أكدت Marks and Spencer (M&S) أن بيانات العميل قد سُرقت أثناء هجوم الفدية في عيد الفصح Dragonforce على البنية التحتية للخادم الخاصة بها وسوف تدفع جميع العملاء عبر الإنترنت إلى إعادة تعيين كلمات مرور الحساب الخاصة بهم كخطوة احترازية.
تكشف الهجوم قبل ثلاثة أسابيع ويعتقد أنه كان عمل شركة تابعة لـ Dragonforce ذات العلامات البيضاء- ربما تكون عملية العنكبوت المبعثرة سيئة السمعة، والتي تستخدم تكتيكات الهندسة الاجتماعية لإجراء تدخلاتها.
من المفهوم أن الشريحة المسروقة للبيانات تتضمن تفاصيل الاتصال عناوين البريد الإلكتروني والعناوين البريدية وأرقام الهواتف ؛ المعلومات الشخصية بما في ذلك أسماء وتواريخ الميلاد ؛ وبيانات عن تفاعلات العملاء مع السلسلة ، بما في ذلك تاريخ الطلبات عبر الإنترنت ، ومعلومات المنزلية ، وتفاصيل بطاقة الدفع “المقنعة”.
وأضافت M&S أن أرقام مرجع العميل ، ولكن ليس معلومات الدفع ، التي تنتمي إلى حاملي بطاقات الائتمان M&S أو بطاقات دفع سباركس – بما في ذلك حاملي البطاقات السابقين – قد تم أخذها أيضًا.
“لقد كتبنا للعملاء اليوم لإعلامهم أنه لسوء الحظ ، تم أخذ بعض معلومات العملاء الشخصية” ، قال كبير M&S Exec Stuart Machin.
“من المهم عدم وجود دليل على أن المعلومات قد تمت مشاركتها ولا تتضمن تفاصيل بطاقة أو دفع قابلة للاستخدام ، أو كلمات مرور الحساب ، لذلك ليست هناك حاجة للعملاء لاتخاذ أي إجراء.”
وأضاف Machin: “لإعطاء العملاء راحة البال ، سيُطلب منهم إعادة تعيين كلمة المرور الخاصة بهم في المرة القادمة التي يزورون فيها أو تسجيل الدخول إلى حساب M&S الخاص بهم ، وقد شاركنا معلومات حول كيفية البقاء آمنًا عبر الإنترنت.
“يعمل كل شخص في M&S على مدار الساعة لاستعادة الأمور إلى طبيعتها لعملائنا في أسرع وقت ممكن ، ونحن آسفون جدًا لأي إزعاج تعرضوا له. تظل متاجرنا مفتوحة كما كانت طوال الوقت.”
رسالة إلى العملاء من مدير عمليات خدمة العملاء Jayne Wall – التي يمكن مراجعتها هنا – يتضمن أيضًا إرشادات قياسية إضافية حول كيفية البقاء آمنة عبر الإنترنت.
Nordvpn وصف كبير موظفي التكنولوجيا ، ماريجوس بريديس ، تأكيد M&S بأن المهاجمين لم يسربوا بعد أو شاركوا في البيانات المسروقة كانت “متفائلة بشكل مفرط” في ظل الظروف وحذرت من أنه حتى إذا لم يتم كشف كلمات المرور أو تفاصيل بطاقة الائتمان ، فإن البيانات التي تم اتخاذها لا تزال مفيدة للغاية للمجرمين عبر الإنترنت.
“يمكن استخدام هذا النوع من البيانات في حملات التصيد أو جنبا إلى جنب مع المعلومات الأخرى التي تم تسريبها لارتكاب سرقة الهوية” ، أوضح بريس.
“غالبًا ما يقلل المستهلكون من مدى إدمان البيانات” غير الضارة “مثل سجل الطلب أو عناوين البريد الإلكتروني في أيدها الخطأ. يمكن لهذه المتسللين M&S استخدام هذه البيانات لبناء رسائل بريد إلكتروني للتصيد الخزالية عالية التخصيص ، المصممة لتبدو متطابقة مع ما سيرسله بائع التجزئة ، وهؤلاء يصعب تحديده.
“يسلط هذا الخرق الضوء على كيفية عدم تأمين الشركات فقط ، ولكن أيضًا معاملة المعلومات الأقل حساسية – مثل ملفات تعريف العملاء وسجلات الشراء – كأصول مهمة تتطلب الحماية.”
ماكس فيتر ، نائب رئيس Cyber في غامرة ومحقق سابق في غسل الأموال مع شرطة العاصمة في لندن ، كان لديه أيضًا كلمات قاسية لـ M&S.
وقال: “إن M&S قائلين إن العملاء يمكنهم تغيير كلمات مرورهم” من أجل راحة البال الإضافية “لا يفعل الكثير لطمأنة من القلق بشأن من لديه إمكانية الوصول إلى معلوماتهم الشخصية”. “مع استمرار تداعيات هذا الهجوم ، يريد العملاء تأكيدات واضحة حول بياناتهم الشخصية وما تفعله M&S للحفاظ على سلامته من النشر عبر الإنترنت.
“تريد M&S الظهور في السيطرة وإخبار الناس بأن يكونوا أكثر يقظة ، ومع ذلك ، إخبار العملاء بأنه لا توجد حاجة إلى تصرف المخاطر ، فمن المحتمل أن تكون الرسالة الخاطئة. نوصي جميع العملاء بإعادة ضبط كلمة المرور الخاصة بهم.
وأكدت Zetter من جديد أن البيانات المسروقة ستكون مادة رئيسية لهندسة الهندسة الاجتماعية وهجمات التصيد في اتجاه مجرى النهر ، خاصة إذا كانت في أيدي العنكبوت المتناثر الذي ، “غالبًا ما يلعب لعبة طويلة”.
تكافح التعاون مع الإمدادات
وفي الوقت نفسه ، يستمر تعطيل هجوم Dragonforce الموازي على التعاون ، حيث ذكرت بي بي سي اليوم أن المتاجر في جزر القنوات تعاني من نقص حاد بشكل خاص وهي الآن العمل مع الموردين المحليين للحفاظ على بعض الإمدادات.
في أجزاء أخرى من المملكة المتحدة ، بما في ذلك هيبريدس في اسكتلندا ، يتنافس السكان بالمثل مع تعطيل التسليم. في العديد من الجزر ، مثل مركز صنع الويسكي Islay، حيث تكون متاجر التعاونية هي متاجر التجزئة الغذائية الكبيرة الوحيدة التي تعمل ، ويمتد هذا النقص الآن إلى مورد الفواكه والخضروات الطازجة.
التعاون أكد أيضًا أن البيانات قد سُرقت، بما في ذلك الأسماء وتواريخ الميلاد ومعلومات الاتصال ، ولكن ليس كلمات المرور أو التفاصيل المالية أو أي معلومات عن عادات التسوق للأعضاء أو التفاعلات الأخرى مع المؤسسة.
