Fredag kveld sendte Epsilon, et selskap som skryter av at de driver kundedatabasene til sju av selskapene på Fortune 10-listen, ut denne korte pressemeldingen:
Epsilon Notifies Clients of Unauthorized Entry into Email System
IRVING, TEXAS – April 1, 2011 – On March 30th, an incident was detected where a subset of Epsilon clients' customer data were exposed by an unauthorized entry into Epsilon's email system. The information that was obtained was limited to email addresses and/or customer names only. A rigorous assessment determined that no other personal identifiable information associated with those names was at risk. A full investigation is currently underway.
Uvedkommende har altså skaffet seg tilgang til deler av kundedataene til Epsilons kunder, etter et innbrudd i selskapets e-postsystem. De har bare fått tak kundenes navn og e-postadresser. Annen personinformasjon er ikke truet. Det pågår full etterforskning.
Hvert år sender Epsilon ut over 40 milliarder e-postmeldinger til sine kunders kunder. Til sammen har de markedsføringsoppdrag for over 2.500 amerikanske virksomheter.
Ifølge en liste fra SecurityWeek som er à jour per søndag kveld norsk tid, har datakriminelle navn og e-postadresser til kunder av følgende virksomheter:
- Ameriprise Financial (økonomisk rådgiving, tidligere datter av American Express)
- Brookstone (kjede med over 400 utsalg, kjent for elektroniske dingser)
- Capital One (storbank)
- Citigroup (USAs tredje største bank)
- Disney Destinations (driver hotellvirksomheten til Disney-konsernet)
- Home Shopping Network (HSN) (døgnkontinuerlig tv-reklame og telefonsalg)
- JPMorgan Chase (USAs nest største bank)
- Kroger (USAs største supermarkedkjede)
- LL Bean Visa Card (postordre)
- Marriott Rewards (hotellkjede)
- McKinsey & Company (lederrådgivning)
- New York & Company (kjede med 580 moteforretninger)
- Ritz-Carlton Rewards (hotellkjede)
- The College Board (organiserer opptak til 5.900 amerikanske høyskoler og universiteter, og har et register på ni millioner studenter)
- TiVo (videoopptaker med avanserte tilleggstjenester)
- US Bank (USAs femte største forretningsbank)
- Walgreens (USAs største kjede av «drugstores» med 7.600 utsalgssteder)
En talsperson for Marriott og Ritz Carlton fortalte at også informasjon om enkeltkundenes bonuspoeng var tilgjengelig. Denne opplysningen er siden offisielt dementert.
Selskapene har varslet sine kunder om at de må være ekstra kritiske til e-posten de mottar i tiden framover.
Citigroup har tvitret til sine kunder at de nå må være spesielt oppmerksomme på phishingforsøk, og at de må slå opp i deres spesifikke tjeneste «Email Security Zone» for å forsikre seg at e-post formidlet gjennom Epsilon faktisk stammer fra banken. College Board har sendt ut en tilsvarende advarsel, og advart mot lenker og vedlegg fra ukjente tredje part.
En talsperson for Epsilon, Jessica Simon, sier til nyhetsbyrået Reuters at de ennå ikke er i stand til å gi noen oversikt over hvem som er rammet, eller hvor mange kunders kunder hvis navn, e-postadresser og kundeforhold nå er kjent av kriminelle.
Andre som bruker Epsilon i sin markedsføring og kundekontakt er teleoperatøren Verizon, hotellkjeden Hilton, næringsmiddelkonglomeratet Kraft Foods og AstraZeneca, verdens syvende største legemiddelleverandør.