Niebezpiecznik

Od ponad tygodnia otrzymujemy od Was niepokojące sygnały dotyczące chaosu, jaki panuje w firmie AVON. Oficjalna strona niczego nie mówi o incydencie teleinformatycznym, wyświetlając tylko komunikat znany z rozkopanych dróg: “zmieniamy się dla Ciebie“. Ale wiele wskazuje na to, że powodem zmiany jest atak na infrastrukturę IT.

9 czerwca otrzymaliśmy informacje od jednego z pracowników AVON-a, że

“istnieje obawa potężnego wycieku danych z brazylijskiej firmy Natura”

W skład tej grupy wchodzi polski AVON. Pracownik poinformował nas, że “sklep stoi od 3 dni“, a “góra” nie informuje o żadnych powodach przestoju. Pracownicy obawiali się, że ich dane wyciekły i zastanawiali się, czy mogą liczyć na jakieś odszkodowania “w tej sytuacji”.

Oficjalny fanpage AVON Polska 8 czerwca informuje o problemach ze stroną (które trwają do dziś) a dzień później, w kolejnym poście informuje o możliwości składania zamówień, oznajmiając, że o ile zamawiać można, to nie wiadomo kiedy dotrą (i nazywa to “dobrym newsem” :D). Pod postem ujawnia się rzesza niezadowolonych konsultantek.

Oficjalny komunikat “tylko” dla pracowników

Tego samego dnia później pracownicy otrzymali wreszcie oficjalny komunikat. Był obarczony informacją, aby “nie kontaktować się z prasą” (no cóż, nie wyszło…) i nie zaczynał się od zbyt optymistycznych słów:

“Today, I am sharing the news that Avon has suffered a cyber incident in its Information Technology environment which has interrupted some of its systems and partially affected operations.”

Jedna z reprezentantek Avonu (namierzenie jej nie jest trudne, zostawiamy to Wam jako proste zadanie OSINT-owe :) postanowiła się jednak podzielić tym komunikatem w całości w… mediach społecznościowych:

Dear valued Representatives
Today, I am sharing the news that Avon International has suffered a cyber incident in its Information Technology environment which has interrupted some of its systems and partially affected operations.
I know you are all experiencing the impact of this with some of the systems and tools you need to drive your business and connect with your customers currently unavailable.
You can currently still place orders from your Avon ON App/Gi3 as well as make account payments. Please note further important information you need to be aware of below:
Contact Centre: Our telephone lines are still down at this present time.
Delivery Delays: Due to some of our systems being down, we’re currently experiencing delivery delays. We are doing everything we can to resolve the situation and will keep you updated as we work towards a speedy solution. You will receive a delivery confirmation as soon as your Avon order is on its way to you.
My Avon Store: We’re aware that customers are unable to access My Avon Store to place orders and we apologise for holding them up! You can currently still place orders from your Avon ON App/Gi3 as well as make account payments
Digital Brochures: You and your customers will not be able to open or place orders through the Digital Brochures during this time due to system issues. Stay up to date on the latest product special offers & news via email & our Facebook Groups. Please ensure that all your contact details are always up to date by updating them on Gi3.
Invoicing and Notification: As a result of some of our systems being down, all new orders captured will not receive an SMS confirmation to let them know they’ve successfully placed their order and/or that their orders have been processed. Receipt of SMS confirmations will resume as soon as the system outage has been resolved.
Beauty Centre Update:
– Cape Town: We are excited to let you know that our Cape Town Beauty has reopened. It shut its doors last week after one of our Team members working there tested positive for COVID-19. We want to assure you that we have made sure to leave no stone unturned to ensure safety and impeccable cleanliness throughout the store and its facilities.
– Pretoria and Namibia are fully operational.
– Durban is offline for sales due to a systems issues but is still open for deliveries to be collected.
Know that we are applying every resource, both internally with our incredibly talented teams and externally with the best in class global experts, to resolve this and restore operations as quickly as possible.
Right now, we don’t have any further information to share. We will keep you updated as we work to find a solution and will provide further updates when more information is available.
You are the heart of our business. I thank each and every one of you for being part of the Avon family.
Warm Regards
Mafahle Mareletse

Z tego posta dowiadujemy się, że pod komunikatem podpisał się Vice President Turkey, Middle East & Africa & General Manager Avon Justine South Africa, a sparaliżowana jest też łączność telefoniczna spółki.

Mniej szczegółowo informowani byli inni Polacy pracujący w AVON (tak, mamy wielu informatorów w tej sprawie ;). Część otrzymała polskojęzyczny komunikat od dyrektor generalnej Avon Cosmetics Polska, Ani Jakubowski:

Wyciek danych 250 000 klientów

Jeśli w sieci zacznie się szukać informacji na temat “cyberincydentu”, to trafić można na ten artykuł z “branżowego” serwisu, którego autorzy zdają się mieć informacje z pierwszej ręki.

A multibillion-dollar company based in Brazil exposed highly sensitive information (personal and financial data) of its customers. According to the reports, the exposed information was hosted in poorly configured databases, making them available to any user.

Pewnie domyślacie się już o jaką brazylijską firmę może chodzić. Tak, to Natura & Co Group w skład której wchodzi Avon. Incydent miał dotyczyć dwóch baz danych zawierających powyżej 190 milionów rekordów (1.4 TB danych), a raport, który zdobyto mówi o tym, że poszkodowanych może być 250 000 klientów plus 40 tysięcy to klienci firmy płatniczej Wirecard, których dane miały być publicznie dostępne przez ponad 2 tygodnie, a na ich ślad wpadła firma Safety Detectives.

Zakres wyciekniętych danych powoduje zmarszczki na czole, których żaden krem nie wygładzi:

Imię i nazwisko
Adres zamieszkania
Adres e-mail
Płeć
Data i miejsce urodzenia
Numer telefonu
Historia zakupów
Dane konta MOIP
Tokeny dostępowe do wirecard.com.br
Dostępy API wraz z niezaszyfrowanymi hasłami i hashami haseł do natura.com.br

Atakujący mieli również pozyskać dane dostępowe do infrastruktury wewnętrznej spółki. I zapewne z tego powodu całość została wyłączona i jest gruntownie sprawdzana, co paraliżuje prace zależnych od brazylijskiej firmy systemów Avonu. Oby, bo drugi scenariusz to ransomware i ryzyko nie odzyskania niedostępnych obecnie danych. Niestety ich kradzież wchodzi w grę w obu scenariuszach. [AKTUALIZACJA: niestety, to ransomware z kradzieżą danych — szczegóły w aktualizacji w dalszej części artykułu]

Systemy firm na całym świecie, nie tylko Avonu, są atakowane. A dane wyciekają. Ostatnio opisaliśmy dość wiele wycieków i nic nie wskazuje na to, że sytuacja się zmieni. Po prostu coraz więcej systemów przetwarza nasze dane, a nie zawsze ktoś odpowiednio opiekuje się tymi systemami lub czasem nawet z otoczonego opieką systemu na skutek nieprzewidywalnego błędu dane wyciekną. Spodziewamy się, że do końca roku o wielu nowych wyciekach. Prawdopodobnie będą w nich i Twoje dane. Warto wiedzieć, jak na taki wyciek poprawnie zareagować: co należy zrobić niezwłocznie, a co raczej nie ma sensu. Tylko takie, praktyczne i sprawdzone przez nas w boju rady znajdziesz w nagraniu naszego webinara o wyciekach danych. Z kodem ChceszCosCosZAvonu, tylko do końca środy obejrzysz go w cenie 49 PLN, czyli aż 80 złotych taniej! Promocja jaką trudno znaleźć nawet w katalogu Avona :)

Nie udało nam się obecnie uzyskać potwierdzenia (ani zaprzeczenia), że w ataku ucierpiały dane Polaków — zarówno klientów jak i konsultantów firmy Avon. Jeśli firma Avon odpowie na nasze pytania, opublikujemy aktualizację niniejszego artykułu — domyślamy się, że nasza wiadomość mogła zginąć w gąszczu wiadomości zdezorientowanych konsultantek i klientów.

Niepokojący incydent jeszcze z marca

Jak zwykle, badając sprawę incydentu rzuciliśmy okiem do redakcyjnej szuflady. A tam, jeszcze w marcu wylądowała ciekawa wiadomość, która wtedy wydała się niezbyt istotna, ale w kontekście powyższych informacji może rzucać nowe światło na incydent (choć nie musi).

Jeden z naszych czytelników opisał nam, że jego żona, która korzystała z systemu Avonu po zalogowaniu się do niego zobaczyła cudze dane. I przy każdym przelogowaniu widziała inne.

Wygląda jak znany problem z cachem. Ale być może były to pierwsze złego początki… Być może ten sam błąd (w globalnym rozdaniu) komuś pozwolił zalogować się na konto z wyższymi uprawnieniami i dostrzec coś, co pomogło rozpocząć atak na resztę infrastruktury firmowej.

Z tego co nam wiadomo, do konsultantek nie dotarł w tej sprawie żaden e-mail informujący o tym, że ich dane osobowe zostały ujawnione innym konsultantkom. Pytanie czy polski oddział Avonu w ogóle zgłosił incydent do PUODO…

Słaby przepływ informacji

Po informacjach, które otrzymujemy od naszych Czytelników powiązanych z Avonem, wnioskujemy że wewnątrz firmy nie ma zbyt dobrej komunikacji na temat incydentu. Różne grupy pracowników mają różne informacje. Z przyjemnością staniemy się forum wymiany danych między Wami, drodzy pracownicy Avonu — jeśli więc dysponujecie nowymi informacji w stosunku do tych opisanych w tym artykule, dajcie nam znać pisząc na redakcja@niebezpiecznik.pl — dokonamy aktualizacji :) Oczywiście gwarantujemy anonimowość.

Aktualizacja 16.06.2020, 09:39
Z komentarzy pod naszym postem w tej sprawie na Facebooku wynika, że zakład w Garwolinie (produkcja) stoi od ok. tygodnia. Wczoraj odbyło się też video-spotkanie z dyrektorami dla części pracowników. Niestety wedle naszych informacji, nie padły tam żadne szczegóły dotyczące przyczyn ataku.

I jedna drobna uwaga dla pracowników AVON, którzy się z nami kontaktują. Waszą anonimowość gwarantuje ustawa Prawo prasowe, do której przestrzegania jesteśmy zobowiązani, ale o ile my Waszych danych nikomu nie ujawnimy, to pamiętajcie, aby kontaktować się z nami z Waszych prywatnych komputerów i telefonów, a nie służbowego sprzętu, który jest przez firmę monitorowany :-)

Aktualizacja 16.06.2020, 10:14
Niestety, potwierdzają się informacje, że systemy z których korzysta Avon zostały zaatakowane za pomocą ransomware (DoppelPaymer). Widzieliśmy przekonywujący dowód.

Na stronie przestępców (screen wyżej), gdzie publikowane są dane firm, które zostały zaatakowane DoppelPaymerem ale nie zapłaciły przestępcom wymaganego okupu nie ma jeszcze opublikowanej paczki z danymi z Avon. To niekoniecznie oznacza, że Avon zapłacił i jest w trakcie odzyskiwania danych. Równie dobrze czas wyznaczony przez przestępców na wpłatę okupu jeszcze nie minął.

Wedle informacji przekazywanych pracownikom, mają oni wrócić do pracy w czwartek. Ale nie wszyscy w to wierzą, bo termin powrotu był już w przeszłości przesuwany.

PS. Przypominamy, że o tym jak sprawdzić, jakie nasze dane już wyciekły (w różnych internetowych wyciekach) oraz co zrobić niezwłocznie po stwierdzeniu wycieku (i czego nie ma sensu robić) dowiesz się z nagrania naszego webinara o wyciekach danych. Z kodem ChceszCosCosZAvonu, tylko do końca środy obejrzysz go w cenie 49 PLN, czyli aż 80 złotych taniej!