Alman indirim marketi Lidl, geçtiğimiz hafta Almanya, Belçika ve Hollanda’daki online mağaza müşterilerine bir veri ihlali bildirimi gönderdi. Şirket, harici bir BT hizmet sağlayıcısına yapılan siber saldırı sonucunda müşterilerine ait kişisel verilerin çalındığını açıkladı. Schwarz Group bünyesindeki market zinciri, Belçika ve Hollanda’daki müşteri hizmetleri web sitelerinde ayrı bildirimler yayımladı.
İhlal, geçen hafta başında tespit edildi. Çalınan veriler; hitap şekli, ad ve soyad, telefon numarası, e-posta adresi, doğum tarihi ve müşteri numarasını kapsıyor. Bu bilgiler, Lidl’in online mağazasını kullanan tüm müşterileri etkiliyor. Belçika bildiriminde, 'Yüksek BT güvenlik standartlarına rağmen, kimliği belirsiz kişiler kısa bir süreliğine ayrı bir dosyada saklanan müşteri verilerine erişti ve bir kısmını çaldı. Online mağaza sisteminin kendisi etkilenmedi.' ifadeleri yer aldı.
Belçika bildirimi, şifrelerin, fatura ve teslimat adreslerinin, banka bilgilerinin veya diğer ödeme verilerinin çalınmadığını ve müşteri hesaplarının ele geçirilmediğini açıkça belirtti. Hollanda bildirimi de aynı olayı kapsıyor ve aynı ayrıntıları içeriyor. Hollanda bildiriminde, 'Bilinmeyen kişiler, yüksek BT güvenlik standartlarına rağmen, kısa bir süreliğine müşteri verilerini içeren ayrı bir dosyaya erişti ve verilerin bir kısmı çalındı.' denildi.
Hollanda bildirimi, Lidl’in Hollanda Veri Koruma Otoritesi’ne (Autoriteit Persoonsgegevens) bilgi verdiğini ve saldırıya uğrayan BT hizmet sağlayıcısının polise suç duyurusunda bulunduğunu ve olayın kapsamını araştırmak için adli BT uzmanlarını görevlendirdiğini doğruladı. Şirket, şu anda verilerin kötüye kullanıldığına dair somut bir kanıt bulunmadığını vurguladı. Ancak bu, ihlal bildirimlerinde standart bir ifadedir ve kötüye kullanım olmayacağı anlamına gelmez.
Çalınan veri kombinasyonu (isim, e-posta, telefon ve doğum tarihi), ikna edici bir kimlik avı mesajı veya kimlik sahtekarlığı girişimi oluşturmak için gereken bilgileri içeriyor. Lidl’den bildirim alan herkes, Lidl’den geldiği iddia edilen beklenmedik iletişimlere karşı ekstra dikkatli olmalı, herhangi bir bağlantıya tıklamadan önce göndereni doğrulamalı ve şüpheli durumları [email protected] veya [email protected] adresine bildirmelidir.
Önemli Gelişmeler
Bu olay, perakende sektöründe üçüncü taraf hizmet sağlayıcıların güvenlik zafiyetlerinin ne kadar kritik olabileceğini bir kez daha gösterdi. Müşteriler, kişisel verilerinin korunması için güçlü şifreler kullanmalı, iki faktörlü kimlik doğrulamayı etkinleştirmeli ve şüpheli e-postalara karşı tetikte olmalıdır. Lidl ise bu tür olayların tekrarlanmaması için tedarikçi güvenlik denetimlerini sıkılaştırmalıdır.
Kaynak: securityaffairs.com