Sicurezza informatica dei clienti minacciata dopo che Avon ha segnalato un "incidente informatico"

All'indomani di un attacco informatico, l'azienda interessata deve divulgare rapidamente il maggior numero possibile di dettagli. Deve spiegare che tipo di attacco ha subito, chi potrebbe essere interessato e quali potrebbero essere le conseguenze per i singoli utenti. Per motivi che per il momento non sono chiari, il rivenditore internazionale di cosmetici Avon sembra avere difficoltà con questo.

Il 9 giugno, la società ha pubblicato un modulo 8-K con la Securities and Exchange Commission (SEC) degli Stati Uniti, in cui si spiegava che Avon aveva subito quello che il deposito chiamava "un incidente informatico nel suo ambiente informatico". Il rivenditore ha affermato che alcune delle sue operazioni sono state colpite, ma era irremovibile che non era ancora del tutto sicuro di quanto fosse stato grave l'attacco. Tre giorni dopo, Avon ha presentato un altro deposito 8-K con un aggiornamento sul "cyber-incidente". Secondo essa, la società stava riavviando alcuni dei sistemi attaccati ed era ancora in procinto di determinare cosa era successo esattamente. Per la prima volta, ha affermato che alcuni dati personali potrebbero essere stati compromessi, anche se è stato rapidamente sottolineato che è improbabile che i dettagli della carta di credito delle persone siano interessati.

Questo in sintesi riassume le informazioni ufficiali che sono uscite dall'azienda e devi concordare sul fatto che lasci alcune domande aperte. Le persone hanno cercato di rispondere.

Clienti e ricercatori sulla sicurezza si chiedono cosa stia succedendo

Una cosa certa è che l'attacco è stato piuttosto grave. Anche adesso, a più di una settimana dal primo deposito 8-K, i siti Web di alcune filiali di Avon in tutto il mondo sono in calo. In alcuni casi, gli utenti visualizzano un messaggio che informa che il sito Web è in fase di revisione, mentre altri dicono semplicemente che al momento non è disponibile.

L'esatta natura dell'attacco non è stata divulgata nei documenti SEC, il che ha portato a molte speculazioni. A gennaio, ad esempio, una società brasiliana di nome Natura & Co. ha acquistato una quota di maggioranza di Avon. A maggio, circa 250 mila clienti di Natura sono stati colpiti da una grande perdita di dati e, prevedibilmente, le persone si chiedono ora se i due incidenti potrebbero essere collegati. Nel frattempo, gli operatori di una grande famiglia di ransomware hanno rivendicato la responsabilità dell'attacco.

DoppelPaymer: abbiamo attaccato Avon

Il ransomware DoppelPaymer è in circolazione da un po 'di tempo ed è stato coinvolto in alcuni dei principali attacchi contro grandi organizzazioni e aziende. L'anno scorso, insieme ad alcune altre principali minacce ransomware, ha aggiunto una svolta sinistra alle loro operazioni.

Di solito, l'unico obiettivo dell'attacco ransomware è crittografare i file della vittima e ricattarli per un riscatto. Nel 2019, tuttavia, gli operatori dietro DoppelPaymer, Maze e un paio di altre varietà di ransomware hanno iniziato a rubare i dati prima di rimescolarli. In questo modo, quando la società bersaglio si rifiuta di pagare per un decryptor, i truffatori possono minacciare di divulgare le informazioni rubate a tutto il mondo. Se i dati rubati sono sensibili e la vittima non è ancora disposta a pagare, i truffatori possono anche venderli sulla rete oscura.

Gli operatori di DoppelPaymer hanno creato un sito Web speciale in cui pubblicano prima i nomi delle loro vittime e poi perdono dati sensibili se si rifiutano di arrendersi all'estorsione. Il nome appropriato Doppel Leaks è operativo da febbraio e, secondo una società polacca di test di penetrazione chiamata Niebezpiecznik, il nome di Avon è apparso di recente. Ma questo significa davvero che Avon è stato colpito da DoppelPaymer?

Le prove indicano certamente un attacco ransomware. Il fatto che alcuni dei sistemi siano andati offline e non siano ancora ripristinati suggerisce che i dati in essi contenuti potrebbero essere confusi. Come puoi vedere, tuttavia, non si tratta solo di dati crittografati. Le informazioni sensibili che appartengono ad Avon, ai suoi dipendenti e ai suoi clienti potrebbero essere trapelate in qualsiasi momento e le persone dovrebbero essere alla ricerca di potenziali attacchi che potrebbero derivarne.

Come ha detto Paul Ducklin di Sophos, anche Avon potrebbe non essere completamente consapevole di ciò che è successo esattamente a questo punto, ma deve funzionare per scoprire il più rapidamente possibile e riferire i fatti al pubblico. Questo è l'unico modo in cui le persone possono sapere che tipo di rischio devono affrontare.