Mastodon
Zdjęcie okładkowe wpisu Wyciek danych klientów Lidla. To nie hasła są dziś największym problemem

Wyciek danych klientów Lidla. To nie hasła są dziś największym problemem

0
Dodane: 4 godziny temu

Bezpieczeństwo danych osobowych w handlu detalicznym to jeden z najbardziej palących problemów nowoczesnego rynku e-commerce. Lidl Polska rozpoczął wysyłanie oficjalnych powiadomień do części swoich klientów o incydencie bezpieczeństwa IT, do którego doszło u zewnętrznego dostawcy usług teleinformatycznych.

Choć sieć w oficjalnym komunikacie usilnie uspokaja, że hasła oraz dane kart płatniczych nie zostały naruszone, przejęty przez hakerów pakiet informacji i tak stanowi poważne zagrożenie dla konsumentów.

Dla nas, jako klientów, to jasny sygnał, że faza ochrony komputerowej za pomocą samych haseł dobiega końca. Wyciek danych kontaktowych otwiera bowiem drogę do skutecznych i spersonalizowanych oszustw telefonicznych.

Co dokładnie wpadło w ręce cyberprzestępców?

Lidl poinformował, że nieznani sprawcy zdołali uzyskać dostęp do odizolowanego pliku zawierającego dane klientów sklepu internetowego. Firma zareagowała natychmiast – systemy zostały zabezpieczone, złożono zawiadomienie o popełnieniu przestępstwa, a incydent trafił do Urzędu Ochrony Danych Osobowych (UODO).

Z oficjalnego oświadczenia wynika, że przejęty plik zawierał:

  • Imiona i nazwiska,
  • Numery telefonu,
  • Adresy e-mail,
  • Daty urodzenia,
  • Unikalne numery klienta w systemie.

Sieć handlowa stanowczo podkreśla, że incydent nie objął haseł, adresów dostawy ani danych płatniczych. Konta użytkowników i środki finansowe pozostają bezpieczne, a samo logowanie do usług nie zostało skompromitowane.

Dlaczego sam numer telefonu i data urodzenia to realne zagrożenie?

Większość użytkowników błędnie zakłada, że skoro hasła nie wyciekły, to nic się nie stało. W rzeczywistości skradziony pakiet informacji to idealne narzędzie do przeprowadzenia tzw. vishingu, czyli oszustw głosowych polegających na podszywaniu się pod pracowników infolinii.

Cyberprzestępcy nie potrzebują haseł, aby wyłudzić pieniądze. Dzwoniąc do losowej osoby z bazy i podając się za konsultanta, mogą uśpić jej czujność, recytując jej prawdziwe imię, nazwisko oraz dokładną datę urodzenia. Taki poziom personalizacji sprawia, że ofiara bez mrugnięcia okiem wierzy, iż rozmawia z oficjalnym przedstawicielem firmy, co ułatwia przestępcom wyłudzenie dostępów do kont bankowych lub kodów autoryzacyjnych pod pozorem „weryfikacji fikcyjnej awarii”.

Co z użytkownikami aplikacji Lidl Plus?

W kontekście tego wycieku pojawia się naturalne pytanie o aplikację mobilną Lidl Plus, z której korzystają miliony klientów sklepów stacjonarnych. Warto pamiętać, że sieć handlowa wykorzystuje jednolity system logowania Lidl ID, który technicznie spina profil e-sklepu z kartą lojalnościową w telefonie.

Na obecnym etapie nie ma publicznie dostępnych informacji potwierdzających, że wyciek objął użytkowników aplikacji stacjonarnej – Lidl wprost wskazuje na plik związany ze sklepem internetowym. Niemniej jednak, ze względu na architekturę systemu łączonego, posiadacze aplikacji Lidl Plus również powinni zachować wzmożoną ostrożność do czasu ujawnienia większej liczby szczegółów technicznych. Kluczem do bezpieczeństwa pozostaje zasada ograniczonego zaufania wobec nagłych telefonów z prośbą o podanie jakichkolwiek haseł lub klikanie w linki przesyłane w wiadomościach SMS.

Według Prossera wina w sprawie wycieku Liquid Glass leży po stronie Ramacciottiego

Zapraszamy do dalszej dyskusji na Mastodonie lub Twitterze .