WebTech Rodos: Φαίνεται ότι η αναφερόμενη παραβίαση στην εταιρεία λιανικής πώλησης Hot Topic είναι πραγματική, σύμφωνα με μια εταιρεία προστασίας προσωπικών δεδομένων που απέκτησε αντίγραφο της κλεμμένης βάσης δεδομένων της εταιρείας από τον χάκερ που την πουλάει.
Σε κάποια καλά νέα, η βάση δεδομένων των 730 GB δεν περιέχει στοιχεία πελατών για 350 εκατομμύρια χρήστες, όπως καυχιόταν προηγουμένως ο χάκερ. Παρόλα αυτά, κατέχει μοναδικές διευθύνσεις ηλεκτρονικού ταχυδρομείου για 54 εκατομμύρια χρήστες, σύμφωνα με την Atlas Privacy, η οποία αναλύει τις κλεμμένες πληροφορίες.
Η άλλη ανησυχητική ανακάλυψη είναι ότι η βάση δεδομένων περιέχει λεπτομέρειες για 25 εκατομμύρια αριθμούς πιστωτικών καρτών, οι οποίοι έχουν κρυπτογραφηθεί μόνο «μερικώς», καθιστώντας δυνατή την αποκρυπτογράφηση των δεδομένων, συμπεριλαμβανομένων των αριθμών ημερομηνίας λήξης τους, δήλωσε η Atlas Privacy στο PCMag σε συνέντευξή της.
«Είναι πολύ πιθανό να αποκρυπτογραφήσουμε το σύνολο μέσα στις επόμενες ημέρες», δήλωσε ο Arnaud de Saint Méloir, μηχανικός λογισμικού και ερευνητής της Atlas. Το εύρημα υποδηλώνει επίσης ότι η Hot Topic αποθήκευε τα στοιχεία των πιστωτικών καρτών χρησιμοποιώντας τα δικά της ξεπερασμένα πρωτόκολλα ασφαλείας, αντί να βασίζεται σε έναν πιο ασφαλή τρίτο πάροχο.
(Credit: Atlas Privacy)
Η κλεμμένη βάση δεδομένων φαίνεται να είναι νόμιμη επειδή περιέχει πολλές νέες διευθύνσεις ηλεκτρονικού ταχυδρομείου που δεν έχει συναντήσει ξανά η Atlas Privacy. «Τουλάχιστον πάνω από το 50% είναι ολοκαίνουργια emails», δήλωσε ο de Saint Méloir.
Η Atlas, η οποία βοηθά τους ανθρώπους να αφαιρούν τα προσωπικά τους στοιχεία στο διαδίκτυο, παρατήρησε επίσης ότι χιλιάδες πληροφορίες των ίδιων των πελατών της βρίσκονταν στο σύνολο των αρχείων. «Πιστεύουμε ότι η παραβίαση είναι 100% αυθεντική», πρόσθεσε ο επικεφαλής στρατηγικής της Atlas Privacy, Zack Ganot.
Εκτός από τις διευθύνσεις ηλεκτρονικού ταχυδρομείου, η κλεμμένη βάση δεδομένων περιέχει επίσης πλήρη ονόματα, αριθμούς τηλεφώνου και γενέθλια για πάνω από 20 εκατομμύρια χρήστες, καθώς και διευθύνσεις κατοικίας για 10 εκατομμύρια πελάτες. Σε λάθος χέρια, οι πληροφορίες θα μπορούσαν να χρησιμοποιηθούν για απάτες κλοπής ταυτότητας.
Ωστόσο, τα δεδομένα εκτείνονται από το 2011 έως τις 19 Οκτωβρίου 2024. Έτσι, ορισμένες από τις εκτεθειμένες πληροφορίες μπορεί να είναι άχρηστες. Σε απάντηση, η Atlas Privacy δημιούργησε έναν ιστότοπο στη διεύθυνση Databreach.com για να βοηθήσει τους χρήστες να μάθουν αν έχουν επηρεαστεί. Πληκτρολογήστε τη διεύθυνση ηλεκτρονικού ταχυδρομείου, τον αριθμό τηλεφώνου, το ονοματεπώνυμο ή τη διεύθυνσή σας για να δείτε αν οι πληροφορίες εμφανίζονται στην κλεμμένη βάση δεδομένων.
Κανένα ευαίσθητο δεδομένο δεν μεταδίδεται ποτέ στους διακομιστές της Atlas ούτε αποθηκεύεται – αντίθετα, ο ιστότοπος θα κάνει hash την αναζητούμενη διεύθυνση ηλεκτρονικού ταχυδρομείου ή τον αριθμό τηλεφώνου, δημιουργώντας ουσιαστικά ένα δακτυλικό αποτύπωμα που μπορεί να συγκριθεί με το αντίγραφο της κλεμμένης βάσης δεδομένων της Atlas Privacy.
Η Hot Topic δεν απάντησε σε αίτημα για σχόλια. Φαίνεται όμως ότι η εταιρεία έχει συλλέξει τα προσωπικά στοιχεία εκατομμυρίων χρηστών μέσω του προγράμματος επιβράβευσης, το οποίο απαιτεί μια διεύθυνση ηλεκτρονικού ταχυδρομείου και έναν αριθμό τηλεφώνου κατά την εγγραφή.
Τον περασμένο μήνα, η εταιρεία κυβερνοασφάλειας Hudson Rock προειδοποίησε αρχικά το κοινό για την παραβίαση, αφού ένας χάκερ με το όνομα «Satanic» ή «Dark X» προσπάθησε να πουλήσει τη βάση δεδομένων για 20.000 δολάρια σε ένα διαδικτυακό φόρουμ. Η ίδια βάση δεδομένων υποτίθεται ότι περιέχει επίσης στοιχεία πελατών που ελήφθησαν από τις δύο άλλες συνεργαζόμενες μάρκες της Hot Topic, την BoxLunch και την Torrid.
Η Hudson Rock προσθέτει ότι ο χάκερ προφανώς έκλεψε τα δεδομένα αποκαλύπτοντας τα διαπιστευτήρια σύνδεσης για τη βάση δεδομένων της Hot Topic, αφού μια τρίτη εταιρεία ανάλυσης λιανικής πώλησης, η Robling, μολύνθηκε με κακόβουλο λογισμικό. Η Robling δεν ανταποκρίθηκε αμέσως σε αίτημα για σχολιασμό.
Ο Dark X συνεχίζει να πουλάει πρόσβαση στη βάση δεδομένων, αλλά τώρα έχει ρίξει την τιμή στα $4.000.
πηγή: pcmag.com