Hakerzy skontaktowali się z BBC, przedstawiając dowody na to, że skahowali sieci informatyczne Co-Op i ukradli ogromne ilości danych klientów i pracowników. Posługują się nazwą DragonForce i mówią, że są również odpowiedzialni za trwający atak na M&S i próbę włamania do Harrods.
Na początku rzecznik Co-op przyznał, że hakerzy „uzyskali dostęp do danych dotyczących znacznej liczby naszych obecnych i byłych członków”. Spółka twierdzi, że podjęła „środki zapobiegawcze”, aby odeprzeć hakerów i że ma jedynie „niewielki wpływ” na swoje działania oraz, że „nie ma dowodów na to, że dane klientów zostały naruszone”.
Jednak hakerzy twierdzą, że mają prywatne informacje 20 milionów osób, które zapisały się do programu członkowskiego Co-op.
Na potwierdzenie, udostępnili dziennikarzom BBC bazy danych zawierające nazwy użytkowników i hasła wszystkich pracowników. Wysłali również próbkę danych 10 000 klientów, w tym numery kart członkowskich Co-op, nazwiska, adresy domowe, adresy e-mail i numery telefonów.
W wyniku ujawnienia tych informacjii Co-Op poinformował pracowników i akcjonariuszy o rzeczywistym zasięgu aktaku i wydał oświadczenie:
„Dane te obejmują dane osobowe członków Co-op Group, takie jak imiona i nazwiska oraz dane kontaktowe, i nie obejmują haseł członków, danych bankowych lub kart kredytowych, transakcji ani informacji dotyczących produktów lub usług członków lub klientów w Co-op Group”.
Wygląda na to, że celem cyberataku jest wymuszenie zapłaty okupu od zaatakowanych spółek. Nie wiadomo co zrobią z danymi, jeśli nie dostaną zapłaty.
Nie wiadomo, kto ostatecznie używa usługi DragonForce do atakowania sprzedawców detalicznych, ale niektórzy eksperci ds. bezpieczeństwa twierdzą, że zaobserwowane taktyki są podobne do taktyk luźno skoordynowanej grupy hakerów, którzy zostali nazwani Scattered Spider lub Octo Tempest.
Co-op ma ponad 2500 supermarketów, a także 800 domów pogrzebowych i firmę ubezpieczeniową. Zatrudnia około 70 000 pracowników w całym kraju.
Pracownicy Co-op zostali poproszeni o włączanie kamer podczas spotkań online, nakazano im nie nagrywać ani nie transkrybować rozmów oraz zweryfikować, czy wszyscy uczestnicy są prawdziwymi pracownikami Co-op.
Co-op twierdzi, że współpracuje z Narodowym Centrum Cyberbezpieczeństwa i że jest im bardzo przykro z powodu zaistniałej sytuacji.