Dorset merkezli kozmetik perakendecisi Lush, 11 Ocak’ta web sitesinde yayınlanan kısa bir bildirimle, şu anda açıklanmayan bir siber güvenlik olayının kurbanı oldu.
Kuruluş, “Lush UK&I şu anda bir siber güvenlik olayına müdahale ediyor ve kapsamlı bir soruşturma yürütmek için harici BT adli tıp uzmanlarıyla birlikte çalışıyor” dedi. “Soruşturma erken bir aşamada ancak olayı kontrol altına almak ve operasyonlarımız üzerindeki etkiyi sınırlamak amacıyla tüm sistemlerin güvenliğini sağlamak ve taramak için acil adımlar attık. Siber güvenliği son derece ciddiye alıyoruz ve ilgili yetkilileri bilgilendirdik.”
Olayın kesin niteliği açıklanmadığı için Lush, fidye yazılımından etkilendiğine dair kaçınılmaz spekülasyonlarla karşı karşıya kalacak ancak bu tamamen doğrulanmadı.
Bu yazının yazıldığı sırada, Lush’un perakende web sitesi halka açık bir internet bağlantısı üzerinden erişilebilir olmaya devam ediyor ve bu da dahili BT sistemlerinin çoğunun etkilenmediğini kuvvetle gösteriyor.
Fidye yazılımı saldırıları sıklıkla birden fazla sistemin (çoğunlukla panikleyen BT yöneticileri tarafından) çevrimdışına alınmasıyla sonuçlanır ve bu da müşteriler için web sitelerinin kesintiye uğramasına neden olur, ancak şu anda durum böyle değil.
i-confidential’ın teknik teslimat başkanı Brian Boyd şunları söyledi: “Ayrıntılar [of] Bu ihlal hala ortaya çıkıyor, bu nedenle Lush’un ne tür bir saldırı yaşadığı belli değil, ancak şirketin olayı araştırdığı ve yayılmasını kontrol altına almaya çalıştığı anlaşılıyor.
“Lush, dünya çapında faaliyet gösteren devasa bir kozmetik şirketi, dolayısıyla failler, şirkete şantaj yapmak veya hedefli kimlik avı dolandırıcılığı gerçekleştirmek için kullanabilecekleri müşteri verileri hazinesine erişme potansiyeline sahip” dedi. “Lush, verilerini korumaya yönelik adımlar atabilmeleri için etkilenen tarafları öncelikli olarak bilgilendirmeli. Müşteriler, verilerinin etkilenip etkilenmediğini ve nasıl etkilendiğini anlamalıdır çünkü ele geçirilen herhangi bir bilgi onlara karşı kullanılabilir.”
Aile şirketi
Tarihi boyunca bir aile şirketi olan Lush, hayata Body Shop’un ürün tedarikçisi olarak başladı, ancak 1990’ların ortasında bu ilişkiden uzaklaşarak kozmetik perakende satışında yeni ve son derece başarılı bir yaklaşımın öncülüğünü yaptı. Mağazalarını manavları andıran ilgi çekici ve renkli vitrinlerle kurguluyor, kendi bünyesinde, etik üretim yöntemlerine ve çevresel sürdürülebilirliğe önem veriyor.
Bu yaklaşım, işleri şirket içinde yapmayı güçlü bir şekilde tercih eden ve büyük ölçüde açık kaynaklı hizmetleri ve etik tedarikçileri tercih eden kuruluşla BT alanına da uygulandı; örneğin veri merkezi sağlayıcısı yenilenebilir enerjiyle çalışıyor.
Kuruluş, 2021’de Computer Weekly’ye, birden fazla farklı standarda dayanan üçüncü taraf hizmetleriyle artan entegrasyon düzeyleri göz önüne alındığında, müşteri verilerini koruma biçimini geliştirme ihtiyacının farkına vardıktan sonra kimlik doğrulama sistemlerinde nasıl kapsamlı bir dönüşüm geçirdiğini anlattı. .
Bu proje sonunda 2022’de Okta tarafından satın alınan kimlik doğrulama uzmanı Auth0 ile eşleşti.
Bu yazının yazıldığı sırada, mevcut olayın herhangi bir şekilde Okta’nın altyapısında meydana gelen ve diğer birçok kimlik ve erişim yönetimi uzmanını da sıkıntıya sokan daha sonraki tehlikelerle bağlantılı olduğuna dair bir öneri yoktu. Böyle bir bağlantı çıkarımı yapılmamalıdır.