W zgłoszeniu 8-K do amerykańskiej Komisji Papierów Wartościowych i Giełd ten dystrybutor artykułów gospodarstwa domowego i kosmetyków oświadczył, że dowiedział się, że atakujący „nielegalnie uzyskał dostęp” do danych firmy po udanym oszustwie phishingowym, którego celem był jeden z pracowników w październiku bieżącego roku. Dało to hakerowi dostęp do danych na dysku twardym pracownika i innych dyskach współdzielonych, do których miał dostęp rzeczony pracownik.
Firma oświadczyła, że nie ma powodu, by sądzić, że uzyskano dostęp do jakichkolwiek danych wrażliwych, ale sprawdza sytuację, aby upewnić się, że dostępne dyski twarde i współdzielone nie zawierają żadnych informacji umożliwiających identyfikację klientów.
Serwis TechCrunch usiłował skontaktować się z dyrektorką prawną Bed, Bath & Beyond, Arlene Hong, ale firma odmówiła podania ilości skradzionych danych lub typów danych, do których atakujący mógł uzyskać dostęp. Pozostaje również niejasne, czy firma posiada środki techniczne, takie jak logi, umożliwiające wykrycie dowodów eksfiltracji. Bed, Bath & Beyond odmówiło również podania jakichkolwiek dalszych informacji na temat incydentu związanego z phishingiem lub zabezpieczeń cybernetycznych, które ma chronić przed takimi incydentami.
Czytaj także: Cyberatak na infrastrukturę IT Avonu spowodował paraliż całej firmy. Co z danymi konsultantek i ich klientek?