Lidl, birçok Avrupa ülkesindeki müşterilerini, kişisel bilgilerinin üçüncü taraf bir BT hizmet sağlayıcısından çalınmış olabileceğini duyurarak kimlik avı mesajlarına karşı dikkatli olmaları konusunda uyardı. Alman perakende devi Schwarz Group'a ait olan süpermarket zinciri, Almanya, Belçika ve Hollanda'daki müşterilerinin bu olaydan etkilendiğini belirtti. Şirket, Belçika ve Hollanda'daki müşterilerine yaptığı açıklamada, olayı geçtiğimiz hafta öğrendiklerini ifade etti.
Lidl, 'Yüksek BT güvenlik standartlarına rağmen, kimliği belirsiz kişiler kısa bir süreliğine müşteri verilerini içeren ayrı olarak saklanan bir dosyaya erişmeyi başardı ve bir kısmını çaldı. Online mağaza sisteminin kendisi etkilenmedi' açıklamasında bulundu. Şirket, online mağaza müşterilerinin etkilendiğini ve çalınan verilerin tam ad, telefon numarası, e-posta adresi, doğum tarihi ve müşteri numarası gibi bilgileri içerdiğini belirtti. Ancak şifreler, fatura ve teslimat adresleri, banka bilgileri veya diğer ödeme bilgilerinin etkilenmediği vurgulandı.
Lidl, 'Müşteri hesabınız tehlikeye atılmamıştır. Şu anda verilerin kötüye kullanıldığına dair somut bir kanıtımız olmamakla birlikte, olası kimlik avı veya kimlik hırsızlığı girişimlerine karşı önlem olarak sizi uyarıyoruz' ifadelerini kullandı. Şirket, BT hizmet sağlayıcısının etkilenen sistemlerin güvenliğini sağlamak için hemen harekete geçtiğini, adli bilişim uzmanlarının olayı araştırdığını ve ilgili makamlara bilgi verildiğini açıkladı.
Uzmanlar, Lidl'in hızlı müdahalesini ve şeffaflığını takdir ediyor. Uygulama güvenliği firması Black Duck'tan baş güvenlik mühendisi Boris Cipot, 'Bu tür bir açık sözlülük, GDPR kapsamında uygun bir duruş sergiliyor' dedi. Cipot, asıl testin şimdi başladığını belirterek, adli soruşturmanın ne kadar hızlı tamamlandığı, kapsam netleştikçe güncellemelerin ne kadar açık bir şekilde iletildiği ve hizmet sağlayıcılara yönelik güvenlik gereksinimlerinin ne kadar sıkı bir şekilde yeniden değerlendirildiğinin takip edilmesi gerektiğini vurguladı.
Uzmanların Görüşleri
Cipot, müşterilere ihtiyaten şifrelerini değiştirmelerini, mümkün olan her yerde çok faktörlü kimlik doğrulamayı etkinleştirmelerini ve yüksek alarmda olmalarını tavsiye etti. 'Saldırganlar bu çalınan verileri kesinlikle kullanarak önümüzdeki haftalarda ve aylarda ikna edici dolandırıcılık girişimleri hazırlayacaklardır' uyarısında bulunan Cipot, banka ve kart ekstrelerinin yakından izlenmesini ve mümkünse kredi raporunun dondurulmasını önerdi.
Önemli Gelişmeler
Lidl, olası takip kimlik avı saldırılarına karşı müşterilerini uyararak, 'Gönderenin gerçekliğini her zaman doğrulayın. Olağandışı bir durum fark ederseniz, herhangi bir veri paylaşmayın veya bilinmeyen bağlantılara tıklamayın' çağrısında bulundu. Veri ihlali, perakende sektöründe artan siber saldırıların bir başka örneği olarak kayıtlara geçti. Geçtiğimiz günlerde Ahold Delhaize de 2,2 milyon müşterisini etkileyen bir veri ihlali duyurmuştu.
Bu tür olaylar, üçüncü taraf hizmet sağlayıcıların güvenlik açıklarının zincirleme etkiler yaratabileceğini gösteriyor. Müşterilerin kişisel verilerini korumak için şifre hijyenine dikkat etmeleri, güçlü ve benzersiz şifreler kullanmaları, mümkün olan her yerde iki faktörlü kimlik doğrulamayı etkinleştirmeleri ve şüpheli e-postalara karşı tetikte olmaları kritik öneme sahip. Ayrıca, banka hesapları ve kredi kartı ekstrelerinin düzenli olarak kontrol edilmesi, olası bir kötüye kullanımın erken tespitinde hayati rol oynuyor.
Kaynak: infosecurity-magazine.com