VF Corporation, der in den USA ansässige Eigentümer von Bekleidungsmarken wie Vans, Supreme und The North Face, hat bestätigt, dass ein Cyberangriff die Fähigkeit des Unternehmens beeinträchtigt hat, Bestellungen vor Weihnachten, einem der größten Einzelhandelsereignisse des Jahres, auszuführen.
Das in Denver, Colorado ansässige Unternehmen heißt es in einer Einreichung bei den Bundesaufsichtsbehörden dass bei dem Cyberangriff, den das Unternehmen erstmals am 13. Dezember entdeckte, Hacker den Betrieb des Unternehmens störten, „indem sie einige IT-Systeme verschlüsselten und Daten des Unternehmens, einschließlich personenbezogener Daten, stahlen“, was auf einen Ransomware-Angriff schließen lässt.
Infolgedessen kommt es nach Angaben des Unternehmens weiterhin zu Betriebsstörungen, einschließlich der „Fähigkeit, Aufträge zu erfüllen“.
Als Tech versuchte, eine Bestellung auf der Vans-Website aufzugeben, lautete die Meldung: „Entschuldigung, aufgrund einer logistischen Störung sind die im Bestellvorgang angezeigten voraussichtlichen Liefertermine falsch.“ Sie werden per E-Mail benachrichtigt, wenn Ihr Artikel versendet wird, und können ihn dann beim Versender verfolgen.“
VF Corp. sagte in seiner Einreichung, dass die von ihm weltweit betriebenen Einzelhandelsgeschäfte geöffnet seien und dass Verbraucher verfügbare Waren online kaufen könnten. Es ist unklar, wann mit der Auslieferung der Bestellungen zu rechnen ist, und ein Unternehmenssprecher sagte nicht, wann.
Als er per E-Mail kontaktiert wurde, übermittelte der Sprecher der VF Corp., Colin Wheeler, Tech eine Erklärung, die die Einreichung des Unternehmens bei den Aufsichtsbehörden widerspiegelte. Das Unternehmen beantwortete die Fragen von Tech zu dem Vorfall nicht und würde dies auch nicht tun Sagen Sie, ob das Unternehmen von den Hackern eine Lösegeldforderung erhalten hat.
Das Unternehmen hat noch nicht gesagt, wie es kompromittiert wurde, auf welche Arten von Daten zugegriffen wurde und wie viele Personen – ob Mitarbeiter, Kunden oder beides – von dem Verstoß betroffen sind. Es ist auch nicht bekannt, wer hinter dem Angriff steckt, was noch von keiner verfolgten Ransomware-Gruppe behauptet wurde.
In seinem Zulassungsantrag warnte VF Corp., dass der Cyberangriff bis zur Wiederherstellung seiner Systeme „erhebliche Auswirkungen“ auf sein Geschäft haben würde. „Da die Untersuchung des Vorfalls noch andauert, sind Umfang, Art und Auswirkungen des Vorfalls noch nicht vollständig bekannt“, heißt es in der Akte.
VF Corp gab den Vorfall am selben Tag bekannt, an dem die neuen Regeln zur Offenlegung von Datenschutzverletzungen der US-amerikanischen Börsenaufsichtsbehörde (Securities and Exchange Commission) in Kraft traten. Diese Verordnung bedeutet, dass Unternehmen Cybersicherheitsvorfälle, einschließlich Datenschutzverletzungen, der Wertpapieraufsichtsbehörde der Bundesregierung melden müssen innerhalb von vier Werktagen.