Sprzedawca kosmetyków z siedzibą w Dorset Bujny padł ofiarą A incydent związany z bezpieczeństwem cybernetycznym o obecnie nieujawnionym charakterze, za pośrednictwem krótkiego zawiadomienia zamieszczonego na jej stronie internetowej w dniu 11 stycznia.
„Lush UK&I reaguje obecnie na incydent związany z bezpieczeństwem cybernetycznym i współpracuje z zewnętrznymi specjalistami z zakresu kryminalistyki IT, aby przeprowadzić kompleksowe dochodzenie” – potwierdziła organizacja. „Dochodzenie jest na wczesnym etapie, ale podjęliśmy natychmiastowe kroki w celu zabezpieczenia i sprawdzenia wszystkich systemów, aby powstrzymać incydent i ograniczyć jego wpływ na naszą działalność. Traktujemy bezpieczeństwo cybernetyczne wyjątkowo poważnie i poinformowaliśmy o tym odpowiednie władze.
Ponieważ dokładny charakter incydentu pozostaje nieujawniony, Lush stanie w obliczu nieuniknionych spekulacji, że zostało dotknięte oprogramowaniem ransomware, ale jest to całkowicie niepotwierdzone.
W chwili pisania tego tekstu witryna internetowa firmy Lush dotycząca sprzedaży detalicznej jest nadal dostępna za pośrednictwem publicznego połączenia internetowego, co zdecydowanie sugeruje, że nie ma to wpływu na wiele wewnętrznych systemów informatycznych firmy Lush.
Ataki ransomware często powodują przełączenie wielu systemów w tryb offline – często przez spanikowanych administratorów IT – co prowadzi do awarii witryn internetowych dla klientów, co obecnie nie ma miejsca.
Brian Boyd, kierownik ds. dostaw technicznych w firmie i-poufnepowiedział: „Szczegóły [of] to naruszenie wciąż się pojawia, więc nie jest jasne, jakiego rodzaju ataku doświadcza Lush, ale wygląda na to, że firma bada incydent i pracuje nad powstrzymaniem jego rozprzestrzeniania się.
„Lush to ogromna firma kosmetyczna działająca globalnie, więc sprawcy potencjalnie uzyskali dostęp do skarbnicy danych klientów, które mogliby wykorzystać do wyłudzenia pieniędzy od firmy lub przeprowadzania ukierunkowanych oszustw typu phishing” – powiedział. „Lush musi w pierwszej kolejności poinformować zainteresowane strony, aby mogły podjąć kroki w celu ochrony swoich danych. Klienci muszą wiedzieć, czy i w jaki sposób miało to wpływ na ich dane, ponieważ wszelkie skompromitowane informacje mogą zostać wykorzystane przeciwko nim”.
Firma rodzinna
Lush, będąca w swojej historii firmą rodzinną, zaczynała jako dostawca produktów dla Body Shop, ale w połowie lat 90. odeszła od tej relacji i wprowadziła nowe, bardzo udane podejście do sprzedaży detalicznej kosmetyków. Wyposaża swoje sklepy w atrakcyjne i kolorowe ekspozycje przypominające sklep warzywny i kładzie nacisk na wewnętrzne, etyczne metody produkcji i zrównoważony rozwój środowiska.
Podejście to zastosowano również w odniesieniu do infrastruktury IT, przy czym organizacja zdecydowanie preferuje wykonywanie zadań we własnym zakresie i zdecydowanie faworyzuje usługi open source i etycznych dostawców – na przykład dostawca jej centrów danych zasilany jest energią odnawialną.
W 2021 r. organizacja rozmawiała z Computer Weekly o tym, jak gruntownie przebudowała swoje systemy uwierzytelniania, gdy uświadomiła sobie potrzebę ulepszenia sposobu ochrony danych klientów, biorąc pod uwagę rosnący poziom integracji z usługami stron trzecich, które opierają się na wielu różnych standardach.
Ostatecznie w ramach tego projektu nawiązano współpracę ze specjalistą ds. uwierzytelniania Autoryzacja0która została przejęta przez Okta w 2022 roku.
W chwili pisania tego tekstu nie ma żadnych sugestii, że bieżący incydent jest w jakikolwiek sposób powiązany z następnymi kompromisy infrastruktury Okty – w to wplątano kilku innych specjalistów ds. zarządzania tożsamością i dostępem. Nie należy wnioskować o takim powiązaniu.