Únik dat v Lidlu: Šílenství korporací v oblasti sběru dat je rizikové
Osobní údaje zákazníků se opět dostaly na internet – tentokrát se to týkalo diskontního giganta Lidl. Zatímco média diskutují především o zranitelnostech v oblasti IT bezpečnosti, skutečný problém je pohodlně ignorován: rozsáhlé praktiky shromažďování dat velkých korporací. Proč supermarket potřebuje shromažďovat naše telefonní číslo a datum narození? Skutečným nebezpečím není hacker, ale obchodní model „transparentního zákazníka“.
Žádný IT systém není skutečně bezpečný. Pokud se i Pentagon (který je hackery napadán milionkrát denně) může stát obětí takových útoků a nechat si odcizit citlivá data – jak obtížné musí být pro zkušené „černé klobouky“ přístup k digitálním zákaznickým databázím supermarketních řetězců? I když se o to starají poskytovatelé IT služeb, kteří zaměstnávají dostatečný počet specialistů, takové databázové systémy stále obsahují četné zranitelnosti a mezery.
Diskontní prodejce musel nedávno e-mailem informovat zákazníky, že neoprávněné osoby zkopírovaly a extrahovaly soubor obsahující citlivé informace . Kromě titulů, křestních jmen a příjmení útočníci získali také data narození obětí, telefonní čísla, e-mailové adresy a čísla zákaznických účtů. Tiskové oddělení sice zákazníky rychle ujišťuje, že hesla a bankovní údaje jsou v bezpečí a že byly informovány příslušné orgány, ale to jim nenabízí velkou útěchu. Tyto ukradené základní informace lze již použít k phishingovým útokům a krádeži identity.
Jeden aspekt odhaluje nedbalost při nakládání s našimi informacemi: Proč byly tyto osobní profily zákazníků i po úniku dat ve formátu, který by útočníci snadno četli? Každý, kdo hromadí data ve velkém měřítku, má absolutní povinnost je šifrovat pomocí nejmodernějších technologií. Pokud taková krádež dat představuje skutečné riziko pro postižené, ukazuje to, že data byla uložena v prostém textu nebo na serverech zcela nedostatečně zabezpečena. Silné šifrovací metody by soubor pro hackery učinily z velké části bezcenným – ale toto úsilí bylo pro poskytovatele služeb zjevně příliš velké.
Tato událost nás nutí položit si mnohem zásadnější otázku: Proč tyto korporace vůbec shromažďují tak intimní datové profily? Dříve jste šli do obchodu, zaplatili v hotovosti a anonymně odcházeli domů. Dnes slevové aplikace jako „Lidl Plus“, věrnostní karty a povinné online pokladny prakticky nutí zákazníky vzdát se svého digitálního soukromí. Za pár centů na jogurt spotřebitelé poskytnou své jméno, adresu, datum narození a v nejhorším případě i celou svou nákupní historii. A pokud platí kartou, přidává to do systému další datový bod.
Data jsou novým zlatem korporací. Už se nejedná jen o prodej potravin a spotřebního zboží, ale o analýzu chování, vytváření osobnostních profilů a naprosté předvídatelnosti spotřebitelů. Výsledkem tohoto hladu po datech je vytváření gigantických „honey potů“, které jsou pro kyberzločince jednoduše neodolatelné. Tam, kde jsou miliony datových záznamů uloženy centrálně a někdy dokonce nešifrované externím poskytovatelům služeb, je další útok vždy jen otázkou času.
To, že byl Lidl zasažen, není bez jisté ironie. Řetězec diskontních supermarketů patří mocné skupině Schwarz Group, která se svými dceřinými společnostmi, jako jsou Schwarz Digits a XM Cyber, prezentuje jako seriózní poskytovatel IT a cloudových služeb a pyšní se nejvyššími bezpečnostními standardy a digitální suverenitou. Tento incident však dokazuje, že ani IT giganti nemohou zaručit absolutní bezpečnost dat. Každé digitální rozhraní a každý integrovaný poskytovatel třetí strany je potenciálním vstupním bodem. Jediné skutečné zabezpečení v digitální sféře je toto: data, která se nikdy neshromáždí, nemohou být ukradena.
Hacknutí Lidlu není nešťastným ojedinělým incidentem; je to varovný příznak zásadně chybného systému. Žijeme v době, kdy nás vlády a firmy stále více tlačí k totálnímu digitálnímu dohledu – ať už prostřednictvím zákaznických aplikací, digitálních účtů nebo masivně propagované iniciativy EU v oblasti digitální identifikace. Společnosti by měly shromažďovat pouze informace, které jsou nezbytně nutné k dokončení nákupu. Datum narození prostě nemá v nešifrované databázi prodejce potravin místo.
![]()