A loja de departamentos britânica de luxo Harvey Nichols está escrevendo aos clientes para confirmar que alguns de seus dados foram expostos em um ataque cibernético recente.
Os clientes já receberam, ou devem receber, cartas esta semana com detalhes do incidente, que expuseram seu nome, empresa (se fornecido), número de telefone, bem como e-mail e endereço residencial.
Informações altamente sensíveis como senhas e acredita-se que as informações financeiras não sejam afetadas.
Compreensivelmente, um bando de clientes não está feliz.
A Harvey Nichols disse que tomou conhecimento da violação em 16 de setembro, mas não informou quando os invasores entraram na rede pela primeira vez.
O Registro pediu ao varejista mais informações sobre este e outros aspectos do caso, incluindo se havia ransomware envolvido e quantas pessoas foram afetadas, mas não obteve resposta a tempo para publicação.
Também perguntamos por que era tão difícil encontrar informações sobre a invasão por meio de seus canais oficiais. Depois de alguma busca no site da Harvey Nichols, não conseguimos localizar um link para informações sobre o ataque digital, apesar de ele ter sido espalhado por todas as mídias sociais.
Fazendo alusão a uma potencial vulnerabilidade, o documento enviado aos clientes afirma: “O problema que permitiu o sucesso do ataque foi resolvido, então nosso sistema está novamente totalmente seguro, e contratamos especialistas para garantir que ele continue assim.”
Poucos outros detalhes sobre o caso foram comunicados aos afetados, além de repetidos avisos para que estivessem cientes do potencial dos dados expostos serem usados em ataques direcionados. ataques de phishing.
“Seus dados pessoais foram expostos, então, embora não tenhamos conhecimento de que eles foram usados indevidamente de alguma forma, ainda há uma possibilidade de que seus dados possam ser usados para enganá-lo”, acrescenta a notificação. “Embora nenhum dado financeiro ou de senha tenha sido exposto, você deve estar atento ao risco de fraudadores usarem seus detalhes de contato (por exemplo, telefone, endereço de e-mail) para tentar obter informações mais confidenciais de você.
“Em particular, você deve ficar atento a e-mails de phishing ou e-mails que pareçam suspeitos (por exemplo, e-mails que você recebe e não esperava). Você também deve ficar de olho em qualquer atividade fraudulenta em todas as suas contas. Se você receber SMS/textos suspeitos, sempre os encaminhe para 7726. Não importa qual operadora de celular você use, esse número é usado no Reino Unido para denunciar spam.”
O serviço 7726 do Reino Unido é operado pela divisão Cloudmark da loja de segurança Proofpoint e a maioria das principais operadoras de rede móvel estão inscritas no serviço, permitindo que os usuários relatem chamadas e mensagens indesejadas.
Em teclados alfanuméricos de telefone, 7726 significa SPAM, então é fácil de lembrar. O serviço tem existe há mais de uma década.
No que parece ser uma raridade para notificações de violação hoje em dia, a Harvey Nichols pede desculpas explicitamente aos indivíduos afetados. Diz na carta: “Lamentamos muito o inconveniente causado nesta ocasião. Mas fique tranquilo, levamos os dados de nossos clientes extremamente a sério.
“Tomamos medidas imediatas para proteger todos os dados (com o apoio de um especialista em segurança cibernética) para garantir que nossos processos e sistemas permaneçam o mais seguros possível no futuro.”
A carta acrescenta que o site e o aplicativo de fidelidade do varejista são submetidos a “testes 360 completos” uma vez por ano ou antes de qualquer mudança importante em qualquer plataforma. A Harvey Nichols contrata diferentes empresas terceirizadas para executar varreduras de segurança semanais e mensais para validar os pipelines de desenvolvimento de seus parceiros.
O Reg perguntou ao Information Commissioner’s Office (ICO) e à National Crime Agency (NCA) se eles foram informados sobre o incidente. A NCA nos disse que não.
Um porta-voz do ICO nos disse: “Harvey Nichols nos informou sobre um incidente e estamos acessando as informações fornecidas.” ®
