Kundenes cybersikkerhet under trussel etter at Avon rapporterer en 'cyberhendelse'

I kjølvannet av et nettangrep må det målrettede selskapet raskt avsløre så mange detaljer som mulig. Det må forklare hva slags angrep det har vært gjennom, hvem som kan bli berørt og hva konsekvensene for enkeltbrukere kan være. Av årsaker som fremdeles er uklare, ser det ut til at den internasjonale kosmetikkforhandleren Avon sliter med dette.

9. juni publiserte selskapet et 8-K-skjema med den amerikanske verdipapir- og utvekslingskommisjonen (SEC), som forklarte at Avon hadde lidd det arkiveringen kalte "en cyberhendelse i sitt informasjonsteknologimiljø." Forhandleren sa at noen av virksomhetene var berørt, men var fast ved at den fremdeles ikke var helt sikker på hvor stort angrepet hadde vært. Tre dager senere arkivert Avon ytterligere 8-K arkivering med en oppdatering om "cyberhendelsen." Ifølge den startet selskapet noen av de angrepne systemene på nytt og var fremdeles i ferd med å bestemme hva som hadde skjedd nøyaktig. For første gang nevnte den at noen personopplysninger kan ha blitt kompromittert, selv om det var raskt å påpeke at folks kredittkortinformasjon sannsynligvis ikke vil bli berørt.

Dette oppsummerer omtrent den offisielle informasjonen som har kommet ut av selskapet, og du må være enig i at det etterlater ganske mange åpne spørsmål. Folk har prøvd å svare på dem.

Kunder og sikkerhetsforskere lurer på hva som skjer

En ting som er sikkert er at angrepet var ganske alvorlig. Selv nå, mer enn en uke etter den første innleveringen av 8-K, er nettstedene til en rekke avons avdelinger over hele verden nede. I noen tilfeller ser brukere en melding om at nettstedet blir overhalt mens andre ganske enkelt sier at det ikke er tilgjengelig for øyeblikket.

Den nøyaktige arten av angrepet ble ikke avslørt i SEC-innleveringene, noe som har ført til mye spekulasjoner. I januar kjøpte for eksempel et brasiliansk selskap med navnet Natura & Co. en majoritetsandel i Avon. I mai ble rundt 250 tusen av Naturas kunder rammet av en stor datalekkasje, og forutsigbart lurer folk nå på om de to hendelsene kan henge sammen. I mellomtiden har operatørene av en stor ransomware-familie påtatt seg ansvaret for angrepet.

DoppelPaymer: Vi angrep Avon

DoppelPaymer ransomware har eksistert en stund nå, og det har vært involvert i ganske mange store angrep mot store organisasjoner og bedrifter. I fjor la det sammen med noen få andre store ransomware-trusler en uhyggelig vri på driften.

Vanligvis er ransomware-angrepets eneste mål å kryptere offerets filer og utpresse dem for løsepenger. I 2019 begynte imidlertid operatørene bak DoppelPaymer, Maze og et par andre ransomware-stammer å stjele data før de krypterte det. På den måten, når det målrettede selskapet nekter å betale for en dekrypterer, kan kjeltringene true med å lekke den tilførte informasjonen til hele verden. Hvis de stjålne dataene er sensitive, og offeret fremdeles ikke er villig til å betale opp, kan kjeltringene også selge det på det mørke nettet.

DoppelPaymers operatører satte opp et spesielt nettsted der de først publiserer navnene på ofrene sine og deretter lekker sensitive data hvis de nekter å gi etter for utpressingen. Den treffende navnet Doppel Leaks har vært i drift siden februar, og ifølge et polsk selskap for penetrasjonstesting som heter Niebezpiecznik, kom Avons navn nylig opp på det. Men betyr det virkelig at Avon ble truffet av DoppelPaymer?

Bevisene peker absolutt på et ransomware-angrep. At noen av systemene gikk offline og fortsatt ikke er gjenopprettet, tyder på at dataene i dem kan være kryptert. Som du ser, dreier det seg imidlertid ikke bare om krypterte data. Sensitiv informasjon som tilhører Avon, dets ansatte og kundene kan når som helst lekke ut, og folk bør være på utkikk etter potensielle angrep som kan være resultatet av dette.

Som Sophos 'Paul Ducklin sa, selv Avon var kanskje ikke helt klar over hva som skjedde nøyaktig på dette tidspunktet, men det må jobbe for å finne ut så raskt som mulig og rapportere fakta til publikum. Det er den eneste måten folk kan vite hva slags risiko de står overfor.