La compañía VF Corp, que es dueña de marcas como Vans, Supreme o The North Face, ha sido víctima de un ciberataque que ha ocasionado una gran violación de datos, afectando en total a 35,5 millones de clientes.
La firma así lo ha reveló hace unos días en un documento 8-K/A presentado ante la Comisión de Bolsa y Valores de EE.UU. (SEC).
VC Corp no ha aclarado por el momento la naturaleza de los datos expuestos, justificándose en que está llevando a cabo una investigación. No obstante, asegura que no hay evidencias de que los actores de amenazas se hayan hecho con las contraseñas de las cuentas de los clientes.
Además, la empresa ha aclarado que no almacena información confidencial como números de seguridad social, detalles de cuentas bancarias o información de tarjetas de pago dentro de sus sistemas de TI.
Según informa Computing Reino Unido la presentación ante la SEC no hace referencia a ningún datos comprometido que esté relacionado con el personal de VF Corp, sus socios comerciales u otras partes interesadas. Así, la brecha de seguridad habría afectado exclusivamente a clientes.
El incidente fue detectado el pasado 13 de diciembre, justo en plena campaña navideña. Y tuvo cierta repercusión en sus operaciones, ya que este retailer con más de 125 años de vida tuvo algunas interrupciones en el cumplimiento de los pedidos, lo que afectó a su capacidad para reponer el inventario de sus tiendas.
Además, una vez identificada la infracción la firma cerró algunos sistemas e TI, interrumpiendo varias operaciones comerciales y afectando a las páginas webs de sus marcas. Así, algunos clientes llegaron a cancelar sus pedidos ante los problemas técnicos que sufrían.
Se supone que VF Corp tardó solo dos días en expulsar a los atacantes de sus sistemas, dando el asunto por concluído el 15 de diciembre.
"Desde la presentación del informe original, VF ha restaurado sustancialmente los sistemas y datos de TI que se vieron afectados por el incidente cibernético, pero continúa trabajando a través de impactos operativos menores", recoge en el documento.
Un ransomware como una catedral
La presentación ante la SEC no menciona expresamente si hubo ataque de ransomware, ya que el retailer usa el eufemismo "sucesos no autorizados" para hablar del ataque. No obstante, la divulgación inicial sí dejaba caer que parte de sus sistemas habían sido encriptados.
El grupo de ransomwae BlackCat (Alphv) ha dado un paso adelante y se ha atribuído su responsabilidad.