Marks & Spencer felfedte, hogy néhány személyes ügyféladatokat loptak el a közelmúltban kibertámadás, amely tartalmazhat telefonszámok, lakcímek és születési dátumok.

A High Street-i óriás közölte, hogy az ellopott személyes adatok között online rendelési előzmények is lehetnek, de hozzátette, hogy az adatlopás nem tartalmazott használható fizetési vagy kártyaadatokat, illetve semmilyen számlajelszót.

Az M&S-t három héttel ezelőtt érte a kibertámadás, és jelenleg is küzd a szolgáltatások helyreállításáért, az online rendelések még mindig szünetelnek.

A kiskereskedő közölte, hogy a vásárlókat felszólítják a fiókjelszavak visszaállítására “az extra nyugalom érdekében”.

Az M&S vezérigazgatója, Stuart Machin elmondta, hogy a vállalat levélben tájékoztatja a vásárlókat, hogy “sajnos néhány személyes ügyféladatot elvittek”.

“Fontos, hogy nincs bizonyíték arra, hogy az információkat megosztották volna” – tette hozzá.

Ugyanakkor úgy tudjuk, hogy a hackerek az M&S zsarolási kísérleteik részeként még megoszthatják vagy továbbadhatják az ellopott adatokat, ami továbbra is a személyazonossági csalás kockázatát jelenti.

A kiskereskedő nem árulta el, hogy hány vásárlójának adatait lopták el, de közölte, hogy e-mailben tájékoztatta a weboldal minden felhasználóját, jelentette az esetet az illetékes hatóságoknak, és a kiberbiztonsági szakértőkkel együttműködve figyelemmel kíséri a fejleményeket.

A vállalat legutóbbi teljes éves eredményei szerint a március 30-ig tartó évben mintegy 9,4 millió aktív online vásárlója volt.

Machin úr elmondta, hogy az M&S “éjjel-nappal dolgozik azon, hogy a lehető leggyorsabban helyreálljon a rend”.

Az M&S megerősítette, hogy az ellopott elérhetőségek közé tartozhatnak:

• név
• születési dátum
• telefonszám
• lakcím
• háztartási adatok
• e-mail cím
• online rendelési előzmények

A kiskereskedő hozzátette, hogy az elvett kártyaadatokat nem lehet felhasználni, mivel nem tárolja rendszereiben a kártyás fizetés teljes körű adatait.

Az M&S azt mondta, hogy az embereknek nem kell semmilyen intézkedést tenniük, de azt is mondta:

• a felhasználóknak vissza kell állítaniuk jelszavukat az online fiókjukhoz.
• az ügyfeleknek óvatosnak kell lenniük, mivel “kaphatnak olyan e-maileket, hívásokat vagy sms-eket, amelyek azt állítják, hogy az M&S-től származnak, pedig nem azok”.
• Az M&S soha nem lép kapcsolatba Önnel, és nem kér személyes számlainformációkat, például felhasználóneveket vagy jelszavakat.

Lisa Barber, a Which? fogyasztói csoport technológiai szerkesztője szerint aggasztó, hogy a bűnözők olyan információkhoz jutottak hozzá, amelyeket személyazonossági csalásra használhattak fel.

“Mindig jó ötlet, ha a lehető leghamarabb megváltoztatjuk a jelszavunkat, ha biztonsági rés történt, és biztosítjuk, hogy az új jelszó egyedi legyen minden más online fiókhoz képest” – mondta.

Matt Hull, az NCC Group kiberbiztonsági vállalat fenyegetéselemzési vezetője szerint a személyes adatokat ellopó támadók “nagyon meggyőző átverésekhez” használhatják azokat.

“Ha bizonytalan egy e-mail hitelességében, ne kattintson semmilyen linkre. Ehelyett látogasson el közvetlenül a vállalat weboldalára, hogy ellenőrizze az állításokat”.”

A problémák az M&S-nél a húsvéti hétvégén kezdődtek, amikor az ügyfelek problémákat jelentettek a Click & Collect és az érintés nélküli fizetésekkel kapcsolatban az üzletekben.

A vállalat megerősítette, hogy “kiberincidenssel” van dolga, és míg az üzletekben a szolgáltatások újraindultak, addig a weboldalán és az alkalmazásban az online rendelések április 25. óta szünetelnek.

Arról egyelőre nincs hír, hogy az online rendelések mikor indulnak újra.

Az M&S bejelentése, miszerint a folyamatban lévő kibertámadás részeként ellopták a vásárlói adatokat, a támadás jellege miatt várható volt.

A támadás mögött álló hackerek, akik nemrég a Co-op és a Harrods cégeket is célba vették, a DragonForce kiberbűnözési szolgáltatást használták a támadások végrehajtásához.

A DragonForce a darkneten működtet egy kiberbűnözési szolgáltatást, amelynek segítségével bárki használhatja rosszindulatú szoftverüket és weboldalukat támadások és zsarolások végrehajtásához.

A csoportról ismert, hogy kettős zsarolási módszert alkalmaz, ami azt jelenti, hogy ellopják az áldozatuk adatainak egy másolatát, valamint megkódolják azokat, hogy használhatatlanná tegyék.

Ezután gyakorlatilag váltságdíjat kérhetnek mind az adatok visszafejtéséért, mind a másolat törléséért.

Ha azonban a feltört személy vagy vállalkozás nem akar váltságdíjat fizetni, a bűnözők bizonyos esetekben elkezdhetik kiszivárogtatni az ellopott adatokat más kiberbűnözőknek, akik további támadásokat hajthatnak végre további érzékeny adatok megszerzése érdekében.

Jelenleg a DragonForce darknet weboldalán nincsenek bejegyzések az M&S-ről.

Jackie Naghten, egy üzleti tanácsadó, aki nagy kiskereskedőkkel, köztük az M&S, az Arcadia és a Debenhams cégekkel dolgozott együtt, azt mondta a BBC-nek, hogy az M&S hierarchiája “nagyon komolyan” veszi az adatvédelmi incidenst, de figyelmeztetett, hogy a modern logisztika a kiskereskedelemben “rendkívül összetett”.

“Úgy érzem, hogy szárazon tartják a puskaporukat. Ha nincs semmi pozitív mondanivalójuk, akkor nem mondanak semmit” – mondta.

Naghten asszony azt mondta, hogy a vásárlók összességében nagy támogatást és szimpátiát mutatnak a kiskereskedő felé.

Hozzátette azonban, hogy az M&S-nek valószínűleg “még egy hetet” kell várnia arra, hogy tájékoztatást adjon arról, mikor indulhat újra a normál szolgáltatás.

“Ez egy vagyonba kerül nekik” – mondta a BBC-nek.

Az M&S részvényei az elmúlt hónapban mintegy 12%-ot estek.