Společnost Marks & Spencer uvedla, že hackeři se dostali do jejích systémů tím, že oklamali zaměstnance externího dodavatele, obešli její digitální obranu a spustili kybernetický útok, který britskému maloobchodníkovi naruší provoz na několik měsíců.
Generální ředitel Stuart Machin, který poskytl první podrobnosti od oznámení narušení bezpečnosti 22. dubna, uvedl, že všechny společnosti jsou zranitelné a že M&S v posledních třech letech ztrojnásobila výdaje na technologie, aby posílila svou obranu.
M&S má smlouvu na IT služby se společností Tata Consulting Services. Jeden zdroj obeznámený s touto záležitostí řekl agentuře Reuters, že to byl způsob, jak se hackeři dostali dovnitř. TCS se k tomu odmítla vyjádřit.
Machin odmítl konkrétně komentovat TCS, když byl dotázán, zda se jedná o slabé místo.
„Útočníci se nemohli dostat do našich systémů prolomením našich digitálních obranných systémů, a tak se pokusili o jinou cestu, když se uchýlili k sociálním technikám a vstoupili přes třetí stranu, nikoli přes slabinu systému,“ řekl novinářům.
„Jakmile získali přístup, použili v rámci útoku vysoce sofistikované techniky.“
Machin se odmítl vyjádřit k jakýmkoli požadavkům na výkupné s odvoláním na doporučení vládních agentur a orgánů činných v trestním řízení.
M&S zastavilo online prodej. Ve středu uvedlo, že je nepravděpodobné, že bude plně obnoven do července.
Machin řekl, že M&S si porušení bezpečnosti uvědomilo, když během velikonočního víkendu 19. a 20. dubna zaznamenalo podezřelou aktivitu.
Uvedl, že doba mezi získáním přístupu hackery a jeho odhalením byla „krátká“. Odborníci společnosti sdělili, že průměrná doba je 10 dní, v některých případech i několik měsíců.
