Cybersicherheit der Kunden in Gefahr, nachdem Avon einen "Cyber-Vorfall" gemeldet hat

Avon Data Breach

Nach einem Cyberangriff muss das Zielunternehmen schnell so viele Details wie möglich offenlegen. Es muss erklärt werden, welche Art von Angriff er durchgemacht hat, wer davon betroffen sein könnte und welche Konsequenzen dies für einzelne Benutzer haben könnte. Aus Gründen, die vorerst unklar bleiben, scheint der internationale Kosmetikhändler Avon damit zu kämpfen.

Am 9. Juni veröffentlichte das Unternehmen ein 8-K-Formular bei der US-amerikanischen Börsenaufsichtsbehörde SEC (Securities and Exchange Commission), in dem erklärt wurde, dass Avon unter dem so genannten "Cyber-Vorfall in seiner IT-Umgebung" gelitten habe. Der Einzelhändler sagte, dass einige seiner Operationen betroffen seien, bestand jedoch darauf, dass er immer noch nicht ganz sicher sei, wie groß der Angriff gewesen sei. Drei Tage später reichte Avon eine weitere 8-K-Anmeldung mit einem Update zum "Cyber-Vorfall" ein. Demnach startete das Unternehmen einige der angegriffenen Systeme neu und war noch dabei festzustellen, was genau passiert war. Zum ersten Mal wurde erwähnt, dass einige personenbezogene Daten möglicherweise kompromittiert wurden, obwohl schnell darauf hingewiesen wurde, dass die Kreditkartendaten von Personen wahrscheinlich nicht betroffen sind.

Dies fasst fast die offiziellen Informationen zusammen, die aus dem Unternehmen stammen, und Sie müssen zustimmen, dass einige Fragen offen bleiben. Die Leute haben versucht, ihnen zu antworten.

Kunden und Sicherheitsforscher fragen sich, was los ist

Eine Sache, die sicher ist, ist, dass der Angriff ziemlich ernst war. Selbst jetzt, mehr als eine Woche nach der ersten 8-K-Einreichung, sind die Websites einer Reihe von Avon-Niederlassungen auf der ganzen Welt nicht erreichbar. In einigen Fällen wird den Benutzern eine Meldung angezeigt, dass die Website überarbeitet wird, während andere lediglich angeben, dass sie derzeit nicht verfügbar ist.

Die genaue Art des Angriffs wurde in den SEC-Unterlagen nicht bekannt gegeben, was zu zahlreichen Spekulationen geführt hat. Im Januar beispielsweise kaufte ein brasilianisches Unternehmen namens Natura & Co. eine Mehrheitsbeteiligung an Avon. Im Mai waren etwa 250.000 Kunden von Natura von einem großen Datenleck betroffen, und vorhersehbar fragen sich die Menschen jetzt, ob die beiden Vorfälle miteinander verbunden sein könnten. Inzwischen haben die Betreiber einer großen Ransomware-Familie die Verantwortung für den Angriff übernommen.

DoppelPaymer: Wir haben Avon angegriffen

Die DoppelPaymer-Ransomware gibt es schon seit einiger Zeit und sie war an einigen größeren Angriffen gegen große Organisationen und Unternehmen beteiligt. Letztes Jahr hat es zusammen mit einigen anderen großen Ransomware-Bedrohungen ihren Operationen eine unheimliche Wendung verliehen.

Normalerweise besteht das einzige Ziel des Ransomware-Angriffs darin, die Dateien des Opfers zu verschlüsseln und sie für ein Lösegeld zu erpressen. Im Jahr 2019 begannen jedoch die Betreiber von DoppelPaymer, Maze und einigen anderen Ransomware-Stämmen, Daten zu stehlen, bevor sie verschlüsselt wurden. Auf diese Weise können die Gauner drohen, die gestohlenen Informationen an die ganze Welt weiterzugeben, wenn sich das Zielunternehmen weigert, für einen Entschlüsseler zu zahlen. Wenn die gestohlenen Daten vertraulich sind und das Opfer immer noch nicht bereit ist zu zahlen, können die Gauner sie auch im dunklen Internet verkaufen.

Die Betreiber von DoppelPaymer haben eine spezielle Website eingerichtet, auf der sie zuerst die Namen ihrer Opfer veröffentlichen und dann sensible Daten verlieren, wenn sie sich weigern, der Erpressung nachzugeben. Das treffend benannte Doppel Leaks ist seit Februar in Betrieb, und laut einer polnischen Penetrationstestfirma namens Niebezpiecznik ist Avons Name kürzlich darauf erschienen. Aber heißt das wirklich, dass Avon von DoppelPaymer getroffen wurde?

Die Beweise deuten sicherlich auf einen Ransomware-Angriff hin. Die Tatsache, dass einige der Systeme offline gingen und immer noch nicht wiederhergestellt werden, deutet darauf hin, dass die darin enthaltenen Daten möglicherweise verschlüsselt sind. Wie Sie sehen, geht es hier jedoch nicht nur um verschlüsselte Daten. Sensible Informationen, die Avon, seinen Mitarbeitern und Kunden gehören, können jederzeit durchgesickert sein, und die Mitarbeiter sollten nach möglichen Angriffen Ausschau halten, die sich daraus ergeben könnten.

Wie Sophos 'Paul Ducklin sagte, ist sich selbst Avon möglicherweise nicht ganz bewusst, was genau zu diesem Zeitpunkt passiert ist, aber es muss funktionieren, um dies so schnell wie möglich herauszufinden und die Fakten der Öffentlichkeit zu melden. Nur so können die Menschen wissen, mit welchem Risiko sie konfrontiert sind.

June 18, 2020

Antworten