Η JD Sports, μια γνωστή βρετανική αλυσίδα αθλητικών ειδών, εξέδωσε μια προειδοποίηση σχετικά με παραβίαση δεδομένων που επηρέασε 10 εκατομμύρια πελάτες που έκαναν παραγγελίες στον ιστότοπό της. Ένας hacker διείσδυσε στον διακομιστή της και απέκτησε πρόσβαση στις πληροφορίες των ηλεκτρονικών παραγγελιών των πελατών της.

Στις ειδοποιήσεις που εστάλησαν στους πελάτες που επλήγησαν από την παραβίαση, η εταιρεία ανέφερε ότι η επίθεση εξέθεσε δεδομένα πελατών από παραγγελίες που πραγματοποιήθηκαν μεταξύ Νοεμβρίου 2018 και Οκτωβρίου 2020.

Η JD Sports ενήργησε γρήγορα και αποφασιστικά όταν ανακάλυψε τη μη εξουσιοδοτημένη πρόσβαση στους διακομιστές της, λαμβάνοντας μέτρα για να σταματήσει αμέσως κάθε περαιτέρω απόπειρα εισβολής.

Δείτε επίσης: Η QNAP διόρθωσε κρίσιμη ευπάθεια που επηρεάζει NAS συσκευές

Παρ’ όλα αυτά, οι επιτιθέμενοι κατάφεραν να αποκτήσουν πρόσβαση σε δεδομένα 10 εκατομμυρίων πελατών που περιλάμβαναν:

  • Πλήρες όνομα
  • Νούμερο τηλεφώνου
  • Διεύθυνση ηλεκτρονικού ταχυδρομείου
  • Διεύθυνση παράδοσης
  • Λεπτομέρειες Παραγγελίας
  • Λεπτομέρειες χρέωσης
  • Τέσσερα τελευταία ψηφία της κάρτας πληρωμής

Αυτά τα δεδομένα θα μπορούσαν να χρησιμοποιηθούν για την πραγματοποίηση επιθέσεων phishing ή social engineering εναντίον των πελατών της JD Sports.

Επικοινωνούμε προληπτικά με τους πελάτες, ώστε να τους συμβουλεύσουμε να είναι σε επαγρύπνηση για τον κίνδυνο απάτης και επιθέσεων phishing“, αναφέρεται στην αναφορά του περιστατικού.

Αυτό περιλαμβάνει την επιφυλακή για τυχόν ύποπτες ή ασυνήθιστες επικοινωνίες που υποτίθεται ότι προέρχονται από την JD Sports ή οποιαδήποτε από τις επωνυμίες του ομίλου μας“.

Η JD Sports έχει δηλώσει σαφώς ότι δεν αποθηκεύει τα πλήρη στοιχεία της κάρτας πληρωμής, πράγμα που σημαίνει ότι δεν εκτέθηκαν πλήρη οικονομικά δεδομένα. Επιπλέον, η εταιρεία υποστηρίζει ότι δεν υπάρχει καμία ένδειξη ότι αποκτήθηκε πρόσβαση σε κωδικούς πρόσβασης λογαριασμών.

Δείτε επίσης: Πάνω από 422 εκατομμύρια άνθρωποι έπεσαν θύματα παραβιάσεων δεδομένων το 2022

Η εταιρεία λέει ότι έχει ενημερώσει τις αρχές για την παραβίαση δεδομένων των πελατών της και κατέθεσε μια ειδοποίηση στο London Stock Exchange portal, εξηγώντας ότι το περιστατικό ασφαλείας επηρέασε επίσης τα υπο-brands της εταιρείας JD, Size?, Millets, Blacks, Scotts και MilletSport.

Θέλουμε να ζητήσουμε συγγνώμη από εκείνους τους πελάτες που μπορεί να επηρεάστηκαν από αυτό το περιστατικό“, δήλωσε ο Neil Greenhalgh, ο οικονομικός διευθυντής της JD Sports. “Τους συμβουλεύουμε να είναι προσεκτικοί σχετικά με πιθανά μηνύματα ηλεκτρονικού ταχυδρομείου, κλήσεις και μηνύματα απάτης και παρέχουμε λεπτομέρειες σχετικά με τον τρόπο αναφοράς τους“.

Συνεχίζουμε την πλήρη αναθεώρηση της κυβερνοασφάλειάς μας σε συνεργασία με εξωτερικούς ειδικούς μετά από αυτό το περιστατικό“, δήλωσε ακόμα ο Greenhalgh. “Η προστασία των δεδομένων των πελατών μας αποτελεί απόλυτη προτεραιότητα για την JD“.

Ορισμένοι πελάτες που επηρεάστηκαν παραπονέθηκαν για την απόφαση της JD Sports να διατηρήσει ιστορικό διαδικτυακών παραγγελιών που πραγματοποιήθηκαν πριν από τέσσερα χρόνια, αυξάνοντας τις πιθανότητες κλοπής περισσότερων δεδομένων.

Δείτε επίσης: Λίστα No Fly των ΗΠΑ κοινοποιήθηκε σε hacking forum

Γεια, έλαβα αυτό το μήνυμα ηλεκτρονικού ταχυδρομείου σήμερα. 1) Γιατί αποθηκεύετε δεδομένα παραγγελιών πριν από σχεδόν 5 χρόνια και 2) “περιορισμένα δεδομένα” που είναι βασικά τα πάντα“, σχολίασε ένας πελάτης στο Twitter, αναφερόμενος στην ειδοποίηση παραβίασης δεδομένων.

Οι πελάτες που έχουν λογαριασμό στη JD Sports, καλό είναι να επαναφέρουν τους κωδικούς πρόσβασής τους. Επιπλέον, αν οι ίδιοι οι κωδικοί χρησιμοποιούνται και σε άλλες διαδικτυακές πλατφόρμες, πρέπει να γίνει αλλαγή και εκεί καθώς οι επιτιθέμενοι θα μπορούσαν να παραβιάσουν και εκείνους τους λογαριασμούς.

Τέλος, όπως πρότεινε και η JD Sports, οι πελάτες που επηρεάζονται από αυτή την παραβίαση δεδομένων πρέπει να είναι σε επιφυλακή, καθώς μπορεί να λάβουν μηνύματα ή phishing emails που ενδέχεται να χρησιμοποιήσουν αυτά τα κλεμμένα δεδομένα για να κλέψουν περαιτέρω πληροφορίες.

Οι παραβιάσεις δεδομένων αποτελούν μια ολοένα και πιο συχνή απειλή για την ασφάλεια, για την οποία όλες οι επιχειρήσεις πρέπει να είναι προετοιμασμένες. Κατανοώντας τι είναι η παραβίαση δεδομένων και γιατί αποτελεί τέτοιο κίνδυνο για τις μικρές και μεγάλες εταιρείες, μπορούμε να προετοιμαστούμε καλύτερα για αυτόν τον σύγχρονο κίνδυνο ασφάλειας. Η επένδυση σε ισχυρές λύσεις κυβερνοασφάλειας και η εκπαίδευση του προσωπικού σε ασφαλείς διαδικτυακές πρακτικές είναι βασικά βήματα για την προστασία των δεδομένων.

Πηγή: www.bleepingcomputer.com