Reading Time: 2 minutes

Mais um dia, mais uma nova violação. Desta fez foi a Dixons Carphone que divulgou uma violação de segurança que envolveu 5,9 milhões de cartões de pagamento e 1,2 milhões de registos de dados pessoais.

A Dixons Carphone descobriu um “acesso não autorizado” a certos dados mantidos pela empresa. A organização iniciou imediatamente uma investigação e contratou uma empresa externa de segurança para indagar o caso.

A empresa informou imediatamente o ataque à polícia, aos reguladores no Gabinete do Comissário da Informação e à Autoridade de Conduta Financeira.

“As part of a review of our systems and data, we have determined that there has been unauthorised access to certain data held by the company.” reads the data breach notification published by the company.

“Our investigation is ongoing and currently indicates that there was an attempt to compromise 5.9 million cards in one of the processing systems of Currys PC World and Dixons Travel stores. However, 5.8m of these cards have chip and pin protection. The data accessed in respect of these cards contains neither pin codes, card verification values (CVV) nor any authentication data enabling cardholder identification or a purchase to be made. “

Dixons Carphone

Ver o comunicado neste endereço.

 

A empresa explicou que não existem provas até o momento de qualquer abuso dos dados como resultado do hack. A má notícia para os clientes é que as informações comprometidas incluíam dados do cartão de pagamento.

A Dixons Travel confirmou que os hackers podiam ter acedido a 5,9 milhões de cartões armazenados em um dos sistemas de processamento das lojas Currys PC World e Dixons Travel. A empresa destacou ainda que 5,8 milhões desses cartões possuem chip e proteção PIN; neste caso, os criminosos podem ter acesso aos dados do cartão sem códigos PIN, valores de verificação de cartão (CVV) o que lhes confere todas as condições para efetuar compras online.

Foram comprometidos aproximadamente 105.000 cartões de pagamento emitidos fora da UE e que não usavam  chip e PIN de proteção.

A empresa notificou todas as empresas de cartões de crédito comprometidas através de seu provedor de pagamento.

“Separately, our investigation has also found that 1.2m records containing non-financial personal data, such as name, address or email address, have been accessed. We have no evidence that this information has left our systems or has resulted in any fraud at this stage. We are contacting those whose non-financial personal data was accessed to inform them, to apologise, and to give them advice on any protective steps they should take.” added the company.

 

Já não é novidade este tipo de acontecimentos para a empresa. Em 2015, outro incidente deixou os detalhes do cartão de crédito de 90.000 clientes da Dixons Carphone expostos na Internet.

Aconselham-se os utilizadores afetados a terem especial atenção a campanhas de phishing que possam usar os seus dados pessoais.

Pedro Tavares is a professional in the field of information security, working as an Ethical Hacker, Malware Analyst, Cybersecurity Analyst and also a Security Evangelist. He is also a founding member and Pentester at CSIRT.UBI and founder of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, hacking, cybersecurity, IoT and security in computer networks.  He is also Freelance Writer.

Read more here.