10 октября, менее чем через месяц после крупнейшей в истории утечки данных в Австралии, утечка данных произошла в австралийском розничном интернет-магазине MyDeal. По данным Woolworths Group, которая недавно приобрела интернет-магазин, неизвестный злоумышленник использовал набор скомпрометированных учетных данных сотрудников для доступа к системе управления взаимоотношениями с клиентами (CRM) MyDeal. Оказавшись внутри системы, злоумышленник похитил личную информацию, принадлежащую 2,2 миллионам клиентов, и выставил ее на продажу на криминальной онлайн-площадке. Затем хакер обновил этот список, чтобы указать, что информация была продана.

Ни MyDeal, ни Woolworths Group не объяснили, как злоумышленник завладел учетными данными, которые позволили украсть личную информацию. Кроме того обе компании не уточняют, имел ли субъект угрозы прямой доступ к системе CRM или же он сначала получил несанкционированный доступ к более широкой внутренней сети MyDeal. Злоумышленник поделился картой сетевой инфраструктуры MyDeal, а также снимками экрана, которые показывают несанкционированный доступ к порталу Amazon Web Services (AWS), рабочей платформе Confluence и системе поддержки клиентов Zendesk. Злоумышленник также утверждал, что украл исходный код из репозиториев MyDeal Bitbucket.

Эта информация, по-видимому, указывает на то, что злоумышленник получил доступ не только к CRM-системе MyDeal, но и к ее более широкой сети. К счастью, хотя Woolworths Group завершила сделку по приобретению MyDeal только в прошлом месяце, сети двух компаний работают на разных платформах, поэтому брешь осталась изолированной от сети MyDeal.

Хакер, взявший на себя ответственность за кражу, сказал, что отправил электронные письма как минимум дюжине сотрудников MyDeal, обещая удалить украденные данные, если компания передаст 20 000 долларов, но MyDeal и Woolworths Group не упомянули об этом предложении. Если злоумышленник действительно пытался вымогать деньги у MyDeal, очевидно, что компания не выполнила требование злоумышленника, поскольку украденные данные появились в открытой продаже на Breach Forums всего за 600 долларов. Согласно статусу на форуме сделка состоялась.

Продавец также указал, что копий проданных данных больше не будет. Возможно, MyDeal или Woolworths Group наняли посредника, чтобы выкупить украденную информацию без ведома продавца, как это когда-то сделала T-Mobile. Однако, если Woolworths Group или ее дочерняя компания не опубликуют заявление о том, что сделали это, клиенты MyDeal, пострадавшие от взлома, должны предположить, что их информация была продана другому киберпреступнику и может быть использована для совершения мошенничества с идентификацией или проведения фишинговых атак.

По данным Woolworths Group, у 1,2 миллиона из 2,2 миллиона пострадавших клиентов в результате утечки данных были раскрыты только их адреса электронной почты. Украденная информация, принадлежащая остальным клиентам, включает имена и фамилии, адреса электронной почты, номера телефонов, адреса доставки и выставления счетов, а также даты рождения. MyDeal уведомил всех затронутых клиентов по электронной почте и заявил, что любой, кто не получил такое уведомление, не пострадал.