Крупная утечка данных затронула миллионы клиентов европейского маркетплейса. Французская компания ManoMano, специализирующаяся на товарах для дома и ремонта, подтвердила факт масштабного инцидента, связанного с кибербезопасностью. В результате атаки конфиденциальная информация около 38 миллионов пользователей оказалась в открытом доступе в даркнете.
По данным исследователей, утечка включает имена, фамилии, адреса электронной почты, хеши паролей и номера телефонов клиентов. Эксперты предполагают, что злоумышленники могли получить доступ к внутренним системам компании, использовав недавно обнаруженную уязвимость в одном из программных компонентов. Это позволило им загрузить вредоносное ПО для сбора данных.
Пока нет свидетельств, что атака была совершена с использованием ransomware (программы-вымогателя). Вместо этого злоумышленники, вероятно, применили целенаправленный эксплойт для скрытого доступа и кражи информации. Также не исключен сценарий, при котором утечка стала результатом успешной фишинг-атаки на сотрудников компании, отвечающих за IT-безопасность.
Особую озабоченность вызывает тот факт, что часть украденных данных, как сообщается, уже выставлена на продажу на теневых форумах. Это создает прямую угрозу для клиентов, которые могут столкнуться с целевым мошенничеством и спамом. Компания ManoMano уже уведомила регуляторов о произошедшем и начала рассылку предупреждений пострадавшим пользователям.
В своем официальном заявлении представители маркетплейса подчеркнули, что финансовые данные, включая реквизиты банковских карт, не были скомпрометированы, так как хранятся в зашифрованном виде у сторонних платежных провайдеров. Тем не менее, сам масштаб утечки личной информации является тревожным сигналом для всего рынка электронной коммерции.
Некоторые аналитики видят в этом инциденте повод для более активного внедрения передовых технологий защиты. В частности, обсуждается потенциал блокчейн-решений для безопасного хранения и верификации пользовательских данных без создания централизованных уязвимых баз. Однако подобные проекты требуют значительных инвестиций и времени на реализацию.
Пока же пользователям, чьи данные могли быть украдены, рекомендуется немедленно сменить пароли на платформе ManoMano и на всех других сайтах, где использовались аналогичные комбинации. Также необходимо проявлять повышенную бдительность к любым подозрительным письмам и сообщениям, маскирующимся под официальные коммуникации от компаний.
Данный инцидент стал одним из самых громких в Европе за последний год и вновь актуализировал вопросы ответственности бизнеса за защиту цифровых активов клиентов. Вопрос о возможных штрафах со стороны регуляторов, в частности в соответствии с Общим регламентом по защите данных (GDPR), остается открытым.
