מערכות Forever 21 נפרצו; נגנבו פרטי אשראי של לקוחות

קמעונאית האופנה האמריקאית הודיעה כי האקרים פרצו למערכות האבטחה של החברה ■ טווח העסקאות החשודות - מארס-אוקטובר 2017

forever 21
forever 21

קניתם לאחרונה בפוראבר 21? החברה מזהירה את לקוחותיה מדליפה של פרטי אשראי בהתאם להודעה שהיא פרסמה באתר האינטרנט שלה לפני יומיים.

קמעונאית האופנה האמריקאית Forever 21 הודיעה כי האקרים פרצו למערכות האבטחה של החברה, ובידיהם גישה לנתונים מכרטיסי התשלום של לקוחותיה במספר סניפים של החברה. הרשת, המונה 815 חנויות ב-57 מדינות - כולל בישראל, לא ציינה באילו סניפים מדובר ובאילו מדינות, אבל החברה הזהירה כי לקוחות שקנו בתקופה שבין חודש מרץ לחודש אוקטובר השנה עלולים להיפגע ולגלות גניבה או עסקאות חשודות שבוצעו בכרטיס האשראי שלהם.

הרשת בישראל לא מנוהלת על ידי זכיין מקומי והיא מנוהלת ישירות על ידי המטה מחו"ל כשהיא מונה כיום שבעה סניפים ברחבי הארץ. לפוראבר 21 נודע על דליפת הנתונים לאחר שאחד המשווקים שלה קיבל דיווח משירות ניטור של צד שלישי, שטען שייתכן והתבצעה "גישה בלתי מורשית לנתונים מכרטיסי התשלום ששימשו בחנויות מסוימות של Forever 21".

לפני יומיים, כאמור, פרסמה הרשת, באתר האינטרנט שלה הודעת אזהרה לציבור - בה היא מדגישה כי מדובר בנקודות מכירה מסוימות במספר חנויות. עוד נמסר בהודעה כי החברה מנהלת חקירה על הפריצה וכי מדובר בשלב מוקדם מדי בו היא יכולה לפרט מעבר למידע המעורפל למדי שהיא מוסרת (טווח של יותר מחצי שנה לקניות, ללא מסירת מיקומים ספציפיים). עוד מבקשים מהצרכנים לגלות ערנות באשר לחיובים שהם מאתרים בכרטיסי האשראי שלהם ולהודיע לחברת האשראי על חיובים חשודים בחודשים מארס עד אוקטובר השנה.

החברה טוענת כי עוד משנת 2015 היא משתמשת במערכות הצפנה ומערכות אימות מבוססות התקנים פיזיים, המיועדות להגן על נתוני העסקאות בנקודות המכירה שלה בחנויות. עם זאת, הודתה החברה כי בשל חוסר תפקוד של שכבות האבטחה באותן נקודות מכירה, האקרים הצליחו לקבל גישה לא מורשית לנתונים מכרטיסי האשראי של הצרכנים שרכשו בהן. "Forever 21 החלה מיד בחקירה של מערכות התשלום שלה ונעזרת בחברת אבטחה וזיהוי פלילי מובילה כדי לסייע", כך פרסמה בהודעתה, "אנו מצטערים על כך שהתקרית התרחשה ומתנצלים על אי הנוחות, נמשיך לפעול כדי לטפל בנושא".

"פעמים רבות, כמו במקרה הזה, נקודת הכשל של חברות היא שליטה ובקרה במוצרי אבטחת המידע ברשת, במיוחד כאשר ישנם סניפים קטנים עם 2-3 נקודות מכירה", מסביר אמיר כרמי מנהל הטכנולוגיות בחברת האבטחה ESET בישראל. "גם כשהחברה משתמשת במספר שכבות הגנה, אבל אין פריסה מלאה ובקרה על כל נקודות המכירה, אין יכולת לאתר ולחסום פריצות לנקודות הרגישות ביותר, בהן מתבצעות ועוברות עסקאות אשראי". לדבריו, "באופן כללי, לנו כצרכנים חשוב לעקוב אחרי חיובי האשראי שלנו, במיוחד בזמנים בהם פריצות וגניבות של פרטי אשראי הופכים לנפוצים יותר. ניתן להגדיר במרבית הבנקים וחברות האשראי קבלה של הודעת טקסט כאשר מתבצע חיוב בחו"ל או בישראל, ומומלץ להשתמש בבקרה הזו."

כרמי מזכיר כי התקרית זו היא עוד דליפת נתונים מביכה שנחשפה לאחרונה, דוגמת דליפת הנתונים של Equifax בה נחשפו פרטיהם של 145.5 מיליון לקוחות פוטנציאליים והפריצה הגדולה למערכות יאהו ב-2013 שהשפיעה על כל 3 מיליארד המשתמשים שלה.