Утечка данных в 7-Eleven затронула 185 000 пользователей

Что произошло

Сеть магазинов у дома 7-Eleven, которую можно встретить почти на каждом углу, попала в новости, но не из-за своих напитков Slurpee. Компания признала, что ее популярное приложение для доставки 7NOW подверглось кибератаке, что привело к утечке данных, затронувшей около 185 000 пользователей. Объявление было сделано поздно вечером в пятницу — классический PR-ход, известный как «сброс новостей». Это очевидная попытка скрыть плохие новости в надежде, что за выходные о них забудут.

Точная хронология атаки остается неясной, но источники предполагают, что команда кибербезопасности компании впервые заметила подозрительную активность во вторую неделю мая. Это означает, что данные пользователей могли находиться в руках киберпреступников несколько недель. Затем компании потребовалось еще почти две недели, чтобы публично раскрыть информацию об инциденте. Такая задержка, несомненно, привлечет внимание регуляторов и, конечно же, вызовет гнев пользователей, чьи данные были украдены. В современном мире такие промедления непростительны. Люди хотят знать о риске для их личной информации немедленно, а не две недели спустя.

Какие данные были скомпрометированы

Итак, что именно унесли хакеры? Согласно заявлению компании и инсайдерской информации, злоумышленники получили доступ к весьма богатому набору данных. Это гораздо серьезнее, чем простая утечка списка адресов электронной почты. Вот разбивка скомпрометированной информации:

• Личные идентификаторы: Полные имена, адреса электронной почты и номера мобильных телефонов. Это трио — стартовый набор для любой фишинговой кампании.
• Физические адреса: Домашние и рабочие адреса, которые пользователи сохранили в приложении 7NOW. Это представляет не только цифровой, но и потенциальный физический риск.
• Даты рождения: Ключевая информация, используемая при краже личных данных.
• Хешированные пароли: Компания заявляет, что пароли были «хешированы». Это означает, что они не хранились в виде открытого текста, а были зашифрованы с помощью математического алгоритма. Хотя это звучит безопасно, эффективность полностью зависит от надежности алгоритма. Если использовался слабый алгоритм или у пользователей были простые пароли вроде «password123», их взлом — дело времени для злоумышленников.
• Частичная платежная информация: Последние четыре цифры кредитных карт, сроки их действия и тип карты (например, Visa, Mastercard). 7-Eleven поспешила отметить, что полные номера кредитных карт и CVV-коды не были скомпрометированы. Хотя это небольшое облегчение, даже эти частичные данные могут быть использованы мошенниками, чтобы сделать их атаки социальной инженерии более убедительными.
• История заказов: Детали о том, что и когда вы заказывали. Это может показаться безобидным, но мошенник может использовать это для создания очень правдоподобного поддельного электронного письма, например: «Возникла проблема с вашим недавним заказом Slurpee».

Как произошла атака

7-Eleven очень сдержанно комментирует детали атаки. Однако из кругов кибербезопасности доносятся слухи, что это была классическая компрометация стороннего поставщика. Похоже, злоумышленники сначала взломали партнера по маркетингу и аналитике данных, которого использовал 7-Eleven. У этого партнера был ключ API — своего рода цифровой ключ, — который предоставлял доступ к базе данных приложения 7NOW.

API позволяют различным программным системам взаимодействовать друг с другом. Если этот API плохо защищен или имеет избыточные разрешения, взлом партнера становится взломом основной компании. Цепь крепка настолько, насколько крепко ее самое слабое звено. Как только злоумышленники получили этот ключ, они смогли медленно выкачивать данные из базы данных в течение нескольких недель, оставаясь незамеченными. Этот тип инцидента, известный как атака на цепочку поставок, становится все более распространенным, о чем часто пишут Новости об утечках. Это еще одно суровое напоминание о том, что компании должны защищать не только свои собственные крепости, но и крепости всех, с кем они ведут бизнес.

Кто пострадал

Пострадать мог любой, кто использует или когда-либо использовал приложение для доставки 7NOW. Утечка, по-видимому, в основном затронула пользователей в Северной Америке и некоторых частях Азии. И вот важный момент: даже если вы удалили приложение с телефона, но официально не удалили свою учетную запись, ваши данные, скорее всего, все еще хранились на серверах 7-Eleven, что делает вас потенциальной жертвой. Удаление приложения — это не то же самое, что удаление учетной записи, деталь, которую многие пользователи упускают из виду. Компания заявляет, что уведомит 185 000 пострадавших пользователей напрямую по электронной почте. Но не теряйте бдительности в ожидании этого сообщения. Мошенники наверняка воспользуются этой возможностью, чтобы разослать свои собственные поддельные письма «Уведомление об утечке данных 7-Eleven».

Что вы можете сделать

Итак, что вам следует делать сейчас? Не паникуйте, но действуйте методично. Вот ваши следующие шаги:

1. Оцените свой риск: Сначала выясните, затронула ли вас эта утечка. Вам не нужно ждать письма от компании. Вы можете использовать надежный сервис для Поиск утечки данных, чтобы проверить свой адрес электронной почты. Эти платформы сканируют общедоступные базы данных утечек, чтобы сообщить вам, была ли скомпрометирована ваша информация.

2. Смените пароли, но с умом: Если вы использовали свой пароль от 7NOW на любом другом сайте (социальные сети, электронная почта, банковские приложения), вы совершили большую ошибку. Немедленно смените эти пароли. Киберпреступники практикуют «credential stuffing», когда они берут учетные данные из одной утечки и пробуют их на сотнях других сервисов. Это работает на удивление часто. Используйте уникальный, сложный пароль для каждой учетной записи. Менеджер паролей значительно облегчит эту задачу.

3. Остерегайтесь фишинга: Ваша электронная почта, номер телефона и даже история заказов теперь в открытом доступе. Это означает, что вы являетесь главной мишенью для очень персонализированных и убедительных фишинговых атак. Скептически относитесь к любым сообщениям с темами вроде «Получите свой бесплатный подарок от 7-Eleven» или «Проблема с вашим заказом». Не доверяйте никаким сообщениям, которые запрашивают вашу информацию или призывают вас перейти по ссылке. Помните, 7-Eleven никогда не будет запрашивать ваш пароль или полные данные кредитной карты по электронной почте.

4. Следите за своими финансами: Несмотря на то, что полные номера кредитных карт не утекли, стоит быть бдительным. Регулярно проверяйте выписки по своим банковским и кредитным картам. Если вы увидите какую-либо небольшую, незнакомую транзакцию, немедленно сообщите об этом в свой банк. Это может быть тестовый платеж перед гораздо более крупной мошеннической операцией.

Что говорит компания

Официальное заявление от 7-Eleven наполнено ожидаемым корпоративным жаргоном. Представитель компании сказал: «Безопасность и конфиденциальность наших клиентов — наш высший приоритет. Узнав об этом инциденте, мы предприняли немедленные действия для локализации ситуации и защиты наших пострадавших клиентов». Компания добавила, что предложит всем пострадавшим пользователям один год бесплатной защиты от кражи личных данных и услуг кредитного мониторинга. Однако детали о том, какие страны имеют право на эту услугу или как на нее записаться, до сих пор неясны. Это классический сценарий контроля ущерба. Обещания есть, но только время покажет, как быстро они превратятся в конкретную помощь для жертв.

Источник

https://www.securityweek.com/185000-likely-impacted-by-7-eleven-data-breach/