A rede varejista canadense Giant Tiger divulgou um incidente de data breach em março de 2024.
Um threat actor agora reivindicou publicamente a responsabilidade pelo data breach e vazou 2,8 milhões de registros em um fórum de hackers, os quais afirma serem de clientes da Giant Tiger.
O serviço de monitoramento de data breach, HaveIBeenPwned, adicionou o banco de dados vazado ao seu site para facilitar a verificação pelos usuários se suas informações foram comprometidas.
A cadeia de lojas de desconto opera mais de 260 lojas e emprega 8.000 pessoas por todo o Canadá.
O threat actor por trás da postagem afirma ter feito o upload do banco de dados "completo" dos registros de clientes da Giant Tiger roubados em março de 2024.
"Em março de 2024, a rede de lojas de desconto canadense Giant Tiger Stores Limited sofreu um data breach que expôs mais de 2,8 milhões de clientes," afirma o threat actor.
O breach inclui mais de 2,8 milhões de endereços de email únicos, nomes, números de telefone e endereços físicos.
Os dados roubados no dump, afirma o threat actor, incluem adicionalmente a "atividade no site" dos clientes da Giant Tiger.
"Finalmente abri 60 das 60 páginas da seção do banco de dados!" respondeu um membro do fórum à postagem, com outros solicitando uma amostra do conjunto de dados.
O threat actor atendeu e postou um pequeno trecho.
O conjunto de dados foi vazado essencialmente de graça.
Embora o link para o download tenha que ser desbloqueado gastando "8 créditos", tais créditos são tipicamente gerados de forma trivial pelos membros do fórum, por exemplo, comentando em postagens existentes ou contribuindo com novas postagens.
Threat actors frequentemente invadem empresas e roubam dados sensíveis para chantageá-las e extorquir dinheiro.
Caso não consigam sucesso na extorsão, um threat actor pode deliberadamente vazar os dados roubados online ou vendê-los em marketplaces do dark web para compradores interessados em realizar furto de identidade e ataques de phishing.
Sem comentar sobre a autenticidade dos dados vazados, um porta-voz respondeu:
"Em 4 de março de 2024, a Giant Tiger tomou conhecimento de uma preocupação de segurança relacionada a um fornecedor terceirizado que usamos para gerenciar comunicações e engajamento com clientes", disse um porta-voz da Giant Tiger.
"Determinamos que as informações de contato pertencentes a certos clientes da Giant Tiger foram obtidas sem autorização. Enviamos notificações a todos os clientes relevantes informando-os sobre a situação", completou o mesmo porta voz.
Nenhuma informação de pagamento ou senhas foram envolvidas.
A Giant Tiger se recusou a compartilhar o nome do fornecedor terceirizado em questão.
Até 12 de abril, o conjunto de dados vazado foi adicionado ao banco de dados do "Have I Been Pwned?".
HaveIBeenPwned (HIBP) é um serviço online gratuito que permite que usuários verifiquem se seus dados foram comprometidos em data breaches conhecidos.
O número de registros comprometidos associados a este incidente adicionado ao banco de dados HIBP é de 2.842.669, com o serviço declarando que 46% desses registros já estavam em seu banco de dados.
Clientes da Giant Tiger devem estar atentos a quaisquer e-mails suspeitos ou comunicações que afirmem ser da varejista.
Estes podem muito provavelmente ser tentativas de phishing direcionadas por threat actors.
Embora nenhuma informação de pagamento ou senhas tenham sido expostas neste breach, inscrever-se em um serviço de monitoramento de identidade poderia ser benéfico para os clientes na prevenção contra o furto de identidade.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...