Lüks mağaza Harrods, üçüncü taraf bir sağlayıcıdan ödün verildikten sonra yaklaşık 430.000 müşteri kaydını etkileyen önemli bir veri ihlali açıkladı.
Saldırının arkasındaki bilgisayar korsanları perakendeciyle temasa geçti, ancak Harrods, tehdit oyuncusu ile etkileşime girmeyeceğini ve potansiyel bir fidye talebinin yapıldığını öne sürdüğünü belirtti.
Harrods’un 26 Eylül 2025 Cuma günü e -posta yoluyla etkilenen müşterilere ilk kez iletişim kurduğu ihlal, Harrods’un dahili sistemlerinden değil, isimsiz bir harici tedarikçideki güvenlik hatasından kaynaklandı.
Şirket, tehlikeye atılan verilerin temel kişisel tanımlayıcılarla sınırlı olduğunu ve oldukça hassas bilgiler içermediğini vurgulamıştır.
Harrods veri ihlali
Çalıntı veriler öncelikle müşterilerin sağladığı isimleri ve iletişim bilgilerini içerir. Bazı durumlarda, pazarlama tercihleri, sadakat programı durumu ve Harrods’un ortak markalı kredi kartlarıyla olan ilişkileri ile ilgili bilgiler de ortaya çıktı.
Bununla birlikte, bir şirket sözcüsü, pazarlama ile ilgili bu verilerin “yetkisiz bir üçüncü taraf tarafından doğru bir şekilde yorumlanması olası olmadığını” belirtti.
Harrods, müşterilerine, olay sırasında ödeme kartı detayları veya hesap şifreleri gibi hiçbir finansal bilgiye erişilmediğinden emin oldu. Harrods müşterilerinin çoğunluğu çevrimiçi olmaktan ziyade mağazada alışveriş yaptıklarından, ihlalin mağazanın toplam müşterisinin küçük bir kısmını etkilediği anlaşılmaktadır.
Olay’a yanıt olarak Harrods, etkilenen e-ticaret müşterilerini proaktif olarak bilgilendirdi ve İngiltere GDPR düzenlemelerine uygun olarak Bilgi Komiseri Ofisi (ICO) dahil tüm ilgili yetkililere haber verdi.
Bir sözcü, “Müşterilerimizi bilgilendirmeye ve desteklemeye odaklanmaya devam ediyor. İlgili tüm yetkilileri bilgilendirdik ve onlarla işbirliği yapmaya devam edeceğiz” dedi.
Bu güvenlik etkinliği, Mayıs 2025’teki Harrods’un iç sistemlerinde önceki bir siber saldırı girişiminden ayrıdır. Daha önceki olay olan, M&S ve Co-op gibi İngiltere perakendecilerine daha geniş bir dizi saldırının bir parçası olan bu, Harrod’ları internet erişimini önlem olarak kısıtlamaya teşvik etti, ancak o zaman bir veri uzmanı ile sonuçlanmadı.
Son ihlal, tedarik zinciri ortaklarını hedefleyen siber suçluların artan bir eğilimini, büyük şirketlerin verilerine erişmek için daha zayıf bir bağlantı olarak vurgulamaktadır. Harrod’un çevrimiçi mağazasının müşterilerinin potansiyel kimlik avı ve sosyal mühendislik girişimlerine karşı uyanık olmaları tavsiye edilir.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
