Have I Be Pwned, iddia edilen bir veri ihlalinin Hot Topic, Box Lunch ve Torrid müşterilerinin 56.904.909 hesabının kişisel bilgilerinin açığa çıktığı konusunda uyarıyor.
Hot Topic, karşı kültürle ilgili giyim, aksesuar ve lisanslı müzik ürünleri konusunda uzmanlaşmış bir Amerikan perakende zinciridir. Şirket, Amerika Birleşik Devletleri ve Kanada’da, çoğunlukla alışveriş merkezlerinde olmak üzere 640’ın üzerinde mağaza işletiyor ve geniş bir müşteri tabanına sahip.
HIBP’ye göre açığa çıkan ayrıntılar arasında Hot Topic, Box Lunch ve Torrid müşterilerinin tam isimleri, e-posta adresleri, doğum tarihleri, telefon numaraları, fiziksel adresler, satın alma geçmişi ve kısmi kredi kartı verileri yer alıyor.
Güvenlik olayı ilk olarak 21 Ekim 2024’te BreachForums’ta “Satanic” isimli bir tehdit aktörü tarafından iddia edilmişti. Tehdit aktörü, Hot Topic ve ilgili markaları Box Lunch ve Torrid’den 350 milyon kullanıcı kaydını çaldığını iddia etti.
“Satanic” veritabanını 20.000 dolara satmaya çalışırken aynı zamanda listenin forumlardan kaldırılması için Hot Topic’ten 100.000 dolar fidye ödemesi talep ediyordu.
O sırada BleepingComputer, verilerin gerçekliğini sormak için Hot Topic ile iletişime geçti ancak herhangi bir yanıt alamadı.
HudsonRock tarafından 23 Ekim’de yayınlanan bir rapor, ihlalin, Hot Topic tarafından kullanılan bir veri birleştirme hizmetinin kimlik bilgilerini çalan bir bilgi hırsızı kötü amaçlı yazılım bulaşmasından kaynaklanabileceğini öne sürdü.
Sıcak Konu sessiz kalırken ve potansiyel olarak etkilenen müşterilere herhangi bir bildirim gönderilmezken, veri analitiği şirketi Atlas Privacy geçen hafta 730 GB’lık veritabanının aslında 54 milyon müşteriyi etkilediğini bildirdi.
Ayrıca Atlas, veri kümesinin modern bilgisayarlar kullanılarak kırılması kolay, zayıf bir şifreyle şifrelenmiş 25 milyon kredi kartı numarası içerdiğini açıkladı.
Atlas, veritabanının Hot Topic’e ait olduğundan %100 emin olmasa da, tüm e-posta adreslerinin neredeyse yarısının önceki ihlallerde görülmediğini belirtti ve bu da tehdit aktörünün iddialarının meşruiyetini daha da güçlendirdi.
Altaş, ihlalin 19 Ekim’de gerçekleşmiş gibi göründüğünü ve verilerin 2011’den bu tarihe kadar uzandığını söyledi.
Firma, Sıcak Konu müşterilerinin e-posta adreslerinin veya telefon numaralarının veri sızıntısında açığa çıkıp çıkmadığını kontrol etmelerine olanak tanıyan bir site kurdu.
Bu arada tehdit aktörü, veritabanını 4.000 $ gibi daha düşük bir fiyatla da olsa satmaya devam ediyor.
Potansiyel olarak etkilenen Sıcak Konu müşterileri, kimlik avı saldırılarına karşı dikkatli olmalı, finansal hesaplarını şüpheli etkinliklere karşı yakından izlemeli ve aynı kimlik bilgilerini kullandıkları her platformda şifrelerini değiştirmelidir.
BleepingComputer bir yorum istemek için Hot Topic ile tekrar iletişime geçti ancak yayınlanma tarihine kadar herhangi bir yanıt alamadık.