Az LVMH luxusmárkáit példátlan adatvédelmi bírsággal sújtották

Louis Vuitton: 3,6 millió ügyfél adatai kiszivárogtak

A Louis Vuittonnál egy dolgozó eszközét fertőzte meg kártevő, aminek következtében feltörték a szolgáltatásként bérelt szoftvert (SaaS), és 3,6 millió ügyfél adata került illetéktelen kezekbe. A Google kutatói a ShinyHunters nevű hackercsoporthoz kötik az incidenst, akik az LVMH rendszerét is feltörték. Az adatszivárgás többek között neveket, telefonszámokat, e-mail- és postacímeket, valamint vásárlási előzményeket érintett. A PIPC szerint a Vuitton 2013 óta használta ezt a rendszert, de sem IP-alapú hozzáférés-korlátozást, sem biztonságos hitelesítést nem alkalmazott, miközben a dolgozók külső eszközökről is beléphettek.

Dior és Tiffany is hasonló hibák miatt bukott le

A Diornál egy ügyfélszolgálati dolgozót vertek át adathalász e-maillel, így a támadó hozzáférést kapott a SaaS-rendszerhez, 1,95 millió ügyfél adata került ki. A Dior nem alkalmazott engedélyezési listákat, nem korlátozta a tömeges adatletöltéseket, és három hónapig észre sem vették a szivárgást. Ráadásul csak öt nap múlva jelentették az ügyet, miközben a törvény szerint 72 órán belül kellett volna. Ezért a Dior 9,4 millió dolláros (kb. 3,4 milliárd forintos) büntetést kapott.

A Tiffany hasonlóképpen hibázott: hangalapú adathalászattal jutottak be a támadók, bár itt csak 4600 ügyfél adata került nyilvánosságra. A Tiffany szintén nem vezette be az IP-alapú kontrollokat és az adatletöltési korlátokat, ráadásul késve értesítette az érintetteket. Emiatt 1,85 millió dollár (kb. 670 millió forint) bírságot szabtak ki rá.

A SaaS nem kibúvó a felelősség alól

A dél-koreai adatvédelmi hatóság hangsúlyozta: a SaaS-rendszerek használata nem mentesíti a cégeket az ügyféladatok biztonságos kezelése alól, és ezt a felelősséget nem lehet áthárítani a szolgáltatóra sem.

2025, adrienne, www.bleepingcomputer.com alapján