Landmark London mağaza Harrods, kişisel verilerinin BT sistemlerinden hırsızlığının arkasındaki siber suçlular tarafından bir dizi alışveriş yapan kişiyle temasa geçildiği konusunda uyardı.
Harrods daha önce bilgisayar korsanlarının kendisi tarafından temasa geçildiğini ve onlarla ilgi çekici veya müzakere etmediğini belirtmişti. Üst düzey perakendeci, müşterileri genel olarak kabul edilen uzman tavsiyeleri doğrultusunda benzer protokolleri takip etmeye çağırdı.
Bir Harrods sözcüsü Computer Weekly’ye verdiği demeçte, “Bazı e-ticaret müşterilerinin doğrudan üçüncü taraf sağlayıcılarımızın sistemlerinden birinden bazı kişisel veriler aldığını iddia eden biri tarafından doğrudan temasa geçildiğinin farkındayız” dedi.
“Ulusal Siber Güvenlik Merkezi ve Büyükşehir Polis Siber Suç Birimi de dahil olmak üzere tüm ilgili yetkilileri bilgilendirdik ve aktif olarak araştırıyorlar.
Sözcü, “Siber suçlularla müzakere etmek, eriştikleri bilgilerle ne yapabileceklerine dair herhangi bir garanti vermez” dedi.
“Herhangi bir rahatsızlıktan dolayı müşterilerden özür dileriz ve erişilen kişisel verilerin isim ve iletişim bilgileri gibi temel kişisel tanımlayıcılarla sınırlı olduğunu tekrarlamak istiyoruz. ”
Computer Weekly, bu kişilerin doğası hakkında ayrıntıları oluşturmak için Harrods ile temasa geçti, ancak kuruluş ek bilgi vermeyi reddetti.
Bilgisayar korsanlarının yüksek net değerinde olduğunu düşündükleri bireyleri zorlamaya çalışmaları mümkündür.
Bazı durumlarda, özellikle fidye yazılımı saldırılarında, siber suçluların müşterilere kurbanlarını gasp taleplerine uymaya teşvik etmeleri de bilinmemektedir.
Bununla birlikte, yazma sırasında, Harrods’un fidye yazılımı tarafından vurulduğuna dair bir gösterge yoktur.
Üçüncü taraf itibar riski
Harrods’taki saldırı geçen hafta keşfedildi ve perakendeci, henüz açıklanmayan bir üçüncü taraf BT tedarikçisinin sistemleri aracılığıyla düzenlendiğini belirtti.
Saldırganlar, 430.000 alışveriş yapan kişinin kişisel verileriyle ortaya çıktı, ancak yazma sırasında hiçbir kredi kartı veya diğer finansal detayların tehlikeye atıldığı bilinmemektedir.
Eclecticiq CEO’su Cody Barrow, “Harrods’un altı aydaki ikinci ihlali prestij yoluyla herhangi bir güvenlik yanılsamasını ortadan kaldırmalı. Perakendeci saldırganla ilgilenmeyebilir, ancak siber suçlular kesinlikle onlarla etkileşime giriyor ve marka fiyatı ödüyor” dedi.
“Bu olay doğrudan bir hit değildi, ancak tedarik zincirlerinin artık savaş alanı olduğunu hatırlatmak. Müşteri verileri, sadakat etiketleri ve iletişim bilgileri, son derece ikna edici dolandırıcılıklar başlatmak ve güvende uzun vadeli hasara neden olmak için yeterlidir. Bir kez daha, saldırganların bir sırt girişi açık olduğunda ön kapıyı fırlatmaları gerekmiyordu.
Barrow, “Alarm yıllardır çalıyor. Değişen şey, onu görmezden gelme maliyeti-sonuçta vuran düzenleyici para cezaları, değerlemeye zarar veren müşteri kusurları ve yöneticileri evi takip eden kişisel yönetim kurulu düzeyinde hesap verebilirlik. Soru, şimdi veya markanızın isabet alıp almadıktan sonra hareket edip etmeyeceğiniz değil” dedi Barrow.
Olay, bu yıl Harrods olarak gelen ikinci siber saldırıdır-Mayıs ayında, perakendeci dağınık örümcek çetesine atfedilen bir olay dalgasına çarptı, ancak Marks ve Spencer (M&S) ve kooperatif grubu gibi diğer kurbanların aksine, büyük ölçüde yargılanmış saldırıdan ortaya çıkıyor gibi görünüyordu. İki olayın herhangi bir şekilde bağlantılı olduğuna dair bir gösterge yoktur.