büyük ölçekli veri hırsızlığının kapısını açabilir.
“Baskın soru, saldırganların tespit edilmeden önce ne kadar süre erişebileceği ve başka neler görebildikleri veya geçebilecekleri.”
Bir e -ticaret platformu olan VTEX’in CEO’su Mariano Gomide, Harrods’un tepkisinden dağınık örümcek olayından derslerin öğrenildiğinin açık olduğunu söyledi.
Gomide, “Harrods’un en son ihlali, müşteriler ve yetkililer bilgilendirildikçe, saldırganlar reddedildi ve takip eylemleri tanımlandı. Bu, Mayıs 2025 olayı sırasında alınan daha sınırlı önlemlerin aksine duruyor” dedi.
Gomide, perakendecilerin, markalaşma ve müşteri güvenlerini riske attığı için gömülü güvenlik ve uyumluluk ile altta yatan sistemleri modernize etmek için çalışmaları gerektiğini söyledi.
“Müşteriler, üçüncü taraf sağlayıcıları veya perde arkasındaki entegrasyonları görmüyorlar. Satın almayı seçtikleri markayı görüyorlar ve hesap verebilirlik burada kalıyor” dedi.
“Perakendeciler Bolt-on Çözümler için isimlerini koymaya devam etmek istemedikçe, çekirdekte yönetişim ve uyarlanabilirlik ile tasarım yapmak için modern birleşik ticaret disiplinleri yapılmalıdır.
Gomide, “Markalar, itibarlarını bir entegrasyonun başarısızlığına maruz bırakmadan yenilikçi ve kişiselleştirilmiş deneyimler sunmaya devam edebilmelidir” dedi.