Σε μια τεράστια παραβίαση δεδομένων που αφορά τη δημοφιλή εταιρεία αθλητικών ειδών Under Armour, κλάπηκαν τα στοιχεία 72 εκατομμυρίων πελατών, όπως αναφέρει η βάση δεδομένων Have I Been Pwned.
Τα κλεμμένα δεδομένα περιλαμβάνουν ονόματα, διευθύνσεις κατοικίας και ιστορικό παραγγελιών. Η Under Armour δεν έχει αντιδράσει ακόμη επισήμως για τη διαρροή.
Σύμφωνα με το Have I Been Pwned, τα κλεμμένα δεδομένα δημοσιεύτηκαν σε φόρουμ που χρησιμοποιούν χάκερς.
Οι πληροφορίες φέρεται να προέρχονται από παραβίαση των συστημάτων της αμερικανικής εταιρείας, η οποία έχει έντονη δραστηριότητα και στην Ευρώπη.
Τον Νοέμβριο, η ομάδα χάκερ πίσω από το Everest ransomware ισχυρίστηκε ότι είχε κλέψει 343GB δεδομένων από την Under Armour.
Εκβιασμός και δημοσίευση στοιχείων
Η ομάδα φαίνεται να δημοσίευσε τα δεδομένα τώρα, επειδή η Under Armour αρνήθηκε να πληρώσει τα λύτρα που ζητήθηκαν.
Σύμφωνα με το Have I Been Pwned, στα δημοσιευμένα αρχεία περιλαμβάνονται, μεταξύ άλλων, 72 εκατομμύρια διευθύνσεις email. Από αυτές, το 76% βρισκόταν ήδη στη βάση δεδομένων της ιστοσελίδας από παλαιότερες διαρροές.
Ωστόσο, για πολλούς πελάτες κλάπηκαν και πιο ευαίσθητα δεδομένα, όπως:
- Ονοματεπώνυμο
- Ημερομηνία γέννησης
- Διεύθυνση κατοικίας
- Ιστορικό αγορών (τι προϊόντα αγόρασαν)
Νομικές συνέπειες και οικονομικά στοιχεία
Η Under Armour βρίσκεται ήδη αντιμέτωπη με ομαδική αγωγή που κατατέθηκε πέρυσι από πελάτη στο Τέξας, αμέσως μετά την ανακοίνωση της συμμορίας ransomware για την παραβίαση, όπως αναφέρει το Bloomberg.
Η καταγγελία ισχυρίζεται ότι η Under Armour απέτυχε να προστατεύσει επαρκώς τις ιδιωτικές πληροφορίες και ότι δεν φρόντισε «ούτε καν να κρυπτογραφήσει ή να διαγράψει» εξαιρετικά ευαίσθητα δεδομένα.
Η Under Armour, η οποία ιδρύθηκε το 1996 από τον πρώην παίκτη αμερικανικού ποδοσφαίρου του Πανεπιστημίου του Maryland, Kevin Plank, κατασκευάζει ανδρικά, γυναικεία και παιδικά αθλητικά ρούχα.
Τα προϊόντα της πωλούνται σε περίπου 15.000 καταστήματα λιανικής παγκοσμίως σε εκατομμύρια πελάτες. Τα έσοδα της εταιρείας για το 2025 αναφέρονται στα 5,1 δισεκατομμύρια δολάρια.
Τι σημαίνει αυτό για εσένα και πως να προστατευτείς
Η διαρροή δεδομένων τέτοιου μεγέθους από έναν κολοσσό όπως η Under Armour δεν είναι απλώς μια είδηση τεχνολογίας, αλλά ένα γεγονός που επηρεάζει την ψηφιακή ασφάλεια εκατομμυρίων ανθρώπων.
Ακόμη κι αν δεν είσαι σίγουρος αν έχεις επηρεαστεί, είναι κρίσιμο να κατανοήσεις τους κινδύνους που προκύπτουν όταν διαρρέουν στοιχεία όπως το ιστορικό αγορών και οι διευθύνσεις.
Ο κίνδυνος του στοχευμένου Phishing (Spear Phishing)
Το πιο επικίνδυνο στοιχείο αυτής της διαρροής δεν είναι απαραίτητα τα emails, αλλά ο συνδυασμός τους με το ιστορικό παραγγελιών. Όταν ένας χάκερ γνωρίζει τι ακριβώς αγόρασες, πότε και πού μένεις, μπορεί να δημιουργήσει εξαιρετικά πειστικά μηνύματα εξαπάτησης.
Για παράδειγμα, θα μπορούσες να λάβεις ένα email που μοιάζει να προέρχεται από την Under Armour ή μια εταιρεία courier, το οποίο να αναφέρει: “Υπήρξε πρόβλημα με την παράδοση των παπουτσιών [Συγκεκριμένο Μοντέλο] στη διεύθυνση [Η Διεύθυνση σου]. Πατήστε εδώ για επαναπρογραμματισμό”. Επειδή οι πληροφορίες είναι αληθινές, είναι πολύ πιθανό να πατήσεις τον κακόβουλο σύνδεσμο.
Τι πρέπει να κάνεις άμεσα
Αν έχεις λογαριασμό στην Under Armour ή έχεις κάνει αγορές στο παρελθόν, ακολούθησε τα παρακάτω βήματα:
- Άλλαξε κωδικό πρόσβασης: Μην περιμένεις επίσημη ενημέρωση. Άλλαξε τον κωδικό σου στο site της Under Armour άμεσα. Αν χρησιμοποιείς τον ίδιο κωδικό και σε άλλες υπηρεσίες (π.χ. στο email σου ή στα social media), άλλαξέ τον και εκεί αμέσως.
- Έλεγξε το Have I Been Pwned: Επισκέψου την ιστοσελίδα www.haveibeenpwned.com και πληκτρολόγησε το email σου για να δεις αν συμπεριλαμβάνεσαι στη λίστα της διαρροής.
- Ενεργοποίησε τον έλεγχο ταυτότητας δύο παραγόντων (2FA): Όπου είναι διαθέσιμο, το 2FA προσφέρει ένα επιπλέον επίπεδο ασφαλείας που δεν μπορεί να παρακαμφθεί εύκολα, ακόμη και αν κλαπεί ο κωδικός σου.
Η ευθύνη των εταιρειών και η κρυπτογράφηση
Η περίπτωση της Under Armour φέρνει ξανά στο προσκήνιο τη συζήτηση για την κρυπτογράφηση δεδομένων (encryption).
Οι αγωγές που αναφέρονται στο κείμενο εστιάζουν στο ότι τα δεδομένα ήταν πιθανότατα αποθηκευμένα σε μορφή απλού κειμένου (plain text) ή με ελλιπή προστασία.
Στην εποχή του GDPR και των αυστηρών κανονισμών κυβερνοασφάλειας, είναι αδιανόητο για εταιρείες με τζίρο δισεκατομμυρίων να μην κρυπτογραφούν τα ευαίσθητα προσωπικά δεδομένα των πελατών τους.
Ένα κρυπτογραφημένο αρχείο, ακόμη και αν κλαπεί, είναι άχρηστο για τους χάκερς χωρίς το κλειδί αποκρυπτογράφησης.
Το περιστατικό αυτό υπενθυμίζει ότι ως καταναλωτές πρέπει να είμαστε προσεκτικοί με το πού δίνουμε τα δεδομένα μας και, όπου είναι δυνατόν, να χρησιμοποιούμε επιλογές πληρωμής (όπως PayPal ή Apple Pay/Google Pay) που δεν αποκαλύπτουν τα στοιχεία της κάρτας μας απευθείας στον έμπορο, και να κάνουμε αγορές ως “Guest” (Επισκέπτης) για να μην αποθηκεύονται μόνιμα τα στοιχεία μας.
