23:47
15/6/2020

Od ponad tygodnia otrzymujemy od Was niepokojące sygnały dotyczące chaosu, jaki panuje w firmie AVON. Oficjalna strona niczego nie mówi o incydencie teleinformatycznym, wyświetlając tylko komunikat znany z rozkopanych dróg: “zmieniamy się dla Ciebie“. Ale wiele wskazuje na to, że powodem zmiany jest atak na infrastrukturę IT.

9 czerwca otrzymaliśmy informacje od jednego z pracowników AVON-a, że

“istnieje obawa potężnego wycieku danych z brazylijskiej firmy Natura”

W skład tej grupy wchodzi polski AVON. Pracownik poinformował nas, że “sklep stoi od 3 dni“, a “góra” nie informuje o żadnych powodach przestoju. Pracownicy obawiali się, że ich dane wyciekły i zastanawiali się, czy mogą liczyć na jakieś odszkodowania “w tej sytuacji”.

Oficjalny fanpage AVON Polska 8 czerwca informuje o problemach ze stroną (które trwają do dziś) a dzień później, w kolejnym poście informuje o możliwości składania zamówień, oznajmiając, że o ile zamawiać można, to nie wiadomo kiedy dotrą (i nazywa to “dobrym newsem” :D). Pod postem ujawnia się rzesza niezadowolonych konsultantek.

Oficjalny komunikat “tylko” dla pracowników

Tego samego dnia później pracownicy otrzymali wreszcie oficjalny komunikat. Był obarczony informacją, aby “nie kontaktować się z prasą” (no cóż, nie wyszło…) i nie zaczynał się od zbyt optymistycznych słów:

“Today, I am sharing the news that Avon has suffered a cyber incident in its Information Technology environment which has interrupted some of its systems and partially affected operations.”

Jedna z reprezentantek Avonu (namierzenie jej nie jest trudne, zostawiamy to Wam jako proste zadanie OSINT-owe :) postanowiła się jednak podzielić tym komunikatem w całości w… mediach społecznościowych:

Dear valued Representatives
Today, I am sharing the news that Avon International has suffered a cyber incident in its Information Technology environment which has interrupted some of its systems and partially affected operations.
I know you are all experiencing the impact of this with some of the systems and tools you need to drive your business and connect with your customers currently unavailable.
You can currently still place orders from your Avon ON App/Gi3 as well as make account payments. Please note further important information you need to be aware of below:
Contact Centre: Our telephone lines are still down at this present time.
Delivery Delays: Due to some of our systems being down, we’re currently experiencing delivery delays. We are doing everything we can to resolve the situation and will keep you updated as we work towards a speedy solution. You will receive a delivery confirmation as soon as your Avon order is on its way to you.
My Avon Store: We’re aware that customers are unable to access My Avon Store to place orders and we apologise for holding them up! You can currently still place orders from your Avon ON App/Gi3 as well as make account payments
Digital Brochures: You and your customers will not be able to open or place orders through the Digital Brochures during this time due to system issues. Stay up to date on the latest product special offers & news via email & our Facebook Groups. Please ensure that all your contact details are always up to date by updating them on Gi3.
Invoicing and Notification: As a result of some of our systems being down, all new orders captured will not receive an SMS confirmation to let them know they’ve successfully placed their order and/or that their orders have been processed. Receipt of SMS confirmations will resume as soon as the system outage has been resolved.
Beauty Centre Update:
– Cape Town: We are excited to let you know that our Cape Town Beauty has reopened. It shut its doors last week after one of our Team members working there tested positive for COVID-19. We want to assure you that we have made sure to leave no stone unturned to ensure safety and impeccable cleanliness throughout the store and its facilities.
– Pretoria and Namibia are fully operational.
– Durban is offline for sales due to a systems issues but is still open for deliveries to be collected.
Know that we are applying every resource, both internally with our incredibly talented teams and externally with the best in class global experts, to resolve this and restore operations as quickly as possible.
Right now, we don’t have any further information to share. We will keep you updated as we work to find a solution and will provide further updates when more information is available.
You are the heart of our business. I thank each and every one of you for being part of the Avon family.
Warm Regards
Mafahle Mareletse

Z tego posta dowiadujemy się, że pod komunikatem podpisał się Vice President Turkey, Middle East & Africa & General Manager Avon Justine South Africa, a sparaliżowana jest też łączność telefoniczna spółki.

Mniej szczegółowo informowani byli inni Polacy pracujący w AVON (tak, mamy wielu informatorów w tej sprawie ;). Część otrzymała polskojęzyczny komunikat od dyrektor generalnej Avon Cosmetics Polska, Ani Jakubowski:

Wyciek danych 250 000 klientów

Jeśli w sieci zacznie się szukać informacji na temat “cyberincydentu”, to trafić można na ten artykuł z “branżowego” serwisu, którego autorzy zdają się mieć informacje z pierwszej ręki.

A multibillion-dollar company based in Brazil exposed highly sensitive information (personal and financial data) of its customers. According to the reports, the exposed information was hosted in poorly configured databases, making them available to any user.

Pewnie domyślacie się już o jaką brazylijską firmę może chodzić. Tak, to Natura & Co Group w skład której wchodzi Avon. Incydent miał dotyczyć dwóch baz danych zawierających powyżej 190 milionów rekordów (1.4 TB danych), a raport, który zdobyto mówi o tym, że poszkodowanych może być 250 000 klientów plus 40 tysięcy to klienci firmy płatniczej Wirecard, których dane miały być publicznie dostępne przez ponad 2 tygodnie, a na ich ślad wpadła firma Safety Detectives.

Zakres wyciekniętych danych powoduje zmarszczki na czole, których żaden krem nie wygładzi:

    Imię i nazwisko
    Adres zamieszkania
    Adres e-mail
    Płeć
    Data i miejsce urodzenia
    Numer telefonu
    Historia zakupów
    Dane konta MOIP
    Tokeny dostępowe do wirecard.com.br
    Dostępy API wraz z niezaszyfrowanymi hasłami i hashami haseł do natura.com.br

Atakujący mieli również pozyskać dane dostępowe do infrastruktury wewnętrznej spółki. I zapewne z tego powodu całość została wyłączona i jest gruntownie sprawdzana, co paraliżuje prace zależnych od brazylijskiej firmy systemów Avonu. Oby, bo drugi scenariusz to ransomware i ryzyko nie odzyskania niedostępnych obecnie danych. Niestety ich kradzież wchodzi w grę w obu scenariuszach. [AKTUALIZACJA: niestety, to ransomware z kradzieżą danych — szczegóły w aktualizacji w dalszej części artykułu]

Systemy firm na całym świecie, nie tylko Avonu, są atakowane. A dane wyciekają. Ostatnio opisaliśmy dość wiele wycieków i nic nie wskazuje na to, że sytuacja się zmieni. Po prostu coraz więcej systemów przetwarza nasze dane, a nie zawsze ktoś odpowiednio opiekuje się tymi systemami lub czasem nawet z otoczonego opieką systemu na skutek nieprzewidywalnego błędu dane wyciekną. Spodziewamy się, że do końca roku o wielu nowych wyciekach. Prawdopodobnie będą w nich i Twoje dane. Warto wiedzieć, jak na taki wyciek poprawnie zareagować: co należy zrobić niezwłocznie, a co raczej nie ma sensu. Tylko takie, praktyczne i sprawdzone przez nas w boju rady znajdziesz w nagraniu naszego webinara o wyciekach danych. Z kodem ChceszCosCosZAvonu, tylko do końca środy obejrzysz go w cenie 49 PLN, czyli aż 80 złotych taniej! Promocja jaką trudno znaleźć nawet w katalogu Avona :)

Nie udało nam się obecnie uzyskać potwierdzenia (ani zaprzeczenia), że w ataku ucierpiały dane Polaków — zarówno klientów jak i konsultantów firmy Avon. Jeśli firma Avon odpowie na nasze pytania, opublikujemy aktualizację niniejszego artykułu — domyślamy się, że nasza wiadomość mogła zginąć w gąszczu wiadomości zdezorientowanych konsultantek i klientów.

Niepokojący incydent jeszcze z marca

Jak zwykle, badając sprawę incydentu rzuciliśmy okiem do redakcyjnej szuflady. A tam, jeszcze w marcu wylądowała ciekawa wiadomość, która wtedy wydała się niezbyt istotna, ale w kontekście powyższych informacji może rzucać nowe światło na incydent (choć nie musi).

Jeden z naszych czytelników opisał nam, że jego żona, która korzystała z systemu Avonu po zalogowaniu się do niego zobaczyła cudze dane. I przy każdym przelogowaniu widziała inne.

Wygląda jak znany problem z cachem. Ale być może były to pierwsze złego początki… Być może ten sam błąd (w globalnym rozdaniu) komuś pozwolił zalogować się na konto z wyższymi uprawnieniami i dostrzec coś, co pomogło rozpocząć atak na resztę infrastruktury firmowej.

Z tego co nam wiadomo, do konsultantek nie dotarł w tej sprawie żaden e-mail informujący o tym, że ich dane osobowe zostały ujawnione innym konsultantkom. Pytanie czy polski oddział Avonu w ogóle zgłosił incydent do PUODO…

Słaby przepływ informacji

Po informacjach, które otrzymujemy od naszych Czytelników powiązanych z Avonem, wnioskujemy że wewnątrz firmy nie ma zbyt dobrej komunikacji na temat incydentu. Różne grupy pracowników mają różne informacje. Z przyjemnością staniemy się forum wymiany danych między Wami, drodzy pracownicy Avonu — jeśli więc dysponujecie nowymi informacji w stosunku do tych opisanych w tym artykule, dajcie nam znać pisząc na redakcja@niebezpiecznik.pl — dokonamy aktualizacji :) Oczywiście gwarantujemy anonimowość.


Aktualizacja 16.06.2020, 09:39
Z komentarzy pod naszym postem w tej sprawie na Facebooku wynika, że zakład w Garwolinie (produkcja) stoi od ok. tygodnia. Wczoraj odbyło się też video-spotkanie z dyrektorami dla części pracowników. Niestety wedle naszych informacji, nie padły tam żadne szczegóły dotyczące przyczyn ataku.

I jedna drobna uwaga dla pracowników AVON, którzy się z nami kontaktują. Waszą anonimowość gwarantuje ustawa Prawo prasowe, do której przestrzegania jesteśmy zobowiązani, ale o ile my Waszych danych nikomu nie ujawnimy, to pamiętajcie, aby kontaktować się z nami z Waszych prywatnych komputerów i telefonów, a nie służbowego sprzętu, który jest przez firmę monitorowany :-)


Aktualizacja 16.06.2020, 10:14
Niestety, potwierdzają się informacje, że systemy z których korzysta Avon zostały zaatakowane za pomocą ransomware (DoppelPaymer). Widzieliśmy przekonywujący dowód.

Na stronie przestępców (screen wyżej), gdzie publikowane są dane firm, które zostały zaatakowane DoppelPaymerem ale nie zapłaciły przestępcom wymaganego okupu nie ma jeszcze opublikowanej paczki z danymi z Avon. To niekoniecznie oznacza, że Avon zapłacił i jest w trakcie odzyskiwania danych. Równie dobrze czas wyznaczony przez przestępców na wpłatę okupu jeszcze nie minął.

Wedle informacji przekazywanych pracownikom, mają oni wrócić do pracy w czwartek. Ale nie wszyscy w to wierzą, bo termin powrotu był już w przeszłości przesuwany.

PS. Przypominamy, że o tym jak sprawdzić, jakie nasze dane już wyciekły (w różnych internetowych wyciekach) oraz co zrobić niezwłocznie po stwierdzeniu wycieku (i czego nie ma sensu robić) dowiesz się z nagrania naszego webinara o wyciekach danych. Z kodem ChceszCosCosZAvonu, tylko do końca środy obejrzysz go w cenie 49 PLN, czyli aż 80 złotych taniej!

Przeczytaj także:



17 komentarzy

Dodaj komentarz
  1. Chcesz coś z Avonu?

  2. No to mnie się ukazał PESEL i numer dowodu obcej konsultanki podczas gdy zapisywałam kogoś do Avonu. Okręgowa menadżerka nie uwierzyła…

    • Dokładnie, jestem
      Liderem w Avon i właśnie opisana sytuacja ze po zalogowaniu inne nazwiska u nas miało kilka osób !!! Pamietam tez ze ostatnio jak chciałam wysyłać moim konsulatnka katalogi to przez chwile nie widziałam ich adresów które zawsze widziałam, na drugi dzien znów były

  3. Jak słyszę, że dziewczyna mówi “jestem konsultantką avonu”, to mnie zęby bolą. Też tak macie?

    • To pikuś. Różne są zawody.

      Ale jak inna pisze:
      “chciałam wysyłać moim konsultantką (konsulatnką?) katalogi”
      to mi oczy krwawią.

    • @Jarek – Jak i u mnie. Polecam “oczu kompiel” :D

  4. @asdsad
    Żadna praca nie hańbi – byle wykonywać ją dobrze!

    • W sumie…
      Z takim fachem w ręku, wkurzone konsultantki ajwonu zostanapewnie konsultantkami oriflejma ;)

  5. Pracuję w Avon od 20 lat, nigdy nie pamiętam żeby działy się rzeczy jakie miały miejsce w ciągu ostatniego roku. Co miesiąc awaria różnych systemów, nieraz na 1-2 dni. Od strony głównej, która nie działała, niespodzianki ze składaniem zamówień, mieszanie się danych o którym pisaliście, niedziałające narzędzia po nawet dane dowodów osobistych i numerów pesel innych osób w prosecie pełnego mianowania. Ciągłe łatanie dziur i obietnice naprawiania systemów oraz awarii bez wyciągania realnych wniosków skończyły się jak widać całkowitym zatrzymaniem.
    Czegoś takiego nie pamiętam. Kiedy zapisywałam się do Avon to to była firma, która była dla innych przykładem, dzisiaj jesteśmy daleko w tyle

  6. A von mi z tym…

  7. Co wy ludzie gadacie i jestem konsultanka w uk i bylam w pl i nigdzie nie musialam.podawac mojego peselu ani numeru dowodu . Nie wiem jak bylo 20 lat temu ale wiem jak bylo 8 lat temu 4 lata temu i teraz

  8. Anonim – owszem nie ma obowiązku podawania numeru PESEL gdy się rejestrujesz jako konsultantka, ale wtedy nie możesz zamawiać towaru “na 3 tygodniowy termin płatności”, tylko musisz opłacić zamówienie od razu. A niektórym konsultantkom wygodniej jest zamówić produkty na kredyt i opłacić FV dopiero wtedy, gdyż zbiorą kasę od swoich klientek.

  9. Czy szanowna redakcja Niebezpiecznika.pl może się pokusić w trybie prawa prasowego o sprowokowanie UODO lub GIODO oraz Policji i Prokuratury do wypowiedzi w tej sprawie ? Zabrakło mi tego w artykule. Skoro o sprawie jest już głośno, to chociażby jeden z w/w organów państwowych powinien wszcząć z urzędu (po doniesieniach medialnych) przynajmniej postępowanie wyjaśniające.

  10. Przyłączam się do prośby poprzednika, tym bardziej, że sytuacja na dzień dzisiejszy nadal jest patowa. Strony AVON nie działają, firma PRZYJMUJE ZAMÓWIENIA ! OD 3 TYGODNI, NIE REALIZUJĄC ICH oraz NIE KSIĘGUJE WPŁAT. Konsultantki wpłacają pieniądze – bo terminy, a na ich kontach jest zaległość. Infolinia nie działa, krytyczne wpisy na FB są usuwane, za to pełno uspakajających wpisów troli, by nie robić paniki, bo firma wie co robi.
    Mało kto wie, że AVON prowadzi również usługi outsourcingowe ( księgowość itp) w swoim centrum w Wawie dla firm zagranicznych. Ciekawe co z ich danymi ??

    • to nie jest centrum outsorcingowe dla innych firm, tylko shared service dla innych spółek AVONU… czyli księgowanie tylko dla Avonu w UK, Rosji i innych krajach. Pracowałem wiele lat w Avonie i bynajmniej nie bylem konsultanką :) tylko w trochę innych działach, bardziej techncznych i jakoś tak bardziej centralnie… tam sie dzieja pewne rzeczy… no niestety trochę nie do końca to się pokrywa z tym co jest tutaj opisane :) , jakby to powiedzieć sprawa jest troche powazniejsza… zresztą pomyślcie sami kto zatrzymuje całą firmę?… wielkie Fabryki, sprzedaż, dostawy z powodu kradzieży 250 tys rekordow…

  11. Do Mirek
    Rozwiń swoje wypowiedzi. Chętnie poczytam co za rzeczy się tam dzieją….

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: