Όπως αποκάλυψαν οι χάκερς, πελάτες ξόδευαν έως και 86.000 δολάρια σε είδη πολυτελείας
Χάκερς «χτύπησαν» τρεις από τους μεγαλύτερους οίκους μόδας στον κόσμο και κατόρθωσαν να υποκλέψουν προσωπικά δεδομένα εκατομμυρίων πελατών των Gucci, Balenciaga και Alexander McQueen.
Τα δεδομένα που εκλάπησαν από τους κυβερνοεγκληματίες περιλαμβάνουν ονόματα, διευθύνσεις email, αριθμούς τηλεφώνου, ταχυδρομικές διευθύνσεις, καθώς και το συνολικό ποσό που δαπανήθηκε από κάθε πελάτη στα καταστήματα πολυτελείας παγκοσμίως.
Η Kering, μητρική εταιρεία των συγκεκριμένων οίκων μόδας, επιβεβαίωσε την παραβίαση και ανέφερε ότι έχει ενημερώσει τις αρμόδιες αρχές προστασίας δεδομένων. Διευκρίνισε ότι δεν εκλάπησαν οικονομικά στοιχεία, όπως δεδομένα τραπεζικών καρτών.
Η εταιρεία ανέφερε επίσης πως έχει αποστείλει email στους πελάτες που επηρεάστηκαν από την παραβίαση, χωρίς ωστόσο να διευκρινίσει τον ακριβή αριθμό των ατόμων. Δεν έχει πραγματοποιήσει δημόσια δήλωση για το περιστατικό, κάτι που δεν είναι υποχρεωμένη να κάνει, εφόσον όσοι έχουν επηρεαστεί, ενημερώθηκαν κατ’ ιδίαν.
Η ομάδα χάκερς πίσω από την επίθεση αυτοαποκαλούνται «Shiny Hunters», όπως αναφέρει το BBC. Ισχυρίζονται ότι έχουν στην κατοχή τους δεδομένα που αντιστοιχούν σε 7,4 εκατομμύρια μοναδικές διευθύνσεις email, γεγονός που οδηγεί στο συμπέρασμα ότι αντίστοιχος είναι και ο αριθμός των θυμάτων.
Μεταξύ των πληροφοριών που διέρρευσαν περιλαμβάνεται και η κατηγορία «Συνολικές Πωλήσεις», η οποία αποκαλύπτει το ποσό που έχει ξοδέψει κάθε πελάτης ανά εμπορικό σήμα. Στο δείγμα που αναλύθηκε από το BBC, ορισμένοι πελάτες είχαν δαπανήσει πάνω από 10.000 δολάρια, ενώ κάποιοι ξεπερνούσαν τις 30.000 έως και 86.000 δολάρια.
Οι πληροφορίες αυτές θεωρούνται ιδιαίτερα ανησυχητικές για τα θύματα, καθώς θα μπορούσαν να τα καταστήσουν στόχο επιθέσεων ή εξαπάτησης, εάν οι χάκερς αποφασίσουν να διαρρεύσουν περαιτέρω τα δεδομένα.
Oι Shiny Hunters φέρεται να εισέβαλαν στα συστήματα της Kering τον Απρίλιο. Σύμφωνα με τους ισχυρισμούς τους, ήρθαν σε επαφή με τη γαλλική εταιρεία στις αρχές Ιουνίου και έκτοτε βρίσκονται σε συνεχή διαπραγμάτευση για καταβολή λύτρων σε Bitcoin.
Η Kering δήλωσε ότι αρνήθηκε να πληρώσει, σύμφωνα με τις πάγιες συστάσεις των αρχών επιβολής του νόμου.
«Τον Ιούνιο, εντοπίσαμε ότι ένα μη εξουσιοδοτημένο τρίτο μέρος απέκτησε προσωρινή πρόσβαση στα συστήματά μας και υπέκλεψε περιορισμένα δεδομένα πελατών από ορισμένους από τους Οίκους μας. Δεν εμπλέκονταν στο περιστατικό οικονομικά στοιχεία – όπως αριθμοί τραπεζικών λογαριασμών, στοιχεία πιστωτικών καρτών ή αριθμοί ταυτοποίησης που έχουν εκδοθεί από την κυβέρνηση», δήλωσε εκπρόσωπος της εταιρείας.
Το περιστατικό σημειώθηκε σε περίοδο αυξημένων κυβερνοεπιθέσεων κατά εταιρειών πολυτελείας, μεταξύ των οποίων οι Cartier και Louis Vuitton, που επίσης είχαν αποκαλύψει παραβιάσεις δεδομένων.
Τον Ιούνιο, ειδικοί κυβερνοασφάλειας της Google προειδοποίησαν για αυξανόμενες επιθέσεις που αποδίδονται στη συγκεκριμένη ομάδα, με θύμα στη συνέχεια και τον ίδιο τον τεχνολογικό κολοσσό.
Οι χάκερ είναι γνωστοί στη Google με την κωδική ονομασία UNC6040 και εφαρμόζουν μεθόδους κοινωνικής μηχανικής για να αποσπάσουν τα στοιχεία σύνδεσης υπαλλήλων, με στόχο την πρόσβαση σε εσωτερικά συστήματα, όπως το Salesforce.