İngiliz spor giyim zinciri JD Sports, 10 milyon müşterinin çevrimiçi sipariş bilgilerini içeren bir sunucunun hacklenmesinin ardından müşterilerini veri ihlali konusunda uyarıyor.
Etkilenen müşteriler tarafından paylaşılan veri ihlali bildirimlerinde şirket, “saldırının” Kasım 2018 ile Ekim 2020 arasında verilen siparişler için müşteri bilgilerinin açığa çıktığı konusunda uyarıyor.
JD Sports, yetkisiz erişimi anında tespit ettiğini ve ihlal edilen sunucunun güvenliğini sağlamak için hızlı bir şekilde yanıt vererek sonraki erişim girişimlerini engellediğini söylüyor.
Ancak bilgisayar korsanları, aşağıdaki bilgilerden oluşan yaklaşık 10 milyon tekil müşterinin verilerini çalmayı başardı:
- Ad Soyad
- Fatura Detayları
- Teslimat adresi
- E-posta adresi
- Telefon numarası
- Sipariş detayları
- Ödeme kartının son dört hanesi
Bu veriler, açığa çıkan kişilere karşı kimlik avı veya sosyal mühendislik saldırıları başlatmak için kullanılabilir.
Olay raporunda, “Dolandırıcılık ve kimlik avı saldırıları riskine karşı uyanık olmalarını tavsiye edebilmek için etkilenen müşterilerle proaktif olarak iletişim kuruyoruz.”
“Bu, JD Sports’tan veya grup markalarımızdan herhangi birinden geldiği iddia edilen herhangi bir şüpheli veya olağandışı iletişim için tetikte olmayı içerir.”
JD Sports, çevrimiçi siparişler için tüm ödeme kartı ayrıntılarını saklamadığını, bu nedenle eksiksiz finansal bilgilerin tehlikeye atılamayacağını söylüyor. Aynısı, firmanın erişildiğine inanmak için hiçbir neden olmadığını söylediği hesap şifreleri için de geçerlidir.
Şirket, güvenlik olayı hakkında yetkilileri bilgilendirdi ve Londra Borsası portalına bir bildirimde bulunarak, güvenlik olayının şirketin alt markaları JD, Size?, Millets, Blacks, Scotts ve MilletSport’u da etkilediğini açıkladı.
Bazı bildirim alıcıları sorgulandı JD Sports’un dört yıldan uzun bir süre önce yerine getirilen çevrimiçi siparişlerin geçmiş kaydını tutma kararı, veri sızıntısına maruz kalma olasılığını artırıyor.
“Merhaba, bugün bu e-postayı aldım. 1) Yaklaşık 5 yıl önceki siparişlerin verilerini neden saklıyorsunuz ve 2) “sınırlı veriler”, yani temelde her şey (daire içine alınmış),” bir müşteri yorumladı Twitter’da, yukarıda gösterilen veri ihlali bildirimine atıfta bulunarak.
JD Sports’ta bir hesabınız varsa, çok dikkatli olmak için şifreleri sıfırlamanız tavsiye edilir.
Ayrıca, aynı kimlik bilgilerini diğer çevrimiçi platformlarda kullanıyorsanız, parolalarınızı orada da sıfırlayın ve bunları güçlü ve benzersiz olanlarla değiştirin.
Son olarak, çalınan bu verileri müşterilerden daha fazla bilgi çalmak için kullanabilecek hedefli kimlik avı e-postalarına karşı dikkatli olun.