Njemački trgovački lanac Lidl potvrdio je kibernetički napad na vanjskog pružatelja IT usluga, što je rezultiralo krađom osobnih podataka kupaca u nekoliko europskih zemalja. Iako financijske informacije nisu ugrožene, tvrtka poziva na oprez zbog povećanog rizika od phishing prijevara, piše TechRadar.
Lidl je izdao hitno upozorenje svojim kupcima zbog kibernetičkog napada u kojem su kompromitirani neki od njihovih osobnih podataka pohranjenih kod tvrtke. U obavijesti o povredi podataka objavljenoj na svojim web stranicama u Nizozemskoj, Belgiji i Njemačkoj, njemački diskontni trgovački lanac priopćio je da je sigurnosni incident kod jednog od njegovih vanjskih pružatelja IT usluga pogodio dio podataka pohranjenih od strane korisnika Lidl Online Shopa. Prema dostupnim informacijama, pogođeni su kupci u najmanje četiri zemlje: Nizozemskoj, Belgiji, Njemačkoj i Slovačkoj. Tvrtka je navela da je za incident saznala “početkom tjedna” i odmah poduzela korake kako bi se situacija stavila pod kontrolu, no dio podataka je, nažalost, već bio otuđen.
Nepoznati napadači uspjeli su ukrasti značajan skup osobnih informacija, uključujući puna imena i prezimena, brojeve telefona, e-mail adrese, datume rođenja i korisničke brojeve kupaca. Iz Lidla su naglasili kako osjetljiviji podaci poput lozinki, adresa za naplatu i dostavu, bankovnih podataka i ostalih informacija o plaćanju navodno nisu ukradeni, što znači da financijska sigurnost kupaca nije izravno ugrožena ovim napadom. Korisnički računi također su ostali netaknuti. Unatoč tome, kombinacija ukradenih podataka predstavlja ozbiljan rizik jer kibernetičkim kriminalcima omogućuje stvaranje vrlo uvjerljivih i personaliziranih pokušaja prijevare, zbog čega je oprez ključan u narednom razdoblju.
Tvrtka je izjavila da je “odmah reagirala” na prijetnju i “poduzela potrebne korake” kako bi se uspostavila puna sigurnost pogođenih sustava. Unatoč visokim standardima IT sigurnosti, nepoznate osobe su, kako se navodi u obavijesti, nakratko stekle pristup zasebno pohranjenoj datoteci s podacima o kupcima i iz nje otuđile dio informacija. Važno je napomenuti da sustav same internetske trgovine nije bio izravno pogođen. U skladu s procedurom, Lidl je podnio prijavu nadležnim tijelima, uključujući nizozemsku Agenciju za zaštitu podataka i belgijsko “nadležno nadzorno tijelo za zaštitu podataka”, te je angažirao vanjske IT forenzičke stručnjake da provedu detaljnu istragu cijelog incidenta.
Iako iz Lidla poručuju kako trenutno nemaju konkretnih dokaza o zlouporabi ukradenih podataka, iz predostrožnosti su uputili snažno upozorenje kupcima na moguće pokušaje phishinga ili krađe identiteta. Postoji velika vjerojatnost da će kriminalci iskoristiti ukradene informacije za slanje personaliziranih phishing e-mailova koji izgledaju kao da dolaze izravno od Lidla. Cilj takvih poruka je navesti primatelje da otkriju dodatne osjetljive podatke, poput lozinki za druge servise ili financijskih informacija, klikom na zlonamjerne poveznice ili otvaranjem zaraženih privitaka. Stoga se kupcima savjetuje da budu izuzetno oprezni s bilo kakvom neočekivanom komunikacijom koja se naizgled čini kao da dolazi od strane popularnog trgovačkog lanca.
Neotkriveni razmjeri napada
Iz Lidla još uvijek nisu javno objavili o kojem se točno vanjskom pružatelju IT usluga radi, niti su specificirali točan broj kupaca čiji su podaci kompromitirani. Takva praksa nije neuobičajena tijekom aktivne istrage, no ostavlja pogođene korisnike u neizvjesnosti o stvarnim razmjerima napada. Tvrtka, koja posluje s oko 12.900 trgovina u 32 zemlje diljem Europe i Sjedinjenih Američkih Država, suočava se s velikim izazovom upravljanja krizom i povratka povjerenja svojih kupaca. Trenutno nema informacija o tome je li podnesena bilo kakva kolektivna tužba u vezi s ovim incidentom, niti su se oglasila nadležna tijela za zaštitu podataka s informacijama o potencijalnim kaznama za tvrtku.
Maloprodajni sektor kao stalna meta
Ovaj incident naglašava rastući trend kibernetičkih napada usmjerenih na maloprodajnu industriju, koja je zbog ogromne količine korisničkih podataka koje obrađuje postala primarna meta hakera. Napadi se često događaju kroz ranjivosti u opskrbnom lancu, odnosno kod vanjskih partnera i dobavljača usluga koji imaju pristup sustavima glavne tvrtke. Svjesna ovih rizika, krovna tvrtka Lidla, Schwarz Grupa, priznala je da se suočava s golemim kibernetičkim izazovima, navodeći podatak da je dnevno meta čak do 350.000 kibernetičkih napada. To jasno pokazuje upornu i evoluirajuću prirodu prijetnji u maloprodajnom sektoru. Kao odgovor na to, Schwarz Grupa ulaže značajna sredstva u vlastitu kibernetičku infrastrukturu i ulazi u strateška partnerstva kako bi ojačala svoju sigurnosnu poziciju.
Povijest nadzora i pitanja privatnosti
Ovo nije prvi put da se Lidl suočava s pitanjima vezanim uz rukovanje podacima i privatnost. Iako se radi o drugačijim okolnostima, tvrtka je i ranije bila pod povećalom javnosti i regulatora. Primjerice, 2008. godine njemačke vlasti za zaštitu podataka kaznile su Lidl zbog korištenja privatnih detektiva i tajnih kamera za špijuniranje vlastitih zaposlenika, što je izazvalo veliki skandal. U novije vrijeme, u svibnju 2025. godine, Federacija njemačkih potrošačkih organizacija (VZBV) podnijela je tužbu protiv Lidla, tvrdeći da njihova aplikacija “Lidl Plus” nije dovoljno jasno informirala korisnike da popuste “plaćaju” svojim osobnim podacima. Ipak, njemački sud je tu tužbu odbacio u rujnu 2025. godine. Ovi povijesni slučajevi, iako nisu izravno povezani s trenutnim curenjem podataka, dio su šireg konteksta u kojem se propituje praksa velikih trgovačkih lanaca u pogledu zaštite privatnosti.
Važna obavijest:
Sukladno članku 94. Zakona o elektroničkim medijima, komentiranje članaka na web portalu Poslovni.hr dopušteno je samo registriranim korisnicima. Svaki korisnik koji želi komentirati članke obvezan je prethodno se upoznati s Pravilima komentiranja na web portalu Poslovni.hr te sa zabranama propisanim stavkom 2. članka 94. Zakona.Uključite se u raspravu