Lüks devlerine 25 milyon dolar ceza: Dior, Louis Vuitton ve Tiffany'nin verileri çalındı

Lüks markalar dev veri ihlali nedeniyle ağır cezaya çarptırıldı

Güney Kore'nin kişisel verileri koruma kurumu, LVMH grubuna ait üç lüks markaya toplam 36 milyar Kore wonu (yaklaşık 25 milyon dolar) para cezası verdi. Louis Vuitton, Dior ve Tiffany'nin siber güvenlik önlemlerindeki eksiklikler nedeniyle milyonlarca kullanıcının kişisel verisinin çalındığı bildirildi.

Ne oldu?

Güney Kore Kişisel Bilgi Koruma Komisyonu'nun (PIPC) yaptığı incelemelere göre, ihlaller geçen yıl Salesforce müşterilerini hedef alan geniş çaplı bir siber saldırı kampanyasının parçası olarak gerçekleşti. Scattered LAPSUS$ Hunters adlı gasp grubu, Salesforce sistemlerine sosyal mühendislik yöntemleriyle sızarak milyonlarca kullanıcı kaydını ele geçirdi. Saldırılar, Salesforce'un altyapısındaki veya ürünlerindeki güvenlik açıklarından değil, insan faktöründen kaynaklandı.

Markaların aldığı cezalar ihlallerin boyutuna göre belirlendi:

• Louis Vuitton: Yaklaşık 15 milyon dolar ceza aldı. Çalışan cihazlarına kötü amaçlı yazılım bulaşması sonucu yaklaşık 3.6 milyon kişinin bilgileri ifşa oldu.
• Dior: 8.4 milyon doların üzerinde ceza aldı. Bir çalışanın sesli kimlik avı (voice phishing) tuzağına düşmesi sonucu 1.95 milyon kişinin verileri sızdırıldı.
• Tiffany: 1.6 milyon dolar ceza aldı. Yine bir sesli kimlik avı saldırısı sonucu yaklaşık 4 bin 600 kişinin bilgileri çalındı.

Kimler etkilendi?

Bu veri ihlallerinden etkilenen gruplar şöyle:

• Louis Vuitton müşterileri: Yaklaşık 3.6 milyon kişinin kişisel verileri
• Dior müşterileri: Yaklaşık 1.95 milyon kişinin kişisel verileri
• Tiffany müşterileri: Yaklaşık 4 bin 600 kişinin kişisel verileri
• LVMH grubu: Üç markası ağır para cezaları ve itibar kaybıyla karşı karşıya
• Salesforce kullanan diğer kurumlar: Benzer sosyal mühendislik saldırılarına karşı teyakkıza geçti

Neden önemli?

Bu olay, dünyanın en büyük lüks ürün şirketlerinden birinin bile siber güvenlik konusunda ne kadar kırılgan olabileceğini gösteriyor. Saldırıların teknik açıklardan değil, çalışanların kimlik avı tuzaklarına düşmesiyle gerçekleşmesi, insan faktörünün siber güvenliğin en zayıf halkası olmaya devam ettiğini ortaya koyuyor. Ayrıca, Scattered LAPSUS$ Hunters grubunun Salesforce gibi popüler bir iş platformunu hedef alması, kurumsal yazılımların da artık doğrudan hedef tahtasında olduğunu gösteriyor. Güney Kore'nin veri koruma kurumunun bu kadar yüksek cezalar vermesi, ülkedeki sıkı veri gizliliği yasalarının bir yansıması olarak değerlendiriliyor.

Bu olaydan sonra ne yapılmalı?

Eğer bu markalardan alışveriş yaptıysanız veya genel bir önlem almak istiyorsanız, atabileceğiniz adımlar bulunuyor. İlk olarak, kullandığınız e-posta adresinizi ve şifrelerinizi güvenli hale getirin. Özellikle aynı şifreyi birden fazla platformda kullanıyorsanız, bu alışkanlığınızı değiştirin. Kurumsal olarak, çalışanlarınızı düzenli siber güvenlik farkındalık eğitimlerinden geçirin ve kimlik avı simülasyonlarıyla test edin.

Kullanıcılar nasıl önlem almalı?

Şifrelerinizi değiştirin: Özellikle bu markalarla ilişkili hesaplarınızda kullandığınız şifreleri hemen yenileyin. Her platform için farklı ve güçlü şifreler kullanın.

İki faktörlü doğrulamayı aktifleştirin: Tüm çevrimiçi hesaplarınızda iki faktörlü kimlik doğrulamayı (2FA) etkinleştirin. Mümkünse SMS yerine kimlik doğrulama uygulamalarını tercih edin.

Sesli aramalara karşı dikkatli olun: Sesli kimlik avı (vishing) saldırıları giderek yaygınlaşıyor. Size resmi kurumlardan veya tanıdığınız markalardan geldiğini söyleyen kişilere kişisel bilgilerinizi vermeyin. Şüpheli durumlarda aramayı sonlandırıp resmi müşteri hizmetlerini arayarak teyit edin.

Hesap hareketlerinizi izleyin: Banka hesap özetlerinizde ve kredi kartı ekstrelerinizde şüpheli işlemlere karşı dikkatli olun. Tanımadığınız bir işlem fark ederseniz hemen bankanızla iletişime geçin.

E-posta ve mesajlardaki bağlantılara dikkat edin: Size gönderilen e-postalardaki veya SMS'lerdeki bağlantılara tıklamadan önce gönderici adresini kontrol edin. Şüpheli görünen hiçbir bağlantıya tıklamayın.

Kaynak: SecurityWeek