Niektórzy klienci Bunnings doświadczyli naruszenia bezpieczeństwa danych, które dotyczyło ponad 3 milionów kont za pośrednictwem systemu rezerwacji online FlexBooker, z którego korzystają firmy na całym świecie.
Jeden z klientów był niezadowolony, gdy dowiedział się ze strony internetowej innej firmy, Have I Been Pwned Not Bunnings, że jego dane zostały zabrane. Inni klienci powiedzieli w mediach społecznościowych, że byli również ofiarami naruszenia danych.
Klient, który nie chciał być wymieniany ze względów zawodowych, powiedział, że 6 stycznia otrzymał powiadomienie o naruszeniu w grudniu.
Bunnings FlexBooker używany do Kliknij i odbierz zamówienia, a klient używał go w październiku ubiegłego roku w okresie Pełne zamknięcie z powodu choroby koronawirusowej.
Czytaj więcej:
* Klient, który stracił 200 000 USD w oszustwie inwestycyjnym, nie próbuje zapłacić bankowi
* Policja wzywa społeczeństwo do zachowania czujności tego lata w obliczu rosnącej cyberprzestępczości i kradzieży
* Firmy zagrożone jako podatność zidentyfikowana w popularnym oprogramowaniu
Zaczął dostawać wiele fałszywych SMS-ów o paczkach i przypadkowego telefonu z USA i powiedział: „Spam przechodzący przez moją skrzynkę odbiorczą właśnie się skończył”.
„Fakt, że to są moje dane, które podałem im w jednym celu, a teraz są stracone, więc [it is] Bardzo frustrujące, ponieważ nie dbają o to, aby upewnić się, że dane są pod opieką, szczególnie w dzisiejszych czasach.
„Kiedy spojrzysz na Bunnings, można by pomyśleć, że wielu z ich klientów niekoniecznie musi być technicznymi tubylcami, więc odbierając taki telefon, mogą zostać oszukani”.
Kilka lat temu zapisał się do Czy zostałem pokonany i to był ich pierwszy alert.
Powiedział, że w wyniku włamania został zmuszony do zmiany adresu e-mail i zastanawia się, czy zmienić numer telefonu.
„Mój telefon po prostu gaśnie z powodu tych wiadomości tekstowych przez cały czas i w zasadzie boję się odblokować telefon teraz, ponieważ to jak, co teraz do mnie przyjdzie?”
Był również zaniepokojony tym, czy jego dane są teraz bezpieczne i czy był podatny na kradzież tożsamości.
Leah Palter, dyrektor ds. informacji w Bunnings, powiedziała, że firma wiedziała o naruszeniu bezpieczeństwa danych FlexBooker, które może obejmować dane od niektórych klientów, którzy zarezerwowali przedział czasowy za pośrednictwem usługi drive-and-collect.
„Informacje o klientach udostępniane za pośrednictwem tego zewnętrznego dostawcy ograniczają się wyłącznie do ich pełnego imienia i nazwiska oraz adresu e-mail” – napisano w oświadczeniu z piątku.
Klienci Bunnings nie są „zobowiązani” do wprowadzania za pośrednictwem tego dostawcy poufnych danych osobowych, takich jak hasła, numery telefonów komórkowych lub informacje o karcie kredytowej, więc jesteśmy pewni, że żadna z tych kategorii danych klientów nie została naruszona. „
Bunnings starał się lepiej zrozumieć od FlexBooker, w jaki sposób doszło do naruszenia bezpieczeństwa i jak duży był problem.
Sprzedawca „wkrótce” skontaktuje się z klientami, których dane mogły zostać udostępnione, i przekaże im więcej informacji.
Powiedziała, że Bunnings bardzo poważnie traktuje bezpieczeństwo danych osobowych swoich klientów i pracowników. Firma przeprowadzi dokładne dochodzenie w sprawie naruszenia danych.
E-mail od Have I Been Pwned do klienta powiedział, że FlexBooker doznał naruszenia danych w grudniu 2021 r., które ujawniło 3,7 miliona kont.
Dane obejmowały adresy e-mail, nazwiska, numery telefonów, niewielką liczbę kont, skróty haseł i częściowe dane karty kredytowej.
„FlexBooker zidentyfikował naruszenie jako pochodzące z przejętego konta w infrastrukturze AWS Web Services (Amazon Web Services)”.
W e-mailu stwierdzono, że dane zostały udostępnione na popularnym forum hakerskim.
FlexBooker nie wspomniał o naruszeniu danych na swojej stronie internetowej ani na Facebooku, ale Firma powiedziała w oświadczeniu Że jego konto na serwerach Amazon AWS zostało zhakowane, co uniemożliwiło mu obsługę kont klientów przez około 12 godzin i uniemożliwiło klientom dostęp do ich danych.
W ramach incydentu uzyskano również dostęp i pobrano systemowe przechowywanie danych.
Pobrane dane obejmowały nazwiska, adresy e-mail i numery telefonów, ale nie numery kart kredytowych ani innych numerów kart płatniczych. Firma powiedziała, że hasła klientów zawarte w danych były zaszyfrowane, a klucz szyfrowania nie był dostępny ani pobrany.
FlexBooker współpracował z Amazonem, aby „zachować bezpieczeństwo”.