A Canada Goose adatbotránya: 600 ezer ügyfél adatai kerültek ki

A ShinyHunters nevű hírhedt zsarolócsoport állítása szerint több mint 600 ezer Canada Goose-vásárló személyes és fizetési adatai kerültek illetéktelen kezekbe. Bár a vállalat jelenleg tagadja, hogy saját rendszereibe betörtek volna, a kiszivárgott adatok a korábbi évek online tranzakcióiból származnak. Az 1957-ben alapított, Torontóban működő Canada Goose luxus télikabátmárka világszerte ismert, csaknem 4000 dolgozóval.

Ismeretlen eredetű gigászi adatszivárgás

A közel 1,67 GB-os adathalmaz részletes rendelési adatokat tartalmaz: a vásárlók neveit, e-mail-címeit, telefonszámait, számlázási és szállítási címeit, IP-címeit és rendelési előzményeit. Részleges bankkártyaadatok is szerepelnek benne – mint például a kártyamárka, a szám utolsó négy, néhol első hat számjegye, valamint fizetési azonosítók. Bár a teljes kártyaszámok nem szerepelnek benne, ezek az információk is tökéletesen alkalmasak célzott adathalászathoz, csaláshoz vagy a leggazdagabb vásárlók beazonosításához.

Az adatszivárgás háttere

A hackercsoport tagadja, hogy a jelenlegi SSO (egyszeri bejelentkezés) támadáshullámhoz bármi közük lenne. Szerintük az adatok egy külső fizetési szolgáltató feltöréséből származnak, mégpedig egy 2025 augusztusi incidensből. A rendelések exportjainak mezőelnevezései is harmadik fél által működtetett fizetési platformra utalnak, ami a vállalaton kívül történt feltörést valószínűsíti.

Kik a ShinyHunters?

A ShinyHunters egy hírhedt zsarolóhacker-csoport, amely rengeteg hasonló adatlopásban vett már részt, főleg webáruházak, SaaS-szolgáltatók és felhőalapú rendszerek ellen indított támadásokkal. Általában pénzt zsarolnak ki, az adatokat pedig vagy eladják, vagy szabadon közzéteszik, ha nem sikerül pénzhez jutni. Még nem tudni, hány Canada Goose-vásárlót érint az eset, és hogy az érintetteket közvetlenül értesítik-e. A cég még vizsgálja az adatok valódiságát és terjedelmét.

2025, adrienne, www.bleepingcomputer.com alapján

Share on Social Media