Getty-afbeeldingen
Rite Aid, de op twee na grootste drogisterijketen van Amerika, zei dat meer dan 2,2 miljoen van zijn klanten betrokken waren bij een dataaanval waarbij persoonlijke informatie werd gestolen, waaronder rijbewijsnummers, adressen en geboortedata.
Het bedrijf zei in verplichte documenten bij procureurs-generaal in staten als Maine, Massachusetts, Vermont en Oregon dat de gestolen gegevens verband hielden met aankopen of pogingen tot aankoop van retailproducten tussen 6 juni 2017 en 30 juli 2018. Inbegrepen zijn de naam, het adres, de geboortedatum van de klant en het rijbewijsnummer of een ander door de overheid uitgegeven identiteitsbewijs. Er zijn geen burgerservicenummers, financiële informatie of patiëntinformatie opgenomen.
“Op 6 juni 2024 deed een onbekende derde partij zich voor als een werknemer van het bedrijf om hun zakelijke inloggegevens in gevaar te brengen en toegang te krijgen tot bepaalde bedrijfssystemen”, aldus de indiening. “We ontdekten het incident binnen 12 uur en startten onmiddellijk een intern onderzoek om de ongeautoriseerde toegang te stoppen, de getroffen systemen te repareren en vast te stellen of er klantgegevens waren aangetast.”
RansomHub, de naam van een relatief nieuwe ransomwaregroep, eiste de eer op voor de aanval, die naar verluidt meer dan 10 GB aan gebruikersgegevens zou hebben opgeleverd. RansomHub ontstond eerder dit jaar als een nieuwe merkversie van de groep die bekend staat als Knight. Volgens beveiligingsbedrijf Check Point werd RansomHub de meest wijdverspreide ransomwaregroep nadat een internationale politieoperatie in mei een groot deel van de infrastructuur van de rivaliserende ransomwaregroep Lockbit platlegde.
Op zijn darkwebpagina zei RansomHub dat het zich in een vergevorderd stadium van de onderhandelingen met Rite Aid-functionarissen bevond toen het bedrijf plotseling de communicatie verbrak. Een Rite Aid-functionaris reageerde niet op vragen per e-mail. Rite Aid weigerde ook te zeggen of het werknemersaccount dat bij de inbreuk was aangetast, werd beschermd door multi-factor authenticatie.
Rite Aid heeft meer dan 1.700 winkels in 16 staten. Het boekte een omzet van $5,7 miljard in zijn meest recente fiscale kwartaal, dat eindigde op 3 juni. De keten heeft in oktober faillissement aangevraagd, grotendeels om bescherming te zoeken tegen rechtszaken in verband met de opioïdencrisis. Rite Aid wordt aangeklaagd in verschillende rechtszaken die voortkomen uit een afzonderlijk datalek in mei 2023. Bij het eerdere lek kwamen de namen van patiënten, geboortedata, adressen, receptinformatie en verzekeringsinformatie van meer dan 24.000 klanten aan het licht. Rite Aid meldde eerder inbreuken in 2015, 2017 en 2018.