Aggiornamento del 29.03.2021 ore 12:00
FatFace decide di pagare un riscatto di 2 milioni di dollari al gruppo ransomware Conti.
A sostenerlo è il sito web Computer Weekly che ha scoperto l’esistenza di una chat privata tra FatFace e un negoziatore del gruppo di cybercriminali.
Un attacco informatico ai danni dell’azienda inglese che ha avuto inizio il 25 dicembre scorso e che si è conclusa il 17 gennaio di quest’anno quando Conti, prima di uscire dai sistemi IT di FatFace esfiltrando circa 200GB di dati, aveva crittografato tutti i dati presenti sui server aziendali.
Dalla chat emerge una richiesta iniziale di riscatto che Conti aveva quantificato in 8 milioni di dollari, sostenendo che FatFace sarebbe stata in grado di pagare la somma grazie anche ad un’assicurazione informatica precedentemente stipulata con la Beazley Furlonge e che sarebbe riuscita a coperire fino a 7,5 milioni di sterline, quindi ben oltre la cifra chiesta dai cybercriminali.
Dopo un fitto scambio di messaggi fra i due negoziatori, FatFace è riuscita a far scendere la richiesta di riscatto stringendo un accordo con Conti per 2 milioni di dollari.
Aggiornamento del 27.03.2021 ORE 01:15
Dopo ulteriori indagini condotte da SuspectFile è emerso che il data breach è ben più grave di quanto raccontato dai vertici della FatFace sia alla stampa internazionale, sia nella dichiarazione rilasciata ieri 26 marzo a questo sito da uno dei Partner dell’azienda inglese. Dichiarazione che è possibile leggere a fondo pagina.
Ciò che è emerso dopo un’accurata nostra indagine è una seria perdita di dati sensibili che hanno visto coinvolti cittadini residenti negli Stati Uniti, mentre il numero delle persone coinvolte in Europa o in altri Continenti al momento non è ancora chiaro. Vediamoli nel dettaglio quali dati sensibili gli hacker hanno esfiltrato durante l’attacco informatico dello scorso dicembre:
- first name and surname;
- Social Security number
- driver’s license;
- date of birth
- passport number; and/or
- bank details (routing number and account number).
E’ inoltre emerso che il data breach ha avuto inizio il 25 dicembre del 2020 e si è protratto fino al 18 gennaio 2021. Dopo un’analisi ordinata dalla FatFace e affidata a un’azienda nel campo della sicurezza informatica è emerso che, al momento, il numero totale delle persone coinvolte negli Stati Uniti sono 183 dipendenti della FatFace, fra questi 18 residenti nello stato del Maine. L’analisi forense si è conclusa il 9 marzo.
Nella notifica inviata alle persone coinvolte dal furto dei dati, a firma del CEO Elizabeth Sian Evans (Liz Evans), si leggono le raccomandazioni di routine che vengono fornite in casi come questi
What You Can Do.
As a general matter and for best practice, we would encourage you to remain vigilant to everyday phishing
attempts including any risk of identity theft and fraud which, unfortunately, is generally prevalent during the
current COVID-19 pandemic.• Continue to be alert to the risk of phishing and any related fraud including any emails asking you to enter
login credentials, provide financial information or give up any other personal data.
• Check your bank statement regularly for any unusual activity that you do not recognize.
• Check your Experian Credit Report regularly for newly opened accounts or credit searches that you do
not recognize.
• Use strong passwords and change them regularly. Use passwords which are at least eight characters long
and use numbers, upper case, lower case, and symbols.
• Never give out personal details over the phone unless you are sure who you are speaking to.
Please note that we would never contact you by email to ask you to provide us with any payment card information.
To give you peace of mind, we are offering you 12 months of Experian credit and web monitoring services at no
cost to you.
Un comportamento, quello intrapreso dalla FatFace, che da una parte serve per cercare di tranquillizzare i propri clienti, dall’altra fa invece emergere la propria consapevolezza che i dati rubati potrebbero essere presto usati da gruppi di cybercriminali, come già anticipato da SuspectFile in questo articolo, per campagne di phising, smishing o altro.
A questo punto resta da capire quale sia, allo stato attuale, il reale impatto che l’attacco informatico e il conseguente furto dei dati ha avuto per i cittadini nel Regno Unito e per quelli residenti in Irlanda dove risiedono la maggior parte dei 199 negozi di abbigliamento e accessori della FatFace.
Così come dovremo capire meglio qual è il reale danno arrecato alle migliaia di clienti che effettuano acquisti servendosi degli store online presenti sulla piattaforma FatFace.
Queste i due tipi di notifica inviata ai dipendenti residenti nello Stato del Maine
SuspectFile aggiornerà questo articolo quando avrà ulteriori nuove informazioni.
La Fat Face Limited(FatFace), un’azienda inglese con sede ad Havant nello Hampshire e che opera nel settore dell’abbigliamento e degli accessori, lo scorso gennaio ha subito un attacco informatico e l’esfiltrazione di dati sensibili dei propri clienti.
Ma qual è stata la strana richiesta che la FatFace ha rivolto ai propri clienti?
Nel testo della e-mail di notifica, inviata ai propri clienti dai vertici della FatFace, si legge del furto di dati a opera di alcuni cybercriminali e la richiesta di non rendere pubblica la notizia. L’oggetto della e-mail infatti è una richiesta alquanto bizzarra
“Strictly private and confidential – Notice of security incident”
Molte persone hanno scritto al giornale online britannico The Register lamentandosi dell’accaduto e di come l’azienda inglese abbia gestito la comunicazione con i propri clienti, nello specifico per le parole che sono state utilizzate nella e-mail di notifica.
Terry ha scritto al giornale inglese sottolineando che la cosa lo aveva molto infastidito
“You will notice the Fatface email is marked as confidential. This annoyed me”.
La notizia dell’incidente informatico ha rapidamente fatto il giro dei social network e non sono tardati i commenti negativi e le prime richieste di chiarimenti indirizzate alla FatFace.
Alcune di queste richieste fatte dai clienti riguardavano il motivo dell’enorme ritardo impiegato per l’invio delle notifiche, oltre due mesi dalla scoperta, e dove si sarebbe potuta trovare la dichiarazione pubblica sulla violazione dei dati rilasciata dai vertici della FatFace.
Oltre a questo c’è poi un altro aspetto da considerare quando vengono esfiltrati dati personali come
- Nome e Cognome
- Indirizzo fisico
- Indirizzo e-mail
- Dati parziali della carta di credito
Al momento la FatFace ha dichiarato che questi sono gli unici dati che sarebbero stati rubati dai cybercriminali, ma casi come questo potrebbero essere però sufficienti per permettere a cybercriminali di condurre future campagne di phishing e smishing.
L’avvocato e amministratore delegato della Decoded.Legal Limited, Neil Brown, uno studio legale virtuale che si occupa di consulenza in ambiti normativi per le aziende e che riguardano, fra gli altri tematiche sulla privacy, telecomunicazioni, accesso a internet, si domanda quale nesso ci possa essere fra, un’azienda che sembrerebbe non essere riuscita a mantenere riservati i dati e la riservatezza chiesta ai propri clienti dalla medesima azienda riguardo la non divulgazione di informazioni contenute nella e-mail di notifica.
“An organisation, which may have failed to keep its customers’ information private, asking those very customers to keep Fatface’s information private? The irony”.
“It’s not something I have seen before, and it’s unlikely to enamour Fatface to those whose information has been — or may have been — compromised”.
SuspectFile ha contattato via e-mail la FatFace chiedendo di rispondere ad alcune domande riguardo l’incidente informatico subito lo scorso 17 gennaio. Ecco cosa ci ha risposto Ben Curson, Partner dell’azienda inglese:
Question: I write about the data breach and the sale on the dark web of data of your customers stolen following a cyber attack that your company has
recently suffered.
Answer: FatFace, with help from its external security experts, has been monitoring the dark web and is not currently aware of any evidence of customer data connected to the incident being sold online.
Q. I ask for a statement from you regarding the communication, made through an e-mail, sent to your customers where the confidentiality of the cyber incident is requested.
A. The notification email was marked private and confidential due to the nature of the communication, which was intended for the individual concerned. Given its contents, we wanted to make this clear, which is why we marked it private and confidential. We have notified the Information Commissioner’s Office, police authorities (via Action Fraud) and the National Cyber Security Centre of the incident.
Q. I also ask for your statement regarding the number of customers affected and what data has been exfiltrated by cybercriminals.
A. FatFace was subject to an IT incident and became aware that some of our systems were accessed by an unauthorised third party. Unfortunately, following expert investigation, we now understand that this third party was able to access certain employee and customer related information.
Customers who had personal information including partial payment card data (which cannot be used to purchase anything fraudulently on the card, so customers are not required to cancel any cards) involved have been notified as appropriate and will have received an email from us. Customers who have not received an email are not required to take any specific steps in response to the incident at this time.
La FatFace nello scorso maggio è riuscita a superare i 245 milioni di dollari in vendite, può inoltre vantare 199 negozi sparsi fra il Regno Unito, Irlanda, Svezia, Stati Uniti e India, con un totale di oltre 2600 persone alle proprie dipendenze (DATI DUN & BRADSTREET).