A Dixons Carphone descobriu um “acesso não autorizado” a certos dados mantidos pela empresa. A organização iniciou imediatamente uma investigação e contratou uma empresa externa de segurança para indagar o caso.
A empresa informou imediatamente o ataque à polícia, aos reguladores no Gabinete do Comissário da Informação e à Autoridade de Conduta Financeira.
“As part of a review of our systems and data, we have determined that there has been unauthorised access to certain data held by the company.” reads the data breach notification published by the company.
“Our investigation is ongoing and currently indicates that there was an attempt to compromise 5.9 million cards in one of the processing systems of Currys PC World and Dixons Travel stores. However, 5.8m of these cards have chip and pin protection. The data accessed in respect of these cards contains neither pin codes, card verification values (CVV) nor any authentication data enabling cardholder identification or a purchase to be made. “
Ver o comunicado neste endereço.
A empresa explicou que não existem provas até o momento de qualquer abuso dos dados como resultado do hack. A má notícia para os clientes é que as informações comprometidas incluíam dados do cartão de pagamento.
A Dixons Travel confirmou que os hackers podiam ter acedido a 5,9 milhões de cartões armazenados em um dos sistemas de processamento das lojas Currys PC World e Dixons Travel. A empresa destacou ainda que 5,8 milhões desses cartões possuem chip e proteção PIN; neste caso, os criminosos podem ter acesso aos dados do cartão sem códigos PIN, valores de verificação de cartão (CVV) o que lhes confere todas as condições para efetuar compras online.
Foram comprometidos aproximadamente 105.000 cartões de pagamento emitidos fora da UE e que não usavam chip e PIN de proteção.
A empresa notificou todas as empresas de cartões de crédito comprometidas através de seu provedor de pagamento.
“Separately, our investigation has also found that 1.2m records containing non-financial personal data, such as name, address or email address, have been accessed. We have no evidence that this information has left our systems or has resulted in any fraud at this stage. We are contacting those whose non-financial personal data was accessed to inform them, to apologise, and to give them advice on any protective steps they should take.” added the company.
Já não é novidade este tipo de acontecimentos para a empresa. Em 2015, outro incidente deixou os detalhes do cartão de crédito de 90.000 clientes da Dixons Carphone expostos na Internet.
Aconselham-se os utilizadores afetados a terem especial atenção a campanhas de phishing que possam usar os seus dados pessoais.