Η Dior, ένας από τους κορυφαίους οίκους μόδας παγκοσμίως, αποκάλυψε ότι μια κυβερνοεπίθεση οδήγησε σε παραβίαση δεδομένων, που επηρεάζει πελάτες των τμημάτων Dior Fashion και Dior Accessories. Όπως ανέφερε εκπρόσωπος της εταιρείας στο BleepingComputer, το συμβάν οφείλεται σε μη εξουσιοδοτημένη πρόσβαση από εξωτερικό παράγοντα, γεγονός που προκάλεσε τη διαρροή συγκεκριμένων πελατειακών πληροφοριών.
Η Dior τόνισε ότι κινητοποιήθηκε άμεσα, ενεργοποιώντας εσωτερικές ομάδες ασφαλείας και δουλεύοντας με εξειδικευμένους συμβούλους στον τομέα της κυβερνοασφάλειας, με στόχο την πλήρη αποτίμηση και περιορισμό του περιστατικού. Παράλληλα, βρίσκεται σε εξέλιξη εις βάθος έρευνα για την ακριβή έκταση της παραβίασης.
Σύμφωνα με ανακοίνωση της εταιρείας, τα δεδομένα που διέρρευσαν δεν περιλαμβάνουν ευαίσθητες πληροφορίες όπως κωδικούς πρόσβασης, τραπεζικούς λογαριασμούς ή στοιχεία πληρωμών, καθώς αυτά φυλάσσονται σε ξεχωριστή βάση δεδομένων που δεν επηρεάστηκε από την επίθεση.
Δείτε επίσης: Marks & Spencer: Η κυβερνοεπίθεση οδήγησε σε παραβίαση δεδομένων
Η Dior διαβεβαίωσε ότι προχωρά στην ενημέρωση των αρμόδιων ρυθμιστικών αρχών και των πελατών που ενδέχεται να έχουν επηρεαστεί από την παραβίαση δεδομένων (σε συμμόρφωση με τη σχετική νομοθεσία περί προστασίας προσωπικών δεδομένων).
«Η προστασία της ιδιωτικότητας και της ασφάλειας των πελατών μας αποτελεί βασική μας προτεραιότητα», ανέφερε η εταιρεία σε δήλωσή της, εκφράζοντας παράλληλα τη λύπη της για την αναστάτωση που προκάλεσε το περιστατικό.
Αξίζει να σημειωθεί πως σύμφωνα με τις μέχρι στιγμής πληροφορίες, χρήστες από την Κορέα και την Κίνα περιλαμβάνονται στους πληγέντες.
Παραβίαση δεδομένων στη Dior
Η Dior αποφεύγει να αποκαλύψει τον ακριβή αριθμό των πελατών που επηρεάστηκαν από την πρόσφατη παραβίαση δεδομένων, ωστόσο στοιχεία δείχνουν ότι ο ιστότοπος της εταιρείας στη Νότια Κορέα συγκαταλέγεται μεταξύ των πληγέντων. Παράλληλα, αναφορές από χρήστες στην Κίνα κάνουν λόγο για ειδοποιήσεις που έλαβαν από τον οίκο μόδας, σχετικές με παραβίαση προσωπικών τους δεδομένων.
Screenshots των ειδοποιήσεων που κυκλοφόρησαν διαδικτυακά δείχνουν ότι το περιστατικό εντοπίστηκε στις 7 Μαΐου 2025 και περιελάμβανε μη εξουσιοδοτημένη πρόσβαση σε πελατειακά δεδομένα. Οι πληροφορίες που φαίνεται να έχουν εκτεθεί περιλαμβάνουν:
- Ονοματεπώνυμο
- Φύλο
- Αριθμό τηλεφώνου
- Διεύθυνση email
- Ταχυδρομική διεύθυνση
- Ιστορικό αγορών
Δείτε επίσης: Insight Partners: Παραβίαση δεδομένων μετά από κυβερνοεπίθεση
Η ανακοίνωση που αναρτήθηκε στο κορεατικό e-shop της Dior επιβεβαιώνει ότι η παραβίαση συνέβη στις 7 Μαΐου, γεγονός που υποδηλώνει ότι επρόκειτο για ένα μεμονωμένο περιστατικό με διεθνή διάσταση.
Ωστόσο, η υπόθεση αποκτά και νομικές προεκτάσεις: τοπικά μέσα στη Νότια Κορέα αναφέρουν ότι η Dior ενδέχεται να αντιμετωπίσει έλεγχο από τις ρυθμιστικές αρχές λόγω καθυστερημένης ή ελλιπούς ειδοποίησης σχετικά με το περιστατικό.
Η εταιρεία, από την πλευρά της, καλεί τους πελάτες να είναι ιδιαίτερα προσεκτικοί απέναντι σε πιθανά phishing emails ή ύποπτες προσπάθειες υποκλοπής στοιχείων, και τους προτρέπει να αναφέρουν άμεσα οποιοδήποτε περιστατικό που σχετίζεται με κατάχρηση της επωνυμίας Dior.
Μέχρι στιγμής, δεν υπάρχουν επίσημες ανακοινώσεις για το συνολικό εύρος των χωρών ή τον αριθμό των πελατών που επηρεάστηκαν, αφήνοντας αρκετά ερωτήματα ανοιχτά γύρω από τις διαστάσεις του περιστατικού.
Δείτε επίσης: Pearson: Κυβερνοεπίθεση οδήγησε σε παραβίαση δεδομένων
Πώς οι εταιρείες μπορούν να αποφύγουν κυβερνοεπιθέσεις και παραβιάσεις δεδομένων;
Η παραβίαση δεδομένων της Dior δείχνει ότι οι εταιρείες πρέπει να λαμβάνουν μέτρα προστασίας (προληπτικά) για να αποφύγουν τέτοιες καταστάσεις:
- Εφαρμογή πολυεπίπεδης ασφάλειας (defense in depth)
Συνδυασμός firewall, antivirus, intrusion detection/prevention systems (IDS/IPS) κ.ά. - Κρυπτογράφηση ευαίσθητων δεδομένων
Τόσο κατά την αποθήκευση όσο και κατά τη μεταφορά (end-to-end encryption). - Ενημέρωση λογισμικού & patches
Τακτική εφαρμογή ενημερώσεων για την αντιμετώπιση ευπαθειών. - Διαχείριση προσβάσεων (access control)
Ελαχιστοποίηση δικαιωμάτων ανά ρόλο, χρήση αρχών Least Privilege & Zero Trust. - Έλεγχος ταυτότητας πολλαπλών παραγόντων (MFA)
Ενίσχυση της ασφάλειας στους λογαριασμούς χρηστών και διαχειριστών. - Τακτικά penetration tests & vulnerability assessments
Εντοπισμός και αντιμετώπιση κενών ασφαλείας προληπτικά. - Εκπαίδευση προσωπικού σε κυβερνοασφάλεια
Αντιμετώπιση phishing, κοινωνικής μηχανικής και χρήση καλών πρακτικών ασφαλείας. - Εφεδρικά συστήματα & disaster recovery plan
Διασφάλιση επαναφοράς σε περίπτωση επίθεσης ή απώλειας δεδομένων. - Καταγραφή συμβάντων & real-time παρακολούθηση (SIEM systems)
Άμεση ανίχνευση και απόκριση σε ύποπτη δραστηριότητα. - Συμμόρφωση με κανονισμούς (GDPR, ISO 27001 κ.ά.)
Διασφάλιση ότι η πολιτική ασφάλειας είναι πλήρης και ελεγχόμενη.
Πηγή: www.bleepingcomputer.com
