Alman perakende devi Schwarz Group bünyesindeki süpermarket zinciri Lidl, Avrupa'daki bazı müşterilerini etkileyen bir veri ihlali yaşandığını açıkladı. Şirket, Almanya, Belçika ve Hollanda'daki online mağaza müşterilerinin kişisel bilgilerinin üçüncü taraf bir IT hizmet sağlayıcısından çalınmış olabileceğini duyurdu. Lidl, olayı geçtiğimiz hafta fark ettiğini ve gerekli önlemleri aldığını belirtti.
Lidl'in Belçika ve Hollanda'daki müşterilerine gönderdiği bildirimde, 'Yüksek IT güvenlik standartlarına rağmen, kimliği belirsiz kişiler kısa süreliğine müşteri verilerini içeren ayrı bir depolanmış dosyaya erişti ve bir kısmını çaldı. Online mağaza sisteminin kendisi etkilenmedi' ifadelerine yer verildi. Çalınan veriler arasında tam ad, telefon numarası, e-posta adresi, doğum tarihi ve müşteri numarası gibi kişisel bilgiler yer alıyor. Ancak şirket, şifrelerin, fatura ve teslimat adreslerinin, banka bilgilerinin veya diğer ödeme verilerinin etkilenmediğini vurguladı.
Lidl, müşteri hesaplarının ele geçirilmediğini ve şu an için verilerin kötüye kullanıldığına dair somut bir kanıt bulunmadığını, ancak yine de olası kimlik avı (phishing) veya kimlik hırsızlığı girişimlerine karşı tedbirli olunması gerektiğini duyurdu. Şirket, BT hizmet sağlayıcısının etkilenen sistemlerin güvenliğini sağlamak için derhal harekete geçtiğini, adli bilişim uzmanlarının soruşturmayı derinleştirdiğini ve ilgili otoritelere bilgi verildiğini açıkladı.
Uygulama güvenliği firması Black Duck'ın baş güvenlik mühendisi Boris Cipot, Lidl'in hızlı yanıtı ve şeffaflığını övdü. Cipot, 'Bu tür bir açık sözlülük, GDPR kapsamında uygun bir tutumdur. Asıl test şimdi başlıyor: adli soruşturmanın ne kadar hızlı tamamlanacağı, kapsam netleştikçe güncellemelerin ne kadar açık bir şekilde iletileceği ve hizmet sağlayıcılara yönelik güvenlik gereksinimlerinin ne kadar sıkı bir şekilde yeniden değerlendirileceği' dedi.
Cipot, müşterilere ihtiyaten şifrelerini değiştirmeleri, mümkün olan her yerde çok faktörlü kimlik doğrulamayı etkinleştirmeleri ve yüksek alarmda olmaları çağrısında bulundu. 'Saldırganlar bu çalıntı verileri önümüzdeki haftalarda ve aylarda ikna edici dolandırıcılık e-postaları oluşturmak için kesinlikle kullanacaklardır. Banka ve kart ekstrelerinizi yakından izleyin ve mümkünse kredi dondurma işlemi yaptırın' uyarısında bulundu.
Sistem Güvenliği
Veri ihlali, perakende sektöründe artan siber saldırıları bir kez daha gündeme getiriyor. Geçtiğimiz aylarda Ahold Delhaize gibi büyük perakendeciler de benzer saldırılarla karşı karşıya kalmıştı. Uzmanlar, üçüncü taraf tedarikçilerin güvenlik açıklarının zincirleme etkiler yaratabileceğine dikkat çekiyor. Lidl'in bu olayda hızlı müdahalesi ve şeffaflığı takdir edilirken, müşterilerin kişisel verilerini korumak için ek önlemler alması gerektiği vurgulanıyor.
Kaynak: infosecurity-magazine.com