به گزارش کارگروه حملات سایبری سایبریان؛ براساس گزارشها، دادههای شخصی اعضای اصلی و مهم «OG»، شرکت مهم خردهفروشی سنگاپور در آخرین نقض اطلاعات به خطر افتاده است.
چندی پیش این شرکت در بیانیهای خطاب به اعضای خود گفت که پایگاه داده نقض شده حاوی اطلاعات شخصی اعضای آسیبدیده بهوسیله یک ارائه دهنده خدمات پورتال عضویت شخص ثالث خارجی ذخیره و مدیریت شده است.
دادههای احتمالاً در معرض خطر شامل نام اعضا، آدرسهای پستی، آدرس ایمیل، شماره تلفن، جنسیت، تاریخ تولد، شمارههای کارت شناسایی ملی و همچنین رمزهای عبور هش شده رمزنگاری شده حسابهای اعضا هستند.
OG مدعی شد که نقض دادهها محدود به یک پایگاه داده مجزا از اعضای خود است و بر خریدهای گذشته یا آینده انجام شده در این شرکت یا فروشگاه آنلاین آن تأثیری ندارد.
از زمانی که خردهفروش سنگاپوری از این حادثه سایبری مطلع شد، از ارائهدهنده خدمات خود خواست تا اقدامات فوری برای مدیریت و رفع نقض و اطمینان از ایمن بودن پایگاه داده را انجام دهد.
در بیانیه شرکت آمده است : «مدیریت OG اکنون از نزدیک با مشاوران و مقامات ما برای تقویت پادمانها، سیستمها و فرآیند ما همکاری میکند.»
این حادثه به پلیس و سایر مقامات مربوطه سنگاپور از جمله کمیسیون حفاظت از دادههای شخصی و آژانس امنیت سایبری سنگاپور گزارش شد.
در عین حال، خردهفروش به اعضای آسیبدیده توصیه کرد که مراقب تلاشهای فیشینگ یا جعل هویت باشند.
شرکت اظهار داشت :
«برای اعضایی که از رمزعبور عضویت OG خود در وبسایتها یا پلتفرمهای مختلف مجدداً استفاده کردهاند، توصیه میکنیم فوراً گذرواژههای خود را تغییر دهید تا از به خطر افتادن سایر حسابهای شما جلوگیری شود. همچنین بهتر است اقدامات امنیتی بیشتری را مانند احراز هویت چند عاملی در صورت پشتیبانی فعال کنید.»
جفری کوک (Jeffrey Kok)، معاون مهندسین راهحل در «CyberArk» در منطقه آسیا-اقیانوسیه و ژاپن، ادعا کرد که مجرمان سایبری معمولاً سوابق دادههای شخصی را به مجرمان دیگری میفروشند که از این دادهها برای انجام حملات فیشینگ، کلاهبرداری، مهندسی اجتماعی و سایر کمپینها استفاده میکنند. علاوه بر این، مقدار باج افزایش یافته و همین امر باعث میشود که حتی در اختیار داشتن چنین اطلاعات محرمانهای برای مجرمان قانعکنندهتر باشند.
وی افزود که چشمانداز فعلی فرصتهایی را برای مهاجمان ایجاد کرده تا از آنها استفاده کنند و خردهفروشان و سایر مشاغل باید به طور فعال اطمینان حاصل کنند که حسابهای امتیازی قدرتمند را ایمن میکنند و اطلاعات حساس مشتری را ایمن نگه میدارند.
کوک خاطرنشان کرد که مهاجمانی که به حسابهای دارای امتیاز دسترسی پیدا میکنند، میتوانند به طور بالقوه امتیازات را بالا ببرند و به طور جانبی در سراسر شبکه حرکت کنند تا اهداف خود را که میتواند به اندازه تصاحب کامل شبکه جدی باشد، انجام دهند.
او از سازمانها خواست تا «Singpass»، سیستم ملی هویت دیجیتال و احراز هویت سنگاپور را بررسی کنند تا کاربران بتوانند به جای مدیریت مجموعهای از نامهای کاربری و رمزهای عبور برای سایتهای دیگر، با اعتبار Singpass خود وارد شوند.
وی افزود :
«علاوه بر این، کسبوکارهایی که با فروشندگان شخص ثالث کار میکنند میتوانند ممیزیهای مستقل، تیم قرمز و تست نفوذ را در نظر بگیرند تا اطمینان حاصل کنند که فروشندگان شخص ثالث از سختگیری، دقت لازم، کنترلهای امنیتی و حاکمیت مورد انتظار برخوردار هستند.»
