Іспанський ритейлер Mango повідомив про компрометацію даних через третю сторону: зловмисники отримали доступ до контактної інформації клієнтів (імʼя, пошта, телефон, поштовий індекс, країна). Компанія вже повідомила регулятора та почала розсилати сповіщення постраждалим.
Mango підтвердила, що інцидент стався через «зовнішній маркетинговий сервіс», якого вона використовує, і що витік обмежився персональними контактними даними, а не фінансовою інформацією чи обліковими даними. Компанія активувала внутрішні протоколи реагування, повідомила Іспанський орган із захисту даних (AEPD) та правоохоронні органи, а також опублікувала рекомендації клієнтам бути пильними щодо підозрілих листів і дзвінків. Експерти відзначають швидку реакцію Mango як позитивний знак, проте застерігають: навіть «лише» імена, адреси й телефони дозволяють зловмисникам запускати цілеспрямовані фішингові кампанії або vishing/smishing-атаки (друга хвиля після первинного витоку).
Третя сторона як джерело витоку — типова модель сучасних атак на ритейл: постачальники маркетингових платформ, CRM і сервісів розсилок часто обробляють великі масиви персональних даних і стають привабливою ціллю. За останній рік схожі інциденти зачепили низку відомих рітейлерів (Harrods, M&S, Co–op) через компрометацію зовнішніх постачальників або платформи типу Salesforce. Навіть якщо платіжні дані не вкрадені, опубліковані контактні дані суттєво підвищують ризик соціальної інженерії.
Організаціям і клієнтам слід діяти превентивно: компаніям — терміново провести аудит і жорсткий контроль постачальників (особливо маркетингових/CRM сервісів), за потреби обмежити обмін даними, впровадити контрактні вимоги з безпеки, моніторинг і тестування постачальників; клієнтам — не відкривати підозрілі посилання, не передавати додаткові дані за запитом, активувати двофакторну автентифікацію де можливо та повідомляти про підозрілі повідомлення. Регуляторам варто посилювати вимоги до прозорості постачальницьких ланцюгів даних.
