Kundernes cybersikkerhed under trussel efter Avon rapporterer en 'cyberhændelse'

I kølvandet på et cyberattack skal det målrettede firma hurtigt afsløre så mange detaljer som muligt. Det skal forklares, hvilken slags angreb det har været igennem, hvem der kan blive påvirket, og hvilke konsekvenser det har for de enkelte brugere. Af grunde, der forbliver uklare i øjeblikket, ser den internationale kosmetikforhandler Avon ud til at kæmpe med dette.

Den 9. juni offentliggjorde virksomheden en 8-K formular med US Securities and Exchange Commission (SEC), som forklarede, at Avon havde lidt, hvad arkiveringen kaldte "en cyberhændelse i sit informationsteknologimiljø." Detailhandleren sagde, at nogle af dens operationer var berørt, men var fast ved, at det stadig ikke var helt sikkert, hvor stort angrebet var blevet. Tre dage senere indgav Avon endnu en 8-K arkivering med en opdatering om "cyberhændelsen." Ifølge det genstartede virksomheden nogle af de angrebne systemer og var stadig i færd med at bestemme, hvad der var sket nøjagtigt. For første gang nævnte den, at nogle personlige data måske er blevet kompromitteret, skønt det var hurtigt at påpege, at folks kreditkortoplysninger sandsynligvis ikke vil blive berørt.

Dette summerer omtrent de officielle oplysninger, der er kommet ud af virksomheden, og du er nødt til at acceptere, at det efterlader ganske mange åbne spørgsmål. Folk har forsøgt at besvare dem.

Kunder og sikkerhedsforskere spekulerer på, hvad der foregår

En ting, der er sikker, er, at angrebet var ret alvorligt. Selv nu, mere end en uge efter den første 8-K arkivering, er webstederne til en række Avons filialer over hele verden nede. I nogle tilfælde ser brugerne en meddelelse, der fortæller dem, at webstedet bliver revideret, mens andre blot siger, at det ikke er tilgængeligt i øjeblikket.

Den nøjagtige karakter af angrebet blev ikke afsløret i SEC-arkiverne, hvilket har ført til megen spekulation. I januar købte for eksempel et brasiliansk selskab ved navn Natura & Co. en majoritetsandel i Avon. I maj blev omkring 250.000 af Naturas kunder påvirket af en større datalækage, og forudsigeligt spekulerer folk nu på, om de to hændelser muligvis er forbundet. I mellemtiden har operatører af en større ransomware-familie påtaget sig ansvaret for angrebet.

DoppelPaymer: Vi angreb Avon

DoppelPaymer ransomware har eksisteret i et stykke tid nu, og det har været involveret i ganske mange store angreb mod store organisationer og virksomheder. Sidste år tilføjede det sammen med et par andre store ransomware-trusler en uhyggelig vending til deres operationer.

Normalt er ransomware-angrebets eneste mål at kryptere offerets filer og afpresse dem til løsepenge. I 2019 begyndte operatørerne bag DoppelPaymer, Maze og et par andre ransomware-stammer imidlertid at stjæle data, før de krypterede dem. På den måde, når det målrettede selskab nægter at betale for en dekrypterer, kan skurkerne true med at lække den overførte information til hele verden. Hvis de stjålne data er følsomme, og offeret stadig ikke er villig til at betale op, kan skurkerne også sælge dem på det mørke web.

DoppelPaymers operatører oprettede et specielt websted, hvor de først offentliggør navnene på deres ofre og derefter lækker følsomme data, hvis de nægter at give efter for afpresningen. Den passende navngivne Doppel Leaks har været i drift siden februar, og ifølge et polsk penetrationsprøvningsfirma ved navn Niebezpiecznik, kom Avons navn for nylig på det. Men betyder det virkelig, at Avon blev ramt af DoppelPaymer?

Beviserne peger bestemt på et ransomware-angreb. Det faktum, at nogle af systemerne gik offline og stadig ikke gendannes, tyder på, at dataene i dem muligvis er krypteret. Som du kan se, handler det imidlertid ikke kun om krypterede data. Følsomme oplysninger, der tilhører Avon, dets medarbejdere og dets kunder, kunne når som helst lækkes, og folk skal være på udkig efter eventuelle angreb, der måtte være resultatet af dette.

Som Sophos 'Paul Ducklin sagde, var selv Avon måske ikke helt klar over, hvad der skete nøjagtigt på dette tidspunkt, men det skal arbejde for at finde ud af det så hurtigt som muligt og rapportere fakta til offentligheden. Det er den eneste måde, folk kan vide, hvilken slags risiko de står overfor.