Popüler giyim markalarının 35,5 milyon müşterisine ait kişisel veriler, Aralık ayı veri ihlalinde açığa çıktı, ancak çalınan verilerin kesin niteliği belirsizliğini koruyor.
Felakete uğrayan şirket VF Corporation, Denver merkezli 125 yıllık, 6 milyar dolarlık bir giyim holdingidir. Şemsiyesi altındaki popüler markalar arasında Dickies, JanSport, North Face, Supreme, Timberland, Vans ve daha fazlası yer alıyor.
Başına yıllık siber suç geleneğiVF, 13 Aralık’ta tatil alışveriş sezonu öncesinde güvenlik ihlali yaşandığını keşfetti. İş operasyonlarındaki kesintilerin yanı sıra, 35 milyondan fazla müşterisine ait kişisel veriler de hortumla çekildi. 8-K/A başvurusu ABD Menkul Kıymetler ve Borsa Komisyonu (SEC) ile dün güncellenen rapor.
VF Veri İhlali: Bildiklerimiz
VF, olayı ilk keşfettikten sonra bazı BT sistemlerini kapatmak zorunda kaldığını bildirdi. Bunun yapılması, envanter yenileme, sevkiyat ve siparişlerin yerine getirilmesinde gecikmeler de dahil olmak üzere belirli operasyonlarda aksamalara neden oldu. Sonuç olarak, etkilenen belirli markaların web sitelerine olan talep yavaşladı ve bazı müşteriler siparişlerini iptal etti.
Şirket, 15 Aralık’ta siber saldırganları sistemlerinden çıkardı. 8-K/A, saldırının niteliğini ve faillerini belirtmiyor ancak geçen ay Dark Web blogunda şunları söyledi: AlphV/BlackCat sorumluluğu üstlendi, bu şu anlama gelebilir: fidye yazılımı ve gasp dahil oldular.
8-K/A’ya göre, üzerinden bir aydan fazla zaman geçmesine rağmen şirket hâlâ “siber olaydan kaynaklanan küçük etkiler yaşıyor”, ancak “etkilenen BT sistemlerini ve verileri büyük ölçüde geri yüklemiş” ve Envanter ve siparişlerle normal seyrine devam edildi.
Hangi VF Perakende Müşteri Verileri Çalındı?
VF Perşembe günü BT sistemlerinden hangi müşteri bilgilerinin çalındığını açıklamadı ve soruşturmanın devam ettiğini kaydetti.
Ancak bazı verileri öne çıkardı değildi çalındı. Henüz müşterilerin hesap şifrelerinin alındığını gösteren bir kanıt bulunmuyor ve şirket, Sosyal Güvenlik numaralarını, banka hesap ayrıntılarını veya kredi kartı numaralarını BT sistemlerinde saklamaıyor.
“VF, alınmayanı ifşa ederek, SEC’e ve yatırımcılarına çeşitli türdeki son derece hassas [personally identifiable information] CyberSaint’in kurucu ortağı ve baş inovasyon sorumlusu Padraic O’Reilly, “PII 35 milyon kayıt arasında yer almıyordu” diyor.
Ancak şunları ekliyor: “Buna dayanarak müşteri adlarının, adreslerinin, demografik ve satın alma bilgilerinin işin içinde olabileceğini varsayabiliriz. 8-K’ler genellikle soruşturmalar ilerledikçe sahnelenir, dolayısıyla bu, bizi izlemeye devam eden bir durumdur.”