Mais de meio milhão de compradores tiveram os seus dados pessoais em risco após uma violação de segurança num fornecedor de TI.

Um problema de segurança não divulgado no provedor de serviços Fashion Nexus permitiu que um hacker tivesse acesso a um servidor que continha uma base de dados com informações sensíveis dos clientes.

O número de clientes afetados pelo investigador de segurança Graham Cluley foi 1,4 milhões, mas o Fashion Nexis veio dizer que foram muito menos os clientes impactactos por este incidente.

“There are 922k unique email addresses which of these, around 280k were captured by audit processes in brute force login attempts from external unrelated already-breached email lists,” it claimed in a statement.

“This leaves limits the exposure of our clients’ data to 642k customer records. The age of the data stores involved (as they were for test purposes) means that most of these customer records are between two and nine years old.”

 

Os dados expostos incluem endereços de e-mail, representações de palavras-passe, nomes, números de telefone e morada para apenas alguns clientes. A empresa esforçou-se por salientar que nenhum dado financeiro foi comprometido.

No entanto, os hackers podem fazer muito com dados não financeiros, explicou o vice-presidente de Segurança da NuData, Ryan Wilk.

“The personally identifiable information accessed can easily fuel synthetic identity fraud and identity theft. With these types of fraud, PII such as name, address, or date of birth is traded on the dark web to steal a real identity or construct an entirely new fraudulent one for theft,” he argued.

“NuData has seen a 100% increase in purchase attempts with flagged — suspicious — credit cards, which are often used under a fake account that has been created with stolen information.”

 

data_breach_matej_moderc

 

É extretamente importante que todos os utilizadores da AX Paris, Granted London, Jaded London, ElleBelle e Traffic People altererem os seus dados de acesso ao sistema (nomeadamente as suas passwords), disse a Fashion Nexus.

“Whilst DLSB (dlsb.co.uk) is named online, customer data was not taken from our server. The breach was quickly identified and the vulnerability removed. The ICO has been informed,” it added.

 

Como apontado por Cluley, a empresa não tem um certificado HTTPS no seu website, expondo-o potencialmente a um novo comprometimento futuro.