Американский производитель ремонтируемых ноутбуков Framework подтвердила, что хакеры получили доступ к данным клиентов после успешного фишинга сотрудника ее поставщика бухгалтерских услуг.
В электронном письме, отправленном пострадавшим клиентам, Framework сообщила, что сотрудник Keating Consulting, ее основного внешнего партнера по бухгалтерскому учету, стал жертвой атаки социальной инженерии, которая позволила злоумышленникам получить личную информацию клиентов, связанную с непогашенными остатками средств за покупки Framework.
Платформа из Сан-Франциско была основана в конце 2019 года бывшим инженером Apple и Oculus Ниравом Пателем. Компания, которая привлекла 18 миллионов долларов в рамках финансирования серии A под руководством спонсора Oculus Spark Capital в 2022 году, позиционирует себя как сторонник движения "Право на ремонт", и ее устройства, такие как ноутбук Framework 16, спроектированы так, чтобы их было легко починить с помощью сменных деталей.
"9 января, в 4:27 утра по восточному времени, злоумышленник отправил электронное письмо бухгалтеру, выдав себя за нашего генерального директора, с просьбой предоставить информацию о дебиторской задолженности, относящуюся к непогашенным остаткам по закупкам Framework", - говорится в уведомлении Framework.
В уведомлении говорилось, что бухгалтер ответил на это электронное письмо 11 января, предоставив злоумышленнику электронную таблицу, содержащую информацию о клиентах, включая полные имена, адреса электронной почты и остатки задолженности. Framework сообщила пострадавшим клиентам, что хакеры могли использовать эту украденную информацию, чтобы выдавать себя за Framework и запрашивать платежную информацию.
Пока неизвестно, пострадал ли кто-либо из других клиентов Keating Consulting. У бухгалтерской компании из Силиконовой долины, которая в основном обеспечивает временное финансовое руководство и поддержку бэк-офиса стартапов, почти 300 клиентов, согласно ее веб-сайту. К ним относятся онлайн-аптека GoodRx (которая недавно была оштрафована на 1,5 миллиона долларов за передачу Facebook и Google данных о состоянии здоровья пользователей), платформа вычислительной химии Molecule.com и бизнес корпоративного обучения Udemy.
Framework заявила, что в свете инцидента в Keating компания потребует обязательного обучения атакам на фишинг и социальную инженерию для всех сотрудников компании, имеющих доступ к информации клиентов Framework.
Это еще один пример того, что всего из-за одного необученного сотрудника может произойти утечка данных, которая принесет компании финансовые убытки и испорченную репутацию.
Обучайте своих сотрудников!
Информация взята из статьи Карли Пейдж.