Lidl hlási únik dát u IT dodávateľa. Slovenskí zákazníci majú zasiahnuté meno, e-mail, telefón aj dátum narodenia.
Reťazec Lidl informoval svojich slovenských zákazníkov o bezpečnostnom incidente, ku ktorému došlo u jedného z externých poskytovateľov IT služieb. Útok zasiahol aj časť osobných údajov uchovávaných spoločnosťou Lidl.
Medzi uniknutými údajmi figurujú: meno, e-mailová adresa, telefónne číslo a dátum narodenia zákazníkov. Fakturačné adresy ani platobné údaje podľa vyjadrenia reťazca zasiahnuté neboli.
Postihnutý poskytovateľ IT služieb podal trestné oznámenie a poveril forenzných expertov vyšetrením incidentu. O situácii bol informovaný aj príslušný dozorný orgán pre ochranu osobných údajov. Okrem Slovenska sa incident dotkol zákazníkov aj v Českej republike, Belgicku, Holandsku a Nemecku.
Prípad ako pripomienka pre firmy
Incident opäť ukazuje, že bezpečnostné riziko sa dnes prenáša aj cez dodávateľský reťazec – útočníci sa nemusia dostať priamo k firme, stačí im slabšie zabezpečený externý IT partner. Firmy spracúvajúce osobné údaje zákazníkov by preto mali:
- pravidelne preverovať bezpečnostné opatrenia svojich IT dodávateľov,
- mať nastavený proces oznamovania incidentov (aj zo strany tretích strán),
- byť pripravené plniť oznamovaciu povinnosť voči dotknutým osobám a Úradu na ochranu osobných údajov v zmysle GDPR.