Popüler kültür ürünleri ve moda ürünleriyle tanınan popüler perakendeci Hot Topic, yeni bir veri ihlali tartışmasının ortasında kaldı. ‘Şeytani’ olarak tanımlanan bir siber suç grubunun, 350 milyondan fazla kullanıcının kişisel bilgilerini içeren çalıntı bir veri kümesini silmek için 100.000 dolar fidye talep ettiği bildiriliyor. İddiaya göre bu veriler ihlal forumlarında sızdırıldı ve bu durum şirketin siber güvenlik uygulamalarına ilişkin endişeleri artırdı.
Box Lunch ve Torrid gibi markaların da sahibi olan Hot Topic, ABD ve Kanada’da 650’den fazla mağaza işletiyor. Şirket, ihlal konusunda ilk kez birkaç üst düzey çalışanın çalınan verilerin satışına ilişkin sosyal medya üzerinden bildirim almasıyla haberdar oldu. 20.000 dolara satılan ve ifşa edilen kayıtlar arasında e-posta adresleri, tam adlar, doğum tarihleri, telefon numaraları, fiziksel adresler, satın alma geçmişi gibi hassas bilgiler ve hatta kredi kartı ayrıntıları dahil finansal veriler yer alıyor.
Daha ileri araştırmalar, ihlalin saldırganların Hot Topic çalışanlarının kimlik bilgilerine erişim sağladıktan sonra meydana geldiğini ortaya çıkardı. Bu, Eylül 2024’te şirketin verilerinin çalınmasına yol açtı ve bu veriler daha sonra Ekim ayında dark web forumlarında satıldı. Veriler başlangıçta yaklaşık 750 MB çalıntı bilgi içeren tek bir veri seti için 4.000 $ gibi düşük bir fiyatla teklif edildi.
Veri analitiği firması Atlas Privacy daha sonra ihlali doğruladı ve 750 GB’lık devasa bir verinin çalındığını ortaya çıkardı. Buna yaklaşık 25 milyon şifrelenmiş kredi kartı numarası da dahildir; bunların çoğu, hazır yazılımlarla kolayca kırılabilecek zayıf bir şifre kullanılarak güvence altına alınmıştır. İhlalin Ekim 2024 ortalarında gerçekleştiğine inanılıyor ve çalınan veriler arasında 2011 yılına kadar uzanan kayıtlar da yer alıyor olabilir.
İhlale yanıt olarak Hot Topic olay müdahale planını etkinleştirdi ve olası hasarı en aza indirmek için çalışıyor. Şirket ayrıca, etkilenen kullanıcıların e-posta adreslerini veya telefon numaralarını girerek bilgilerinin ele geçirilip geçirilmediğini kontrol edebilecekleri, databreach dot com adında özel bir web sitesi başlattı.
Bu ölçekteki veri ihlallerinde yaygın olduğu gibi, çalınan verilerin kimlik avı girişimleri ve kimlik hırsızlığında artışa yol açması bekleniyor. Etkilenen kişilere, yetkisiz işlem veya dolandırıcılık belirtilerine karşı banka hesaplarını ve kredi faaliyetlerini izlemeleri şiddetle tavsiye edilir.
Hot Topic, ihlalin tam boyutuyla ilgili henüz resmi bir açıklama yapmadı ancak şirketin siber güvenlik önlemleri ve olaya tepkisi konusunda yoğun bir incelemeyle karşı karşıya olması muhtemel.
Reklam