Злом Dixons Carphone розкрив 5,9 млн карток, 10 млн акаунтів

Dixons Carphone недооцінив злом даних, тепер каже, що постраждало 10 мільйонів

Енді Бокселл 31 липня 2018 року

Відомий британський роздрібний продавець мобільних технологій Dixons Carphone став жертвою масового злому даних, в результаті якого було незаконно отримано доступ до платіжних даних 5,9 мільйона клієнтів. Платіжні дані зберігалися в процесинговій системі магазинів Currys PC World та Dixons Travel, останній з яких працює в аеропортах. Крім платіжних реквізитів, Dixons Carphone спочатку заявила, що доступ до імен, адрес та адрес електронної пошти 1,2 млн. осіб, що знаходяться в базі даних фірми, був здійснений зловмисниками. У липні вона переглянула цю цифру до 10 мільйонів.

Компанія стверджує, що ця інформація не була використана в шахрайських цілях, але тим не менш, зв’язується з постраждалими клієнтами. Dixons Carphone заявила, що 5,8 мільйона карток, до яких було здійснено доступ, були захищені захистом платежів за допомогою чіпа та ПІН-коду, а важливий номер контрольного значення картки (CVV), надрукований на зворотному боці платіжних карток, не зберігався, що позбавило більшість клієнтів від негайного занепокоєння. Однак, решта 105 000 карток, до яких був отриманий доступ під час злому, були випущені не в Європі і не мали чипового та пін-коду захисту. Ці картки, ймовірно, використовувалися в магазинах Dixons Travel відвідувачами аеропортів, але Dixons Carphone заявляє, що не знайшла доказів шахрайства в цих випадках.

Група вже вжила заходів для уникнення будь-якого платіжного шахрайства, а відповідні карткові компанії були проінформовані про порушення, що допоможе мінімізувати ймовірність подальших проблем. Після того, як стало відомо про збільшення кількості доступних рахунків до 10 мільйонів, представник Dixons Carphone заявив BBC, що “дуже шкодує про завдані страждання”.

Компанія розслідує порушення з липня 2017 року, що вказує на значний розрив між виявленням проблеми безпеки та подальшим публічним оголошенням. Злом був виявлений під час перевірки систем і даних фірми, згідно з її заявою з цього приводу, і вона запевняє клієнтів, що діри в безпеці були закриті, і не було ніяких доказів подальшого шпигунства. Згодом компанія заявила, що додає нові заходи безпеки, а розслідування допомагає скласти кращу картину того, що сталося, і, ймовірно, виявило збільшення кількості облікових записів, до яких був наданий доступ.

Це не перший випадок, коли у групи виникають проблеми з безпекою. У 2015 році в результаті атаки на Carphone Warehouse були розкриті дані 2,4 мільйона клієнтів, а також платіжні дані 90 000 осіб. Згодом, у 2018 році Управління з питань інформаційних комісарів (ICO) оштрафувало компанію на 400 000 британських фунтів стерлінгів / 533 000 доларів США – один з найбільших штрафів, які воно накладало. Рітейлер Dixons об’єднався з Carphone Warehouse у 2014 році.

Тоді комісар ICO Елізабет Денхем заявила: “Така велика, добре забезпечена ресурсами і авторитетна компанія, як Carphone Warehouse, повинна була активно оцінювати свої системи безпеки даних і забезпечувати надійність систем і їхню невразливість до подібних атак”. Ми очікуємо, що агентство приділить значну увагу цьому другому, більш серйозному збою в системі безпеки компанії.

Оновлення від 31 липня: додано переглянуту кількість акаунтів, до яких був здійснений доступ, з 1,2 мільйона до 10 мільйонів

Рекомендації редакції

• Злом Uber – обурлива історія про підліткове хакерство заради розваги
• Google Play Store допомагає знаходити додатки, що втручаються у вашу приватність
• Які дитячі додатки збирають найбільше даних?
• Що з гібридним телефоном Astro Slide 5G?
• Як визначити, що ваш смартфон був зламаний

Source: digitaltrends.com