Luxottica, ortaklarından birinin 2021’de bilgisayar korsanlığı forumlarında bu ay ücretsiz olarak bir veritabanı yayınlanmasının ardından 70 milyon müşterinin kişisel bilgilerinin açığa çıkmasına neden olan bir veri ihlaline maruz kaldığını doğruladı.
Luxottica, dünyanın en büyük gözlük şirketi, gözlük ve reçeteli çerçeve üreticisi ve Ray-Ban, Oakley, Chanel, Prada, Versace, Dolce ve Gabbana, Burberry, Giorgio Armani, Michael Kors ve daha birçok popüler markanın sahibidir. Şirket ayrıca ABD’de bir vizyon sigorta şirketi olan Eyemed’i de işletmektedir.
Kasım 2022’de artık feshedilmiş olan “Breached” hacker forumunun bir üyesi, Amerika Birleşik Devletleri ve Kanada’daki Luxottica müşterileriyle ilgili 300 milyon kişisel bilgi kaydı içeren 2021 tarihli bir veritabanı olduğunu iddia ettiği şeyi satmaya çalıştı.
Satıcıya göre veritabanı, müşterilerin e-posta adresleri, ad ve soyadları, adresleri ve doğum tarihi gibi kişisel bilgilerini içeriyordu.
Döküm, o sırada Breached’da özel bir satış için teklif edilmişti, bu nedenle verilerin yeni bir saldırıda mı yoksa şirketin 2020’de etkilendiği iki saldırı sırasında mı çalındığı net değildi.
Luxottica, Ağustos 2020’de 829.454 EyeMed ve Lenscrafters hastasının kişisel bilgilerini ifşa eden bir veri ihlali yaşadı. Ertesi ay, Luxottica bir kez daha saldırıya uğradı, bu sefer şirketin İtalya ve Çin’deki operasyonlarını durduran bir fidye yazılımı saldırısı.
Ancak daha yakın bir zamanda, veritabanının tamamı 30 Nisan ve 12 Mayıs 2023 tarihlerinde farklı bilgisayar korsanlığı forumlarında ücretsiz olarak sızdırıldı ve bu da verileri tehdit aktörleri için çok daha erişilebilir hale getirdi.
Andrea Draghettiİtalyan siber güvenlik firması D3Lab’ın önde gelen araştırmacısı, sızan verileri analiz etti ve BleepingComputer’a 305 milyon satır, 74,4 milyon benzersiz e-posta adresi ve 2,6 milyon benzersiz alan e-posta adresi içerdiğini doğruladı.
Draghetti ayrıca, en son veritabanı kayıtlarına dayanarak, verilerin büyük olasılıkla daha önce açıklanmayan bir veri ihlalinden kaynaklandığı anlamına gelen, veri hırsızlığı tarihini 16 Mart 2021 olarak belirledi.
Luxottica yeni ihlali doğruladı
BleepingComputer, yayınlanan verilerle ilgili olarak Luxottica ile iletişime geçtikten sonra firma, sızan verilerin müşteri verilerini tutan üçüncü taraf bir yükleniciyi etkileyen bir güvenlik olayından geldiğini doğruladı.
Firma, olayla ilgili soruşturmanın devam ettiğini de sözlerine ekledi. Ancak, ifşa edilen verilerin tam müşteri adlarını, e-postaları, telefon numaralarını, adresleri ve doğum tarihlerini içerdiğini zaten belirlemiştir.
“Proaktif izleme prosedürlerimiz sayesinde, Luxottica perakende müşterileriyle ilgili bir üçüncü taraf aracılığıyla elde edildiği iddia edilen belirli bireysel müşteri verilerinin çevrimiçi bir gönderide yayınlandığını keşfettik.
Olayı hemen FBI ve İtalyan Polisine bildirdik. Verilerin paylaşıldığı sitenin sahibi FBI tarafından tutuklandı, site kapatıldı ve soruşturma sürüyor. İtalyan veri koruma makamına da bilgi verildi ve diğer bildirim yükümlülüklerini değerlendiriyoruz.
Halen devam etmekte olan araştırmamızdan şu ana kadar biliyoruz ki veriler esas olarak adlar, adresler, telefon numaraları, e-postalar ve doğum tarihleri dahil olmak üzere müşteri iletişim bilgilerinden oluşmaktadır. Veriler, bireylerin finansal bilgilerini, sosyal güvenlik numaralarını, oturum açma veya şifre verilerini veya müşterilerimizin güvenliğini tehlikeye atacak diğer bilgileri içermez.
EssilorLuxottica, sistemlerinin ihlal edilmediğinden ve ağının güvende olduğundan emin. – Luxottica
Bir Luxottica sözcüsü, ihlali ilk ne zaman fark ettikleri sorulduğunda, “Olaydan ilk olarak Kasım 2022’de karanlık ağdaki bir üçüncü taraf gönderisinden öğrendik” yanıtını verdi.
Truva Avı“Have I Been Pwned” (HIBP) veri ihlali bildirim hizmetinin sahibi, BleepingComputer’a sızan verilerin 77.093.812 benzersiz hesap içerdiğini ve bunların %74’ünün zaten platformun kayıtlarında olduğunu söyledi.
Hunt, HIBP’nin bugün platform abonelerine 2021 Luxottica veri ihlaliyle ilgili 320.000’den fazla ihlal bildirimi göndereceğini söyledi.
Bilgilerinizin bu ihlalde açığa çıkıp çıkmadığını kontrol etmek için HIBP sitesini ziyaret edebilir ve ana sayfada e-posta adresinizi arayabilirsiniz; site, e-posta adresinizin açığa çıktığı tüm veri ihlallerini listeleyecektir.