A Coreia do Sul aplicou uma multa conjunta de 25 milhões de dólares (cerca de 23 milhões de euros) às marcas de luxo Louis Vuitton, Christian Dior Couture e Tiffany. A sanção surge após a descoberta de que medidas de segurança inadequadas facilitaram o acesso não autorizado aos sistemas destas empresas, resultando na exposição dos dados de mais de 5,5 milhões de clientes.
As três marcas, pertencentes ao grupo Louis Vuitton Moët Hennessy (LVMH), foram alvo de piratas informáticos que conseguiram penetrar nos seus serviços de gestão de clientes baseados na nuvem. As informações expostas no ano passado incluem detalhes sensíveis, como nomes, números de telemóvel, endereços de correio eletrónico, moradas e históricos de compras.
Segundo a Comissão de Proteção de Informação Pessoal (PIPC) da Coreia do Sul, no caso específico da Louis Vuitton, o dispositivo de um funcionário foi infetado com malware. Este incidente permitiu o comprometimento do seu software como serviço (SaaS) e a fuga de informações relativas a 3,6 milhões de consumidores.
Embora o produto alvo não seja explicitamente nomeado, investigadores da Google associaram estas campanhas ao grupo ShinyHunters, conhecido por direcionar os seus ataques a plataformas Salesforce. Mais tarde, os próprios atacantes reivindicaram a invasão aos sistemas do grupo LVMH.
Negligência e impacto distribuído pelas marcas
A entidade reguladora sublinha que a Louis Vuitton operava a ferramenta SaaS desde 2013, mas falhou na restrição dos direitos de acesso a endereços de IP específicos, não aplicando também métodos de autenticação seguros para as ligações externas. Esta negligência na proteção de dados resultou numa multa de 16,4 milhões de dólares (cerca de 15,2 milhões de euros) e na obrigação de a empresa anunciar a penalização no seu site oficial.
Na Dior, a intrusão teve origem num ataque de phishing direcionado a um funcionário do apoio ao cliente, que foi enganado e acabou por conceder acesso ao sistema SaaS, afetando 1,95 milhões de utilizadores. A marca utilizava a plataforma desde 2020 sem recorrer a listas de permissões ou a restrições de transferência em massa. A falta de inspeção dos registos de acesso atrasou a descoberta da falha em mais de três meses. Adicionalmente, a Dior da Coreia do Sul apenas notificou as autoridades cinco dias após tomar conhecimento do problema, violando o prazo legal estipulado de 72 horas. Devido a estas infrações, foi aplicada uma multa de 9,4 milhões de dólares (cerca de 8,7 milhões de euros).
A Tiffany sofreu um ataque de contornos semelhantes, em que os criminosos recorreram a phishing por voz para ludibriar um funcionário. O impacto, contudo, foi consideravelmente menor, com a exposição de 4600 clientes. À semelhança dos outros casos, a marca não implementou controlos de acesso baseados em IP nem limites de transferência em massa, falhando igualmente os prazos de notificação legal. A multa fixou-se nos 1,85 milhões de dólares (cerca de 1,7 milhões de euros).
A agência sul-coreana deixou ainda o alerta claro de que o uso de soluções SaaS não isenta as empresas da responsabilidade de gerir as informações dos clientes de forma segura, nem transfere essa obrigação para os fornecedores dessas mesmas plataformas.
Nenhum comentário
Seja o primeiro!