Küberkurjategijad varastasid 700 000 Apotheka kliendi andmed Täiendatud!

Kriminaalmenetluses on praeguseks tuvastatud, et Allium UPI andmebaasist laeti ebaseaduslikult alla ligi 700 000 Apotheka, Apotheka Beauty ja PetCity kliendikaardi omaniku isikukoodi, üle 400 000 e-posti aadressi, ligi 60 000 koduaadressi ja umbes 30 000 telefoninumbrit.

Allium teavitas täna kliente juhtumist seoses Apotheka kliendikaardi andmetega, märkides, et teatud osa isikuandmeid, mida on Apotheka kliendikaardi programmi raames kogutud kuni 2020. a veebruari lõpuni, võivad olla jõudnud küberrünnaku tagajärjel kolmandate isikuteni, kellel ei tohiks neile andmetele ligipääsu olla.

Küberrünnak toimus programmi haldaja, Allium UPI OÜ, vastu, kes pakub Apotheka apteekidele ja teistele koostööpartneritele (Apteegi Beauty OÜ, PetCity OÜ) ühtset lojaalsusprogrammi. Allium kinnitab, et võttis koheselt kasutusele meetmed, et piirata kuriteo ulatust. Küberrünne on peatatud, kuid isikuandmete koopiad on tõenäoliselt jätkuvalt ründaja valduses. Politsei on küberründe korraldajate suhtes läbi viimas kriminaalmenetlust. Andmekaitse Inspektsioon on juhtunust teadlik ja läbi viimas järelevalvemenetlust.

Ründaja sai Allium UPI OÜ süsteemidesse sisse käesoleva aasta jaanuaris ning laadis alla kuni 2020. aasta veebruari lõpuni kliendiprogrammiga liitunute erinevaid andmeid, sh kliendi mitteravimite ja mõnel üksikul juhul ka käsimüügiravimite ostuajalugu kuni 2020. aasta veebruari lõpuni. Teadaolevalt ei ole kurjategija valdusesse sattunud hilisemate (2020 veebruari lõpp - 2024) tehingute andmed ja mitte ühegi sel perioodil liitunud uue kliendi andmed.

Allium rõhutab, et sisemisi andmebaase ja süsteeme ei rikutud ja viimaste aastate ostudega seonduvad ja muud kliendiandmed on turvaliselt hoitud.

Küberründe käigus kurjategijale ligipääsetud andmete hulgas on lisaks nimele, e-posti aadressile, telefonile, isikukoodile või sünniajale, finantsandmed, mis puudutavad üksnes a-raha jääki, ostusummat ning ostudelt saadud allahindlust. Pangakaardi andmed, paroolid ja muud finantsandmed ei kuulu kliendiprogrammis talletamisele ja seega ei olnud kurjategijatele kättesaadavad. Ostuajaloo andmete koosseisus ei koguta konkreetsete ravimite, sh retseptiravimite, käsimüügiravimite ja riiklike soodustustega mitteravimite ostude infot. Siiski on vähese osa klientide ostuajaloos erandlikel juhtudel salvestunud info mõningate ostetud käsimüügiravimite kohta.

Ostuajaloos on nähtavad muude apteegikaupade nimetused, kuid mis võivad samuti anda teavet kliendi tervisesisundi kohta. Osade klientide kohta on varastatud andmete hulgas ka aadressi andmed.

Kuivõrd on teadmata, millised plaanid kurjategijal saadud isikuandmetega on, palutakse olla erakordselt tähelepanelikud saadetavate erinevate e-kirjade sisu osas, kus saatjaks on Apotheka´t, Apotheka Beauty´t, PetCity´t jäljendav kolmas isik ja kirja sisu puudutab terviseandmeid. Tuleb veenduda, et e-kirja saatja on apotheka.ee, apothekabeauty.ee või petcity.ee. Enne, kui kirja saaja pole veendunud kirja päritolus ja tõesuses, ei tohi klikkida ühelgi veebilingil ega avada kirja manuseid.

Allium lisab, et kui klient saab väljapressiva sisuga pöördumisi, sh kõnesid, tuleb võtta esimesel võimalusel ühendust politseiga ja järgida politseilt saadud juhiseid.