Toys “R” Us Canada kısa süre önce müşteri bilgilerini etkileyen bir veri ihlali yaşadığını açıkladı. Şirket, saldırganların muhtemelen karanlık web kaynaklarına atıfta bulunan bir terim olan “indekslenmemiş internet” forumuna eriştiklerini ve ayrıntıları yayınladıklarını iddia etmelerinin ardından olayı keşfetti. Şirketin bildirimine göre ihlal, Temmuz 2025’in sonlarında başladı. Toys “R” Us, saldırganların 30 Temmuz civarında müşteri veritabanının bir alt kümesini kopyaladığını ve ancak daha sonra şirketin verileri açığa çıkmış olabilecek kişileri tespit ettiğini, araştırdığını ve bilgilendirdiğini belirtti.
Hangi veriler açığa çıkmış olabilir?
Şirketin ihlal bildiriminde, çalınan kayıtların aşağıdakilerden herhangi birini veya tamamını içerebileceği belirtildi: müşteri adları, fiziksel posta adresleri, e-posta adresleri ve telefon numaraları. Ödeme kartı verilerine, şifrelere veya finansal hesap bilgilerine erişildiğine dair herhangi bir iddiada bulunulmadı.
Toys “R” Us, şu anda verilerin herhangi bir şekilde kötüye kullanıldığının farkında olmadığını vurguladı, ancak açığa çıkan bilgilerin kimlik avı saldırıları, kimlik sahtekarlığı veya diğer kötü niyetli faaliyetler için kullanılabileceği konusunda uyardı.
İhlal iddiasını öğrenen Toys “R” Us, soruşturma için dışarıdan siber güvenlik uzmanlarını görevlendirdi. Firma, etkilenen müşterilere, özellikle Kanada’da olmak üzere, bildirim mektupları aracılığıyla ulaşarak, onları maruz kaldıkları riskler hakkında bilgilendirdi ve bundan sonra ne yapmaları gerektiği konusunda rehberlik sağladı.
Şirketin bildiriminde ayrıca alıcılara, istenmeyen kişisel bilgi taleplerine, sahte iletişimlere, şüpheli eklere veya bağlantılara karşı dikkatli olmaları ve hesap özetlerini ve kredi raporlarını düzenli olarak izlemeleri tavsiye edildi.
İhlalin hassas finansal ayrıntıları veya şifreleri içermediği bildirilse de iletişim bilgilerinin, posta adreslerinin ve e-posta adreslerinin açığa çıkması hala önemli. Bunlar tam olarak dolandırıcıların ve kimlik hırsızlarının makul kimliğe bürünme veya kimlik avı kampanyaları oluşturmak için kullanabileceği türden veri noktalarıdır.
Dahası, gecikmiş keşif riski artırır. Saldırganların bildirimden önce birkaç ay boyunca erişime sahip olabileceği gerçeği, verilerin fark edilmeden kötüye kullanılabileceği süreyi artırır. Perakende zincirinin büyüklüğü ve hizmet verilen müşteri sayısı, kesin rakamlar açıklanmamış olsa da kapsamın geniş olabileceği anlamına geliyor.
Bildirimi alırsanız ne yapmalısınız?
Toys “R” Us Canada’dan alışveriş yaptıysanız ve bir bildirim aldıysanız, ciddiye alın. Hiçbir ödeme verisinin çalındığı bildirilmese bile, yine de ekstreleri incelemeli, e-postanızı olağandışı iletiler için izlemeli ve istenmeyen aramaların veya mesajların hesabınızla veya satın alma işlemlerinizle ilgili olup olmadığını değerlendirmelisiniz.
Mağazadan geldiği iddia edilen, bilgileri onaylamanızı veya sıfırlamanızı isteyen e-postalara veya aramalara, yapmadığınız satın alma işlemlerine atıfta bulunuyor gibi görünen tekliflere ve aynı e-postayı yeniden kullanabileceğiniz hizmetlerdeki oturum açma girişimlerine veya hesap değişikliklerine karşı özellikle dikkatli olun. Farklı hesaplar için benzersiz şifreler kullanın, mümkün olduğunda çok faktörlü kimlik doğrulamayı etkinleştirin ve Kanada’daki ilgili kredi bürosuna ücretsiz bir dolandırıcılık uyarısı verin.
Toys “R” Us Canada olayı, tanınmış perakende markalarının bile veri hırsızlığına karşı savunmasız olduğunu hatırlatıyor. Kredi kartı bilgileri söz konusu olmasa bile isimlerin, iletişim bilgilerinin ve adreslerin açığa çıkması gelecekteki dolandırıcılığa zemin hazırlayabilir.
Şimdi önemli olan, etkilenen bireylerin ne kadar hızlı hareket ettiği ve şirketin iyileştirmeyi ne kadar ciddiye aldığıdır. Birçok tüketici için önemli olan tetikte olmak, güçlü güvenlik alışkanlıkları kullanmak ve kimlik riskinin cüzdanın ötesine geçtiğini kabul etmek olacaktır.