Lotem błyskawicy obiega media informacja o kolejnym wielkim wycieku danych. Tym razem sprawa dotyczy internetowego sklepu z odzieżą i obuwiem – Zappos.com, będący własnością Amazon.com. Łupem niezidentyfikowanego hakera padła baza danych zawierająca dane osobowe 24 milionów klientów.

Sprawę ujawnił sam szef Zappos.com, Tony Hsieh, upubliczniając na firmowym blogu treść wiadomości, jaką w niedzielę wysłał do pracowników firmy. Firma przekazała już także informację o wycieku swoim klientom.

Nie ujawniono szczegółów włamania, ograniczając się do informacji, że sprawca uzyskał dostęp do wewnętrznej sieci i systemów firmy przez jeden z jej własnych serwerów.

W swojej komunikacji Hsieh przyznał, że sprawca włamania uzyskał dostęp do praktycznie wszystkich danych użytkowników, m.in. do nazwisk, adresów e-mail, adresów i telefonów. Dostępne były także hasła użytkowników, ale na szczęście w postaci zaszyfrowanej. Mimo to firma zdecydowała się zresetować hasła wszystkich 24 milionów klientów i zachęca wszystkich do jak najszybszej zmiany hasła na znane jedynie posiadaczowi konta.

Znając powszechny wśród użytkowników zwyczaj posiadania identycznych haseł do wielu serwisów internetowych, firma zachęca także do zmiany hasła w innych serwisach, o ile było ono identyczne z tym za Zappos.com.

CEO Zappos.com podkreślił, że jakiekolwiek dane finansowe klientów (w szczególności dane kart kredytowych) nie zostały skompromitowane. Niemniej jednak, informacja o incydencie wzbudziła panikę klientów, podobną do tej do opisywanego przeze mnie na Fraud IQ runu na banki izraelskie po kradzieży danych kart kredytowych. Hsieh przyznał bowiem, że Zappos.com tymczasowo odłączył wszystkie linie telefoniczne, ponieważ nie były one w stanie udźwignąć ciężaru połączeń przychodzących. W zamian za to, kontakty z klientami mają być prowadzone przez wszystkie publicznie dostępne adresy e-mailowe serwisu, bez względu na to, do jakich spraw były one oryginalnie przeznaczone.