Глобалният моден търговец Mango обяви, че е станал жертва на пробив в сигурността, причинен от външна маркетингова услуга, и че част от клиентските данни са били достъпени от хакери. Уведомлението за инцидента е датирано на 14 октомври.

Компанията, базирана в Барселона, заяви, че „веднага след установяване на ситуацията“ е активирала всички протоколи за сигурност и е уведомила Испанската агенция за защита на данните (AEPD) и съответните власти.

„Нашите бизнес операции не са засегнати и пробивът при външния доставчик не е засегнал корпоративните системи на Mango,“ уточниха от компанията.

Ограничен достъп до лични данни

Според уведомлението, компрометираната информация е ограничена и включва единствено контактни данни, използвани за маркетингови кампании:

• собствено име;

• държава;

• пощенски код;

• имейл адрес;

• телефонен номер.

Mango уверява клиентите си, че банкови данни, номера на кредитни карти, документи за самоличност и пароли не са засегнати.

Компанията е предприела уведомяването като предпазна мярка и призовава всички клиенти да останат внимателни към подозрителни имейли или телефонни обаждания, които могат да изискват необичайни действия.

Възможни „вторични“ фишинг атаки

Експерти по киберсигурност предупреждават, че такива пробиви често водят до „втора вълна“ фишинг атаки, при които нападателите използват изтеклите имена, имейли и телефони, за да изпращат измамни съобщения.

„Макар Mango да е реагирала бързо и ефективно, клиентите не трябва да понижават своята бдителност,“ коментира Пийт Любан, полеви CISO в AttackIQ.
Той добавя, че запазването на банковата информация и паролите непокътнати показва, че Mango има солидни защити, но социалното инженерство остава сериозен риск.

Контекст: растящ риск за модната индустрия

Според Любан, Mango вероятно е приложила поуки от предишни атаки срещу британски търговци като Harrods, Marks & Spencer и Co-op. При инцидента с Harrods по време на Великденските празници, например, бяха засегнати над 430 000 клиента.

Вълната от атаки през последните месеци се свързва с групите ShinyHunters и Scattered Spider, които вече са поразили и компании като Kering – собственик на Gucci, Balenciaga, и Alexander McQueen.

Клиентите трябва да бъдат внимателни

Специалистите съветват потребителите да се запознаят с често срещаните фишинг техники – включително smishing (измамни SMS-и) и vishing (телефонни измами) – и да не отварят линкове или прикачени файлове, освен ако не са сигурни в източника.

Mango поднесе извинения на своите клиенти за причиненото неудобство и благодари за доверието и лоялността им. Компанията предоставя и имейл и телефон за контакт на всички, които имат въпроси относно инцидента.