Dataintrång

Lidl meddelar dataintrång hos extern IT-leverantör i tre länder

Lidl har informerat kunder i sin näthandel i Tyskland, Belgien och Nederländerna om att personuppgifter stulits efter ett dataintrång hos en extern IT-tjänsteleverantör. De komprometterade uppgifterna omfattar tilltal, för- och efternamn, telefonnummer, e-postadresser, födelsedatum samt kundnummer. Betalningsuppgifter togs inte. Lidls egna system för näthandeln påverkades inte direkt.

Intrånget upptäcktes förra veckan, enligt Security Affairs och BleepingComputer, som båda rapporterade om Lidls kundnotifieringar. Lidl har anmält händelsen till berörda dataskyddsmyndigheter och uppmanat drabbade kunder att vara försiktiga med oväntade meddelanden.

Lidl har inte offentliggjort namnet på den berörda IT-leverantören. Det gör det omöjligt att bedöma hur många andra handlare eller konsumentföretag som anlitat samma leverantör och ännu inte vet att de är exponerade. Den tystnaden är ett problem.

Vad angriparna tog och vad de lämnade

De stulna uppgifterna förvarades i en separat fil hos den externa leverantören, inte i Lidls centrala handels- eller betalningsinfrastruktur. Inga kortnummer, bankuppgifter eller kontolösenord ingick i den komprometterade filen. Lidl bekräftade att näthandelns egna system är opåverkade.

Det ger begränsat lugn. Namn, e-postadresser, födelsedatum och telefonnummer samlade i en enda fil är exakt den kombination som krävs för övertygande identitetsbedrägerier. En angripare som känner till ditt namn, ditt födelsedatum och den e-postadress som är kopplad till ditt Lidl-konto kan skräddarsy ett phishing-meddelande som tar sig förbi de flesta skräppostfilter och ser trovärdigt ut för de flesta mottagare.

Inget CVE har offentliggjorts. Angreppsvektorn har inte beskrivits i tekniska termer av Lidl eller någon namngiven säkerhetsforskare. Intrångsmekanismen är i nuläget okänd.

Tredjepartsleverantören som återkommande svag länk

Lidl-incidenten följer ett mönster som blivit den dominerande intrångsmodellen inom europeisk detaljhandel: ett stort varumärke med relativt mogen intern säkerhet lägger ut en datalagrande funktion på en mindre leverantör, som sedan blir ingångspunkten. Varumärket tar reputationsskadan; leverantören förblir anonym.

Både NIS2 och GDPR ställer krav på supply chain-säkerhet för personuppgiftsansvariga, men tillsynen av tredjepartsleverantörers säkerhet är ojämn mellan medlemsstaterna. Lidl är som personuppgiftsansvarig enligt GDPR ansvarigt för de personuppgifter man anförtrott externa personuppgiftsbiträden, oavsett var intrånget inträffade. De drabbade kunderna är Lidls kunder, inte den anonyma leverantörens.

Handlade du hos Lidl online i Tyskland, Belgien eller Nederländerna?

Lidl har uppmanat drabbade kunder att granska oväntade meddelanden noga. Vänta inte på ett misstänkt meddelande innan du agerar.

  • Om du använde samma lösenord på ditt Lidl-konto som på andra tjänster, byt det på de övriga tjänsterna nu.
  • Alla e-postmeddelanden eller SMS som påstår sig komma från Lidl, ett leveransföretag eller en bank med hänvisning till en Lidl-beställning ska behandlas som ett potentiellt phishing-försök tills det verifierats via officiella kanaler.
  • Bevaka din e-postinkorg för lösenordsåterställningar du inte initierat. Angripare som har din e-postadress och ditt födelsedatum kommer att försöka återta inloggningsuppgifter på andra plattformar.

Lidl har inte bekräftat om man kommer att erbjuda identitetsövervakningstjänster till drabbade kunder. Om inget sådant erbjudande har kommit och du vill ha ytterligare skydd publicerar Tysklands Verbraucherzentrale och Belgiens Centre for Cybersecurity Belgium vägledning om åtgärder att vidta efter ett personuppgiftsbrott.

Referenser

  1. Lidl Discloses Online Shop Breach After Service Provider Hack
  2. Lidl Notified Online Shop Customers in Germany, Belgium and the Netherlands of a Data Breach
  3. Lidl Reports Data Breach Affecting Online Customers in Germany, Belgium and the Netherlands
  4. Hackers Breach Lidl’s IT Service Provider, Steal Customer Data

This post is also available in: English

Per Häggdahl

Jobbar som CSO/CISO, har arbetat med leverans av säkra system till banker, riksbanker, börser och värdepapperscentraler i över 20 år.