Robo de datos a Epsilon

Note: This post is available in English.


El 30 de Marzo, la empresa de marketing on-line Epsilon, fue víctima de un ataque que comprometió los datos del 2% de sus clientes. La Compañía notificó el 1^ro de Abril a sus clientes por medio de un comunicado donde informaban que “Un incidente fue detectado el 30 de Marzo, donde los datos de un grupo de clientes de Epsilon fueron comprometidos por un acceso no autorizado a los sistemas de correo de la Compañía. La información obtenida fue limitada a direcciones de correo y/o nombres de clientes.”. Información sobre cómo fue realizado el ataque no fue mencionada aún por la Compañía.

Algunos de los clientes de Epsilon afectados hasta el momento son: 1-800-FLOWERS, AbeBooks, Air Miles (Canada), Ameriprise Financial, Barclay's Bank of Delaware, Beachbody, Best Buy, Capital One, Chase, Citigroup, Disney Destinations, Hilton Honors program, Home Depot Credit Card, Home Shopping Network, JPMorgan Chase, Marks and Spencer, Marriott, McKinsey Quarterly, Target, TD Ameritrade, TiVo, US Bank y Walgreen's.

Los clientes de Epsilon notificaron a sus propios clientes sobre la información comprometida, recordándoles que nunca se les será solicitado por correo electrónico información personal. A modo de ejemplo, AbeBooks envió el siguiente correo a sus clientes “… les recordamos que AbeBooks nunca le preguntará a sus clientes por información personal ó de su cuenta por medio de un correo. Tengan precaución si reciben un correo que les solicita este tipo de información ó los invita a visitar un sitio web donde su información personal les es solicitada”.

¿Cuáles son los riesgos que implica este ataque? Los atacantes tienen información más precisa sobre los nombres, correos y preferencias (hoteles, bancos, etc.), aumentando de esta manera las probabilidades  de éxito de un ataque del tipo de Ingeniería Social (ej. Phishing) dirigida a una o varias personas. Por este motivo, es probable que veamos más casos de Phishing en los próximos meses. Por este motivo los clientes de Epsilon le deben notificar a sus propios clientes sobre el incidente y elevar el nivel de conciencia sobre este tipo de ataques.

Por otro lado, Alliance Data, la Compañía Matriz de Epsilon, reafirmó ayer el ataque  y el robo de datos sufrido por su subsidiaria. En su anuncio, confirmaron que “información personal, como números de seguridad social, tarjetas de crédito ó información de clientes no fueron comprometidas. Epsilon se encuentra trabajando con las autoridades y expertos externos para realizar una investigación con el fin de identificar a los culpables del incidente mientras se implementan protocolos de seguridad adicionales en sus operaciones de correo”. Es sabido que el FBI se encuentra trabajando en el caso.

Alliance Data, en su anuncio también establece que el mayor riesgo para ésta y Epsilon es la pérdida potencial de clientes. Estos son los riesgos corporativos que realmente afronta una compañía al no implementar los controles correspondientes. No es solo el valor del activo que fue afectado, sino los costos indirectos que estos atraen, como ser pérdida de imagen y ventas entre otras.

Por Agustin Chernitsky

Epsilon Data Breach

Nota: Este post está disponible en español.

On March 30^th, Epsilon, an online marketing firm, was victim of an attack that resulted in a data breach that affected 2% of their clients. The Company notified their customers on April 1^st through a public release announcement where they stated “On March 30^th, an incident was detected where a subset of Epsilon clients' customer data were exposed by an unauthorized entry into Epsilon's email system. The information that was obtained was limited to email addresses and/or customer names only”. No other information explaining how the attack took place was released.

Some of the Epsilon’s customers known to have been affected so far are: 1-800-FLOWERS, AbeBooks, Air Miles (Canada), Ameriprise Financial, Barclay's Bank of Delaware, Beachbody, Best Buy, Capital One, Chase, Citigroup, Disney Destinations, Hilton Honors program, Home Depot Credit Card, Home Shopping Network, JPMorgan Chase, Marks and Spencer, Marriott, McKinsey Quarterly, Target, TD Ameritrade, TiVo, US Bank and Walgreen's.

Epsilon’s Customers started to notify their own customers of the data breach and remind them that they will not be requesting personal information through e-mails. As an example AbeBooks sent the following e-mail “…As a reminder, AbeBooks will never ask customers for personal or account information in an e-mail. Please exercise caution if you get any emails that ask for personal information or direct you to a site where you are asked to provide personal information”.

What are the risks of this data breach? The attackers have more precise information on names, e-mail addresses and customer’s preferences (hotels, banks, etc.), increasing the chances of a successful targeted Social Engineering attack (such as Phishing). So it is likely that we will see more Phishing activity in the following months. This is why Epsilon’s customers should notify their own customer on the incident and raise the awareness level on these types of attack.


Alliance Data, a parent Company of Epsilon, issued a press release yesterday stating "No personal identifiable information (PII) was compromised, such as social security numbers, credit card numbers or account information. Epsilon is working with authorities and external experts to conduct a full investigation to identify those responsible for the incident while also implementing additional security protocols in its email operations." It is known that the FBI is working on the investigation.


Alliance Data also states that the biggest risk to them and Epsilon is the loss of potential customers. These are the risks that a Company faces when proper security controls are not implemented.  It is not only the value assigned to the asset, but the indirect costs associated with them, like the loss of image or sales between others.

By Agustin Chernitsky