Cybersecurity van klanten bedreigd nadat Avon een 'cyberincident' meldt

Avon Data Breach

In de nasleep van een cyberaanval moet het beoogde bedrijf zo snel mogelijk zoveel mogelijk details bekendmaken. Het moet uitleggen wat voor soort aanval het heeft doorgemaakt, wie mogelijk is getroffen en wat de gevolgen voor individuele gebruikers kunnen zijn. Om redenen die vooralsnog onduidelijk zijn, lijkt de internationale cosmeticawinkel Avon hiermee te worstelen.

Op 9 juni publiceerde het bedrijf een 8-K-formulier met de Amerikaanse Securities and Exchange Commission (SEC), waarin werd uitgelegd dat Avon had geleden onder wat de aanvraag "een cyberincident in zijn informatietechnologieomgeving" noemde. De detailhandelaar zei dat sommige van zijn operaties waren getroffen, maar was ervan overtuigd dat het nog steeds niet helemaal zeker was hoe groot de aanval was geweest. Drie dagen later diende Avon nog een 8-K-aanvraag in met een update over het "cyberincident". Volgens hem herstartte het bedrijf enkele van de aangevallen systemen en was het nog bezig met het bepalen van wat er precies was gebeurd. Voor het eerst vermeldde het dat sommige persoonlijke gegevens mogelijk in gevaar waren, hoewel het er snel op wees dat het onwaarschijnlijk is dat de creditcardgegevens van mensen worden beïnvloed.

Dit vat zowat de officiële informatie samen die uit het bedrijf is gekomen, en je moet het ermee eens zijn dat er nogal wat open vragen overblijven. Mensen hebben geprobeerd ze te beantwoorden.

Klanten en beveiligingsonderzoekers vragen zich af wat er aan de hand is

Een ding is zeker: de aanval was behoorlijk ernstig. Zelfs nu, meer dan een week na de eerste 8-K-aanvraag, zijn de websites van een aantal Avon-vestigingen over de hele wereld niet beschikbaar. In sommige gevallen zien gebruikers een bericht dat de website wordt gereviseerd, terwijl anderen simpelweg zeggen dat deze momenteel niet beschikbaar is.

De exacte aard van de aanval werd niet bekendgemaakt in de SEC-documenten, wat tot veel speculatie heeft geleid. Zo kocht een Braziliaans bedrijf met de naam Natura & Co. in januari een meerderheidsbelang in Avon. In mei werden ongeveer 250 duizend van de klanten van Natura getroffen door een groot datalek, en het is voorspelbaar dat mensen zich nu afvragen of de twee incidenten mogelijk verband houden. Ondertussen hebben de operators van een grote ransomwarefamilie de verantwoordelijkheid opgeëist voor de aanval.

DoppelPaymer: We hebben Avon aangevallen

De DoppelPaymer-ransomware bestaat al een tijdje en is betrokken geweest bij een flink aantal grote aanvallen op grote organisaties en bedrijven. Vorig jaar heeft het, samen met een paar andere grote ransomware-bedreigingen, een sinistere draai aan hun activiteiten gegeven.

Meestal is het enige doel van de ransomware-aanval het versleutelen van de bestanden van het slachtoffer en ze chanteren voor losgeld. In 2019 begonnen de operators achter DoppelPaymer, Maze en een paar andere ransomwarestammen echter gegevens te stelen voordat ze het versleutelden. Op die manier kunnen de oplichters, wanneer het beoogde bedrijf weigert te betalen voor een decryptor, dreigen de gestolen informatie naar de hele wereld te lekken. Als de gestolen gegevens gevoelig zijn en het slachtoffer nog steeds niet bereid is te betalen, kunnen de boeven deze ook op het dark web verkopen.

De operators van DoppelPaymer hebben een speciale website opgezet waar ze eerst de namen van hun slachtoffers publiceren en vervolgens gevoelige gegevens lekken als ze weigeren toe te geven aan de afpersing. De toepasselijk genaamde Doppel Leaks is actief sinds februari, en volgens een Pools penetratietestbedrijf genaamd Niebezpiecznik, verscheen de naam van Avon er onlangs op. Maar betekent dat echt dat Avon werd geraakt door DoppelPaymer?

Het bewijs wijst zeker op een ransomware-aanval. Het feit dat sommige systemen offline zijn gegaan en nog steeds niet zijn hersteld, suggereert dat de gegevens erin kunnen worden gecodeerd. Zoals u kunt zien, gaat het echter niet alleen om gecodeerde gegevens. Gevoelige informatie van Avon, zijn werknemers en zijn klanten kan op elk moment worden gelekt en mensen moeten uitkijken naar mogelijke aanvallen die hieruit kunnen voortvloeien.

Zoals Paul Ducklin van Sophos zei, is zelfs Avon misschien niet helemaal op de hoogte van wat er precies op dit punt is gebeurd, maar het moet werken om zo snel mogelijk te weten te komen en de feiten aan het publiek te rapporteren. Dat is de enige manier waarop mensen kunnen weten met welk soort risico ze worden geconfronteerd.

June 18, 2020

Laat een antwoord achter