Giriş
Güney Kore, lüks moda markaları Louis Vuitton, Christian Dior ve Tiffany’ye, yetersiz güvenlik önlemleri nedeniyle 25 milyon dolar ceza verdi. Bu durum, 5.5 milyondan fazla müşterinin kişisel verilerinin ifşasına neden oldu ve siber güvenlikte zafiyetlerin ciddiyetini bir kez daha gündeme getirdi.
Saldırı Nasıl Çalışıyor?
Veri ihlalleri, üç markanın bulut tabanlı müşteri yönetim sistemine sızan kötü niyetli hackerler tarafından gerçekleştirildi. Güney Kore’deki Kişisel Bilgi Koruma Komisyonu (PIPC), Louis Vuitton’un durumunda bir çalışanın cihazının kötü amaçlı yazılım ile enfekte olduğunu ve bu durumun 3.6 milyon müşterinin verilerinin ifşasına yol açtığını bildirdi.
Hack saldırılarının ShinyHunters çetesi tarafından gerçekleştirildiğine dair kanıtlar bulundu. Bu çete, Salesforce platformlarına yönelik saldırılarla tanınıyor.
Etkilenen Sistemler
Üç markanın veri ihlalleri sonucunda müşterilere ait hassas bilgiler açığa çıktı. İhlal edilen veriler arasında:
- İsimler
- Telefon numaraları
- E-posta adresleri
- Posta adresleri
- Alışveriş geçmişleri
Louis Vuitton, SaaS aracını 2013 yılından bu yana kullanmasına rağmen, Internet Protocol (IP) adreslerine erişim izinlerini kısıtlamadı ve kişisel bilgi yöneticileri dışarıdan erişim sağladığında güvenli kimlik doğrulama yöntemleri uygulamadı.
Dior, 2020’den beri kullandığı sistemde, bir müşteri hizmetleri çalışanına yönelik yapılan bir phishing saldırısıyla 1.95 milyon müşterinin verilerine erişim sağlandı. Dior, ihlali bildirmekte gecikerek 9.4 milyon dolar ceza aldı.
Tiffany ise benzer bir yöntemle saldırıya uğradı ve saldırganlar, sesli phishing kullanarak müşteri hizmetleri çalışanını kandırdı. Bu saldırıda 4,600 müşterinin verileri açığa çıktı ve Tiffany’ye 1.85 milyon dolar ceza kesildi.
Çözüm ve Korunma
PIPC, bu olayların ardından şirketlerin SaaS çözümleri ile birlikte müşteri verilerini güvenli bir şekilde yönetme sorumluluğunun devam ettiğini vurguladı. Alınması gereken önlemler şunlardır:
- Güvenlik Duvarları ve Erişim Kontrolü: IP tabanlı erişim kontrolleri uygulayın.
- Kimlik Doğrulama: Güvenli kimlik doğrulama yöntemlerini aktif hale getirin.
- Veri İzleme: Erişim kayıtlarını düzenli olarak denetleyin ve analiz edin.
- İhlal Bildirimi: Kişisel bilgi sızıntılarında, 72 saat içinde ilgili otoritelere bildirimde bulunun.
Sonuç
Müşteri verilerini korumak için hemen güncellemeler yapın ve güvenlik önlemlerinizi gözden geçirin. Erişim kontrol listelerinizi oluşturun ve kullanılan SaaS sistemlerinin güvenliğini sağlamak adına gerekli adımları atın. Unutmayın, veri ihlalleri sadece maddi kayıplara değil, aynı zamanda marka itibarının zedelenmesine de yol açar.
