Στο στόχαστρο των cybercriminals μπήκαν μερικά από τα πιο πολυτελή brands μόδας παγκοσμίως: Balenciaga, Gucci και Alexander McQueen. Οι χάκερς κατάφεραν να αποσπάσουν προσωπικά στοιχεία εκατομμυρίων πελατών, από ονόματα και e-mail μέχρι διευθύνσεις και… πόσα χρήματα ξόδεψαν στα καταστήματα των κορυφαίων οίκων.
Η επίθεση και οι πρώτες αντιδράσεις
Ο όμιλος Kering, μητρική εταιρεία των τριών brands, επιβεβαίωσε την επίθεση, διευκρινίζοντας ότι δεν έχουν υποκλαπεί τραπεζικά δεδομένα ή στοιχεία καρτών. Ωστόσο, η διαρροή των ποσών που δαπάνησαν οι πελάτες – με μερικούς να έχουν ξοδέψει άνω των 80.000 δολαρίων – εγείρει σοβαρές ανησυχίες για πιθανές στοχευμένες απάτες σε «μεγαλοκαταναλωτές».
Η εταιρεία φέρεται να έχει ενημερώσει μεμονωμένα τους πελάτες που επηρεάστηκαν, χωρίς όμως να έχει προβεί σε δημόσια ανακοίνωση ή να αποκαλύψει τον ακριβή αριθμό των θυμάτων. Νομικά, άλλωστε, δεν είναι υποχρεωμένη να το κάνει, εφόσον υπήρξε ατομική ειδοποίηση.
Ποιοι κρύβονται πίσω από την επίθεση
Την ευθύνη της επίθεσης ,όπως μεταδίδει το BBC, ανέλαβε η ομάδα Shiny Hunters, γνωστή για προηγούμενες επιθέσεις υψηλού προφίλ. Μέσω Telegram, δήλωσαν ότι εισέβαλαν στα συστήματα της Kering τον Απρίλιο, αποκτώντας πρόσβαση σε 7,4 εκατομμύρια μοναδικά email.
Μάλιστα, οι χάκερς υποστηρίζουν πως είχαν επαφές με την Kering για την καταβολή λύτρων σε Bitcoin, κάτι που η εταιρεία διαψεύδει κατηγορηματικά. Η ίδια αναφέρει ότι δεν έχει μπει σε καμία διαπραγμάτευση και ακολουθεί τις οδηγίες των αρχών να μη διαπραγματεύεται με εγκληματίες.
Kίνδυνος για νέες επιθέσεις
Αυτό που προβληματίζει τους ειδικούς είναι ότι τα στοιχεία που εκλάπησαν και ειδικά τα ποσά αγορών μπορούν να χρησιμοποιηθούν σε στοχευμένες απόπειρες εξαπάτησης: phishing emails, ψεύτικα τηλεφωνήματα από «τράπεζες» και άλλα σενάρια κοινωνικής μηχανικής.
Εθνική Υπηρεσία Κυβερνοασφάλειας συνιστά στους χρήστες που ενδέχεται να έχουν πληγεί:
Να αλλάξουν τους κωδικούς πρόσβασης τους άμεσα.
Να ενεργοποιήσουν πιστοποίηση δύο παραγόντων (2FA) όπου είναι δυνατόν.
Να μην ανταποκρίνονται σε ύποπτα email ή κλήσεις που ζητούν προσωπικά δεδομένα.
Στο μικροσκόπιο και άλλοι οίκοι πολυτελείας
Η επίθεση αυτή έρχεται να προστεθεί σε μια σειρά από χακαρίσματα που έχουν δεχτεί πολυτελή brands φέτος, όπως οι Cartier και Louis Vuitton, με τους ερευνητές να μην αποκλείουν κοινή προέλευση. Η Google, άλλωστε, είχε προειδοποιήσει ήδη από τον Ιούνιο για δραστηριότητα των Shiny Hunters, των οποίων ήταν και η ίδια στόχος.
