Kunderne i et af Danmarks største shoppingcentre har fået en ubehagelig overraskelse. Fisketorvet er blevet ramt af et sikkerhedsbrud, der potentielt har eksponeret personlige oplysninger for tusindvis af loyale kunder. Hændelsen berører specifikt de personer, der er tilmeldt centrets loyalitetsprogram og nyhedsbrev.
Fisketorvet har selv kontaktet de berørte medlemmer via e-mail for at informere om situationen. Her fremgår det, at it-kriminelle har tiltvunget sig adgang til en central database, der fungerer som fundamentet for centrets kommunikation med kunderne. Det er fra denne database, at dataene er blevet udtrukket.
Ifølge Fisketorvet har “uvedkommende fået adgang til en database, der indeholder personoplysninger relateret til centrets kundeklub og nyhedsbrev”. Selvom omfanget af lækket stadig bliver kortlagt, står det klart, at en betydelig mængde data kan være faldet i de forkerte hænder.
Hvilke oplysninger er i fare?
Når man tilmelder sig en kundeklub som Fisketorvets, afgiver man ofte informationer for at få adgang til rabatter, personlige tilbud og fordele som gratis parkering. Det er netop disse data, der nu er i spil. Fisketorvet oplyser, at de kompromitterede data blandt andet kan omfatte navne, kontaktoplysninger og registreringsnumre på brugere i systemet.
Især registreringsnumre er relevante, da mange shoppingcentre benytter automatisk nummerpladegenkendelse til at administrere parkering. Selvom et registreringsnummer ikke giver direkte adgang til en bankkonto, kan det sammen med navne og kontaktoplysninger bruges til målrettet svindel, også kendt som phishing.
Eksperter i it-sikkerhed påpeger, at selv basale kontaktoplysninger er værdifulde for kriminelle. Ved at kende en persons navn og kundeforhold kan svindlere opbygge troværdige falske e-mails eller SMS-beskeder, der forsøger at lokke følsomme informationer ud af ofrene.
Betalingskort og adgangskoder er gået fri
Midt i den alvorlige situation er der dog en vigtig formildende omstændighed. Fisketorvet præciserer, at de mest kritiske finansielle oplysninger ikke er en del af datalækket.
Shoppingcentret understreger i deres udmelding, at “mere følsomme oplysninger, som betalingskortdata og adgangskoder, ikke er blevet tilgået”. Dette skyldes en bevidst sikkerhedsarkitektur, hvor disse typer af data ikke opbevares i den database, som de uvedkommende fik adgang til. Det betyder, at kunderne ikke behøver at frygte, at deres kreditkort bliver misbrugt direkte som følge af dette brud.
Myndighederne er involveret
Sikkerhedsbruddet er ikke gået ubemærket hen. Straks efter opdagelsen har Fisketorvet handlet i overensstemmelse med GDPR-reglerne og indberettet hændelsen til de relevante myndigheder, herunder Datatilsynet. Myndighederne skal nu vurdere sagens omfang og centrets håndtering af it-sikkerheden.
Fisketorvet arbejder nu på højtryk for at lukke de huller, der har gjort indtrængningen mulig, og for at sikre, at lignende hændelser ikke gentager sig. Beskyttelse af forbrugerdata er en hjørnesten i den digitale tillid, og derfor tages sager som denne meget alvorligt.
For de mange tusinde kunder, der har modtaget e-mailen, er rådet fra eksperter klart: Vær ekstra opmærksom på mistænkelige henvendelser i den kommende tid. Selvom adgangskoderne er sikre, kan de lækkede kontaktoplysninger fungere som løftestang for svindelforsøg. Vær altid skeptisk over for e-mails, der beder om personlige oplysninger, selvom de ser ud til at komme fra en velkendt afsender.