Egy szexuális segédeszközöket gyártó vállalatnál történt adatvédelmi incidens hívta fel a figyelmet arra, milyen komoly kockázatot jelenthet akár egyetlen feltört e-mail-fiók is. A japán Tenga vállalat amerikai ügyfeleit értesítette arról, hogy illetéktelen hozzáférés történt, amely során ügyféladatok is veszélybe kerülhettek. Az eset különösen érzékeny, mivel a cég intim termékeket forgalmaz.
A társaság tájékoztatása szerint egy jogosulatlan személy hozzáfért egyik munkatárs szakmai e-mail-fiókjához, így a támadó elérhette a fiók teljes tartalmát. Ez magában foglalhatta az ügyfelek nevét, e-mail-címét, valamint a korábbi levelezéseket, amelyek tartalmazhatnak rendelési részleteket vagy esetleges ügyfélszolgálati megkereséseket.
Az értesítésből az is kiderül, hogy a feltört fiókból kéretlen üzeneteket küldtek a munkatárs kapcsolati listájára, köztük ügyfeleknek is. A vállalat hangsúlyozta, hogy jelenlegi ismereteik szerint bankkártyaadatok és áruházi jelszavak nem kerültek illetéktelen kezekbe.
Koichi Matsumoto, a Tenga feltalálója és ügyvezető igazgatója
A cég szóvivője elmondta, hogy a vizsgálat alapján az incidens az Egyesült Államokban körülbelül 600 embert érintett, továbbá hozzátette:
„Már proaktívan felvettük a kapcsolatot mindazokkal, akiket érinthetett az eset, hogy biztosítsuk a biztonságukat és útmutatást adjunk.”
Mivel a levelezések rendelési információkat és ügyfélszolgálati megkereséseket is tartalmazhattak, ezek az adatok különösen személyes jellegűek lehetnek. Egy ilyen adatbázis célzott adathalász támadások alapjául is szolgálhat a jövőben.
A Tenga az incidens után visszaállította az érintett fiók hozzáférési adatait, és rendszerszinten bevezette a többtényezős hitelesítést, amely megnehezíti a jelszóval történő visszaélést. Arra is kérte az ügyfeleket, hogy elővigyázatosságból változtassanak jelszót, és figyeljenek a gyanús üzenetekre – különösen, ha azok az érintett munkatárs nevében érkeznek.
A 2005-ben alapított, tokiói központú vállalat világszerte több mint 162 millió terméket értékesített. Nem világos, hogy az adatvédelmi incidens az Egyesült Államokon kívül más piacokat is érintett-e. A vállalat esete egy hosszabb sorba illeszkedik: az elmúlt években több, felnőtteknek szóló termékeket és szolgáltatásokat kínáló cég is hasonló támadás célpontjává vált.
Megjelent a BitcoinBázis oldalon.
