A casa de leilões Christie’s disse na quinta-feira que alertou o Federal Bureau of Investigation e a polícia britânica sobre o ataque cibernético que prejudicou seu site no início deste mês e começou a informar aos clientes quais tipos de dados pessoais foram comprometidos.
A empresa disse em um e-mail aos clientes que nem seus dados financeiros nem qualquer informação sobre suas atividades de vendas recentes foram expostas no hack. Mas afirmou que alguns dados pessoais dos documentos de identificação dos clientes foram comprometidos.
“Os dados de identidade pessoal vieram de documentos de identificação, por exemplo passaportes e cartas de condução, fornecidos como parte das verificações de identidade do cliente, que a Christie’s é obrigada a reter por razões de conformidade”, disse Jessica Stanley, porta-voz da Christie’s, num comunicado na manhã de quinta-feira. . “Nenhuma fotografia de identificação, assinatura, endereço de e-mail ou número de telefone foi tirada.”
Foi a primeira vez que os responsáveis da Christie’s detalharam ao público que tipo de informação os hackers poderiam ter obtido dos registos de alguns dos colecionadores de arte mais ricos do mundo. A admissão ocorreu poucos dias depois que um grupo chamado RansomHub assumiu a responsabilidade pelo ataque cibernético e ameaçou divulgar suas descobertas sobre quase 500 mil clientes da empresa. Anteriormente, a casa de leilões referiu-se ao ataque cibernético como um “incidente de segurança tecnológica” e tentou acalmar os licitantes ansiosos com um website temporário, apesar das sérias preocupações de alguns funcionários.
Os esforços da empresa para minimizar a importância do ataque cibernético foram amplamente bem-sucedidos junto aos licitantes. Seus principais leilões de primavera, que começaram logo após o hack, renderam vendas no valor de US$ 528 milhões.
O RansomHub, que assumiu a responsabilidade pelo hack da Christie’s, escreveu na dark web que “tentamos chegar a uma resolução razoável com eles, mas eles interromperam a comunicação no meio do caminho” e ameaçaram começar a liberar dados.
A Christie’s disse em seu e-mail aos clientes que notificou as autoridades responsáveis pela aplicação da lei na Grã-Bretanha e nos Estados Unidos. As autoridades policiais não responderam imediatamente a um pedido de comentários.
Em seu e-mail aos clientes, a Christie’s pediu às pessoas que verificassem suas contas em busca de qualquer atividade incomum e escreveu que lhes ofereceria “serviços gratuitos de proteção e monitoramento contra roubo de identidade”.