Popüler giyim markalarının 35,5 milyon müşterisine ait kişisel veriler, Aralık ayı veri ihlalinde açığa çıktı, ancak çalınan verilerin kesin niteliği belirsizliğini koruyor.
Felakete uğrayan şirket VF Corporation, Denver merkezli 125 yıllık, 6 milyar dolarlık bir giyim holdingidir. Şemsiyesi altındaki popüler markalar arasında Dickies, JanSport, North Face, Supreme, Timberland, Vans ve daha fazlası yer alıyor.
Başına yıllık siber suç geleneğiVF, 13 Aralık’ta tatil alışveriş sezonuna yaklaşırken ihlal edildiğini keşfetti. İş faaliyetlerindeki kesintilerin yanı sıra, 35 milyondan fazla müşterisine ait kişisel veriler de hortumla çekildi. 8-K/A başvurusu ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) ile dün güncellenen rapor.
VF Veri İhlali: Bildiklerimiz
VF, olayı ilk keşfettikten sonra bazı BT sistemlerini kapatmak zorunda kaldığını bildirdi. Bunun yapılması, envanter yenileme, sevkiyat ve siparişlerin yerine getirilmesinde gecikmeler de dahil olmak üzere belirli operasyonlarda aksamalara neden oldu. Sonuç olarak, etkilenen belirli markaların web sitelerine olan talep yavaşladı ve bazı müşteriler siparişlerini iptal etti.
Şirket, 15 Aralık’ta siber saldırganları sistemlerinden çıkardı. 8-K/A, saldırının niteliğini veya faillerini belirtmiyor ancak geçen ay Dark Web blogunda şunları söyledi: AlphV/BlackCat sorumluluğu üstlendi, bu şu anlama gelebilir: fidye yazılımı ve gasp dahil oldular.
8-K/A’ya göre, üzerinden bir aydan fazla zaman geçmesine rağmen şirket hâlâ “siber olaydan kaynaklanan küçük etkiler yaşıyor”, ancak “etkilenen BT sistemlerini ve verileri büyük ölçüde geri yüklemiş” ve Envanter ve siparişler normal şekilde devam etti.
Hangi VF Perakende Müşteri Verileri Çalındı?
VF Perşembe günü BT sistemlerinden hangi müşteri bilgilerinin çalındığını açıklamadı ve soruşturmanın devam ettiğini kaydetti.
Ancak bazı verileri öne çıkardı değildi çalındı. Henüz müşterilerin hesap şifrelerinin alındığına dair bir kanıt bulunmuyor ve şirket, Sosyal Güvenlik numaralarını, banka hesap ayrıntılarını veya kredi kartı numaralarını BT sistemlerinde saklamaıyor.
“VF, alınmayanı ifşa ederek, SEC’e ve yatırımcılarına çeşitli türde son derece hassas [personally identifiable information] CyberSaint’in kurucu ortağı ve baş inovasyon sorumlusu Padraic O’Reilly, “PII 35 milyon kayıt arasında yer almıyordu” diyor.
Ancak şunları ekliyor: “Buna dayanarak müşteri adlarının, adreslerinin, demografik ve satın alma bilgilerinin işin içinde olabileceğini varsayabiliriz. 8-K’ler genellikle soruşturmalar ilerledikçe sahnelenir, dolayısıyla bu, bizi izlemeye devam eden bir durumdur.”