Lidl heeft klanten gewaarschuwd voor een beveiligingsincident waarbij persoonlijke informatie die door een externe dienstverlener is opgeslagen blootgelegd, wat zorgen veroorzaakte nadat eerste berichten suggereerden dat bankgegevens mogelijk risico liepen. De winkelier zei dat de datalek gegevens betrof die aan hun online winkel gekoppeld zijn, maar benadrukte dat betalingsgegevens, bankrekeninggegevens, wachtwoorden en bezorgadressen niet waren gecompromitteerd omdat deze apart van de getroffen systemen worden opgeslagen.
Volgens Lidl kregen ongeautoriseerde partijen toegang tot klantinformatie die met hun webshop werd verbonden. De blootgestelde gegevens omvatten namen, e-mailadressen, telefoonnummers, geboortedata en klantidentificatienummers. Het bedrijf heeft niet bekendgemaakt hoeveel klanten zijn getroffen of hoe de aanvallers toegang tot de gegevens hebben gekregen.
De winkelier zei dat er momenteel geen bewijs is dat de gestolen informatie is misbruikt. Desondanks is klanten geadviseerd alert te blijven op phishing-e-mails, frauduleuze telefoontjes of sms-berichten die mogelijk proberen de blootgestelde persoonlijke informatie te misbruiken door zich voor te doen als Lidl of andere vertrouwde organisaties.
Lidl heeft de getroffen klanten per e-mail op de hoogte gebracht nadat het incident was ontdekt en de inbreuk gemeld bij de Nederlandse Gegevensbeschermingsautoriteit, zoals vereist volgens de toepasselijke gegevensbeschermingsregels. Het bedrijf heeft niet gezegd of wetshandhavingsinstanties het incident onderzoeken of dat de aanvallers losgeld eisten.
Hoewel financiële informatie niet werd vrijgegeven, merken cybersecurity-experts op dat namen, e-mailadressen, telefoonnummers en geboortedata nog steeds waardevol kunnen zijn voor cybercriminelen. Dergelijke informatie wordt vaak gebruikt om overtuigende phishingcampagnes te ontwikkelen of identiteitsfraude te ondersteunen wanneer deze wordt gecombineerd met gegevens verkregen uit andere datalekken. Dit risico bestaat zelfs wanneer bankgegevens beschermd blijven.
Lidl heeft de externe dienstverlener niet geïdentificeerd of bekendgemaakt welke extra beveiligingsmaatregelen zijn genomen na de inbreuk. Het bedrijf heeft ook niet bevestigd of de gecompromitteerde gegevens op cybercrimeforums zijn verschenen of online te koop zijn aangeboden. Op dit moment is er geen openbaar bewijs dat erop wijst dat de gestolen klantinformatie door de aanvallers is verspreid.